前言

         后门病毒的前缀是：Backdoor。该类病毒的特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患。2004年年初，IRC后门病毒开始在全球网络大规模出现。一方面有潜在的泄漏本地信息的危险，另一方面病毒出现在局域网中使网络阻塞，影响正常工作，从而造成损失。即使管理员通过改变所有密码之类的方法来提高安全性，仍然能再次侵入，使再次侵入被发现的可能性减至最低。
大多数后门设法躲过日志，大多数情况下即使入侵者正在使用系统也无法显示他已在线。摘录于百度百科
         此次病毒多次使用隐藏技术，反复转移文件，以及使用Hook技术对抗分析。但是美中不足的是，释放样本的时候没有加密资源，直接获得了payload。

一：目录

• 1.目录
• 2.Ioc
• 3.行为分析
• 4.样本分析
• 5.技术总结
  阅读全文 »

前言

         偶然在论坛上看到一篇关于CoinMiner介绍，文章从该病毒的流行趋势，入侵路径，关联分析等多个角度对病毒进行的分析，对样本的分析寥寥几句就概括完了。想到之前分析的多为勒索类病毒，对于挖矿类病毒研究较少。故斗胆尝试小小分析一次，如有不到之处望师傅们指教。

前言

         NotPetya是源自类似Petya的全新形式勒索病毒，可以将硬盘整个加密和锁死，从内存或者本地文件系统里提取密码。[源自于百度百科]

         本篇分析的关于MBR修改一节部分参照了前辈maydayRn 的分析结果。

一：目录

• 1.目录
• 2.样本信息
• 3.样本分析
• 4.技术总计
  阅读全文 »

引用栈上的变量

         通常，在函数入口处会执行以下代码,这样子函数的栈底就是父函数栈顶。在ebp值上面的空间就是子函数需要使用的栈空间，下面是父函数使用的栈空间。所以ebp+正数代表的是传入子函数的参数，ebp+负数代表的是子函数的局部变量。

1
2

push esp
mov ebp, esp

前言

         Wannamine2.0是wannamine家族的变种。该家族特征是使用NSA泄露的eternalblue漏洞利用工具包+扫描传播模块+挖矿木马，一切未打ms17-010漏洞补丁的机器都将是其目标，对于网络中存在ms17-010漏洞的机器而言，它是不可忽视的安全威胁。该挖矿木马为了躲避杀毒软件查杀，特地将主控程序加密并放到资源EnrollCertXaml.dll中。样本通过MS17-010（永恒之蓝）漏洞进行传播，其漏洞利用模块是使用的NSA工具包eternalblue和doublepuls，即2017年影子经纪人所公开的NSA工具包，定时和C&C进行连接接受命令和更新模块，主要目的为挖掘门罗币。

神圣不可侵犯

         CSRSS进程，中文全称是系统服务进程，他监管着系统中运行的所有windows进程和线程。在消息分发，桌面管理，终端登录，控制台管理，DOS虚拟机等方面起着重要作用。由于其重要性，调试CSRSS进程也是相当困难的

前置知识

         当执行windows可执行文件时，OS会创建一个线程，叫做初始线程，应用程序的主函数都是在这个线程里面执行的。

前言

         一般来说，二进制文件有两种分析方法：静态分析、动态分析。

回到异常现场

         拿到一个dump文件，使用k命令进行栈回溯的时候，可能无法正常显示函数名，产生这样的问题的原因是dump文件显示的上下文信息是写入转储文件时的上下文，我们首先需要想办法切换到发生异常的时候的上下文。