前言

         NotPetya是源自类似Petya的全新形式勒索病毒，可以将硬盘整个加密和锁死，从内存或者本地文件系统里提取密码。[源自于百度百科]

         本篇分析的关于MBR修改一节部分参照了前辈maydayRn 的分析结果。

一：目录

• 1.目录
• 2.样本信息
• 3.样本分析
• 4.技术总计
  阅读全文 »

引用栈上的变量

         通常，在函数入口处会执行以下代码,这样子函数的栈底就是父函数栈顶。在ebp值上面的空间就是子函数需要使用的栈空间，下面是父函数使用的栈空间。所以ebp+正数代表的是传入子函数的参数，ebp+负数代表的是子函数的局部变量。

1
2

push esp
mov ebp, esp

前言

         Wannamine2.0是wannamine家族的变种。该家族特征是使用NSA泄露的eternalblue漏洞利用工具包+扫描传播模块+挖矿木马，一切未打ms17-010漏洞补丁的机器都将是其目标，对于网络中存在ms17-010漏洞的机器而言，它是不可忽视的安全威胁。该挖矿木马为了躲避杀毒软件查杀，特地将主控程序加密并放到资源EnrollCertXaml.dll中。样本通过MS17-010（永恒之蓝）漏洞进行传播，其漏洞利用模块是使用的NSA工具包eternalblue和doublepuls，即2017年影子经纪人所公开的NSA工具包，定时和C&C进行连接接受命令和更新模块，主要目的为挖掘门罗币。

神圣不可侵犯

         CSRSS进程，中文全称是系统服务进程，他监管着系统中运行的所有windows进程和线程。在消息分发，桌面管理，终端登录，控制台管理，DOS虚拟机等方面起着重要作用。由于其重要性，调试CSRSS进程也是相当困难的

前置知识

         当执行windows可执行文件时，OS会创建一个线程，叫做初始线程，应用程序的主函数都是在这个线程里面执行的。

前言

         一般来说，二进制文件有两种分析方法：静态分析、动态分析。

回到异常现场

         拿到一个dump文件，使用k命令进行栈回溯的时候，可能无法正常显示函数名，产生这样的问题的原因是dump文件显示的上下文信息是写入转储文件时的上下文，我们首先需要想办法切换到发生异常的时候的上下文。

寻找突破口

         关于唤醒失败一般存在于内核态，可有两个突破口：

• 1.使用!pcr查看处理器控制区，了解CPU状态
• 2.使用!locks寻找可能存在的系统死锁
  阅读全文 »

上调试器

         利用~*e ？ @$tid;!gle命令，去显示进程中每个线程的TID和LastError值。其中~*查看所有线程，e选项是支持多条命令，不然只是显示最后一条。@$tid显示tid，!gle:显示LastError。