回到异常现场

         拿到一个dump文件，使用k命令进行栈回溯的时候，可能无法正常显示函数名，产生这样的问题的原因是dump文件显示的上下文信息是写入转储文件时的上下文，我们首先需要想办法切换到发生异常的时候的上下文。

上调试器

         利用~*e ？ @$tid;!gle命令，去显示进程中每个线程的TID和LastError值。其中~*查看所有线程，e选项是支持多条命令，不然只是显示最后一条。@$tid显示tid，!gle:显示LastError。

小结

         常见的花指令构造方法主要有：

• 0x1 垃圾指令：这些垃圾指令并不影响程序的执行结果和过程，对寄存器也没有影响，但是大量重复的辣鸡指令可以有效阻碍逆向过程
• 0x2 指令膨胀(等价替换)：通过使用多条指令替换一条执行，或者起到同样的效果的方法来阻碍逆向分析
• 0x3 绝对执行分支：反汇编器优先反汇编错误分支，使用绝对执行分支插入花指令可以干扰反汇编器反汇编。
• 0x4 打乱执行流：通过打乱执行流，再向中间插入辣鸡指令干扰分析
  阅读全文 »

何谓双误

         双误就是CPU是报告一个比较严重的异常后，在异常处理过程中，又发生了一个严重的异常(CPU无法处理)。

死锁

         利用windbg的!locks来查看进程中的锁，特别是那些处于锁定状态的锁。

前言

WannaCry（又叫Wanna Decryptor），一种“蠕虫式”的勒索病毒软件，大小3.3MB，由不法分子利用NSA（National Security Agency，美国国家安全局）泄露的危险漏洞“EternalBlue”（永恒之蓝）进行网络端口扫描攻击，目标机器被成功攻陷后会从攻击机下载WannaCry木马进行感染，并作为攻击机再次扫描互联网和局域网其他机器，行成蠕虫感染大范围超快速扩散。木马母体为mssecsvc.exe，运行后会扫描随机ip的互联网机器，尝试感染，也会扫描局域网相同网段的机器进行感染传播，此外会释放敲诈者程序tasksche.exe，对磁盘文件进行加密勒索。木马加密使用AES加密文件，并使用非对称加密算法RSA 2048加密随机密钥，每个文件使用一个随机密钥，理论上不可逆向破解。

前言

         呼，历时4天半，终于完成了对GandCrab病毒的分析，这个病毒是在52破解ScareCrowL前辈的帖子上参考借鉴而来，漫漫病毒分析之路，任重且道远，还好，我们拥有巨人的肩膀，让我们看的更远更多。

         首先讲一下，为什么分析这个病毒，在四叶草公司实习，几天下来，有点厌倦分析病毒这件事了，哇，想到以后还要干好多年，心态炸了。公司峰哥给我了两个样本，说现在流行勒索和挖矿病毒，客户也中过，叫我去试试分析。然后就有了这篇病毒分析报告。顿时，分析出来有不一样的收获，这是传统病毒不一样的。

         一月份，GandCrab勒索软件首次亮相，这是一种着名的恶意软件，分布在黑暗网络上，可能源于俄罗斯，主要针对斯堪的纳维亚和英语国家。……（码字太麻烦了，这里有一份关于GandCrab简介，了解一下：http://baijiahao.baidu.com/s?id=1599794170709869995&wfr=spider&for=pc）

         IDA产生的分析数据库(IDA 6.8)：https://pan.baidu.com/s/156A8SyhBVMjAKcjlf5SN4Q

一：目录

• 1.目录
• 2.样本信息
• 3.行为分析
• 4.样本分析
• 5.技术总结
  阅读全文 »

内存相关

• !address命令：显示内存信范围和权限的命令，命令在用户态下也可以使用。如果不带参数，可以显示内存所有信息。
  阅读全文 »

• vertarget:用于显示被调试计算机的基本的信息。
  
• dg：用于显示段选择子的信息
  
  • 有dg的输出结果可以看到，cs段的范围是0x00000000-0xffffffff
• !cpuinfo:显示CPU的信息
  
  阅读全文 »

第一部分 调试目标程序的函数

.call命令的原理

         我们使用.call调试被调试程序的函数。利用.call元命令可以不需要使函数运行到函数调用处，而是类似于进行一次虚拟调用。具体原理如下：

• windbg在栈上创建一小段代码，这段代码用于被调用函数的父函数，函数返回到这段代码，然后中断。
• 在栈上创建一个新的关于被调用函数的栈帧，用于模拟被调用函数
• 修改寄存器，使程序指向模拟被调用的函数的起始地址，保证恢复程序运行就能执行这个函数
  阅读全文 »