ransomware(假的勒索病毒)逆向分析
0x01:PEiD查壳 无壳 运行之后也没中毒 无毒
0x02: 运行一下看看 可用的只有一个输入框和一个按钮(Decrypt)
这里可以通过Restorator进行分析
随意输入123456789 点击Decrypt 弹出对话框
看到关键点
一个是触发的MessageBox (通过下API断点)
一个是关键字符串 Wrong,The password is error
两种方法都可以定位到关键代码 (通过搜索ASCII字符串)
下边采用API断点进行定位
0x03:
先载入Olydbg分析一波
右键任意空白处或者直接(Ctrl + N)
或者在命令栏中输入bp GetDlgItemTextA,bp MessageBoxA
下好断点之后
直接F9运行
随意输入12456789
程序会中断到这里
选中堆栈窗口buffer这一行 右键à数据窗口中跟随
接着 调试à执行到返回(快捷键Ctrl + F9)
这时可以看到数据窗口出现了我们的input 123456789
接着F7 然后F8单步向下分析即可
具体分析结果:1.程序先判断我们的输入是否等于18
2.关键代码就是地址00AE12A3 这个call
OD分析不方便叙述
还是用IDA吧
0x04:
可以直接shift+F12找关键字符串
也可以像下边这样
双击DialogBoxFunc
接着F5
进行分析
所以我们只需byte_404000[]提取出来 与0xCC进行异或就可以得到flag
有一个简单的办法 就是选中所有数据 shift + E 即可
提取出的直接是C代码
最后得到flag{1_dO_n0t_wAnna_cry}
程序+Idb分析+cpp
下载链接: https://pan.baidu.com/s/1Qy_uL1H9LvChcFejAkGmlA 密码: ti5n