前言

         病毒分析很心酸，真的会秃头。
         这个是关于Criakl勒索病毒安全预警：https://baijiahao.baidu.com/s?id=1621544930994823264&wfr=spider&for=pc感谢这些安全专家吧，唉。不说了。头发真的都掉完了~~~

一：目录

• 1.目录
• 2.Ioc
• 3.行为分析
• 4.样本分析
• 5.技术总结
  阅读全文 »

前言

         偶然在论坛上看到一篇关于CoinMiner介绍，文章从该病毒的流行趋势，入侵路径，关联分析等多个角度对病毒进行的分析，对样本的分析寥寥几句就概括完了。想到之前分析的多为勒索类病毒，对于挖矿类病毒研究较少。故斗胆尝试小小分析一次，如有不到之处望师傅们指教。

前言

         NotPetya是源自类似Petya的全新形式勒索病毒，可以将硬盘整个加密和锁死，从内存或者本地文件系统里提取密码。[源自于百度百科]

         本篇分析的关于MBR修改一节部分参照了前辈maydayRn 的分析结果。

一：目录

• 1.目录
• 2.样本信息
• 3.样本分析
• 4.技术总计
  阅读全文 »

引用栈上的变量

         通常，在函数入口处会执行以下代码,这样子函数的栈底就是父函数栈顶。在ebp值上面的空间就是子函数需要使用的栈空间，下面是父函数使用的栈空间。所以ebp+正数代表的是传入子函数的参数，ebp+负数代表的是子函数的局部变量。

1
2

push esp
mov ebp, esp

前言

         Wannamine2.0是wannamine家族的变种。该家族特征是使用NSA泄露的eternalblue漏洞利用工具包+扫描传播模块+挖矿木马，一切未打ms17-010漏洞补丁的机器都将是其目标，对于网络中存在ms17-010漏洞的机器而言，它是不可忽视的安全威胁。该挖矿木马为了躲避杀毒软件查杀，特地将主控程序加密并放到资源EnrollCertXaml.dll中。样本通过MS17-010（永恒之蓝）漏洞进行传播，其漏洞利用模块是使用的NSA工具包eternalblue和doublepuls，即2017年影子经纪人所公开的NSA工具包，定时和C&C进行连接接受命令和更新模块，主要目的为挖掘门罗币。

神圣不可侵犯

         CSRSS进程，中文全称是系统服务进程，他监管着系统中运行的所有windows进程和线程。在消息分发，桌面管理，终端登录，控制台管理，DOS虚拟机等方面起着重要作用。由于其重要性，调试CSRSS进程也是相当困难的

前置知识

         当执行windows可执行文件时，OS会创建一个线程，叫做初始线程，应用程序的主函数都是在这个线程里面执行的。

前言

         一般来说，二进制文件有两种分析方法：静态分析、动态分析。

寻找突破口

         关于唤醒失败一般存在于内核态，可有两个突破口：

• 1.使用!pcr查看处理器控制区，了解CPU状态
• 2.使用!locks寻找可能存在的系统死锁
  阅读全文 »