ransomware(假的勒索病毒)逆向分析

 

0x01:PEiD查壳 无壳  运行之后也没中毒 无毒

0x02: 运行一下看看  可用的只有一个输入框和一个按钮(Decrypt)

这里可以通过Restorator进行分析

随意输入123456789   点击Decrypt    弹出对话框

看到关键点   

一个是触发的MessageBox   （通过下API断点）

一个是关键字符串  Wrong,The password is error

两种方法都可以定位到关键代码      （通过搜索ASCII字符串）

下边采用API断点进行定位

0x03:

先载入Olydbg分析一波

右键任意空白处或者直接(Ctrl + N)

或者在命令栏中输入bp GetDlgItemTextA,bp MessageBoxA

下好断点之后

直接F9运行

随意输入12456789

程序会中断到这里

选中堆栈窗口buffer这一行   右键à数据窗口中跟随

接着 调试à执行到返回（快捷键Ctrl + F9）

这时可以看到数据窗口出现了我们的input 123456789

接着F7  然后F8单步向下分析即可

具体分析结果：1.程序先判断我们的输入是否等于18

                    2.关键代码就是地址00AE12A3     这个call       

 

OD分析不方便叙述

还是用IDA吧

0x04:

可以直接shift+F12找关键字符串

也可以像下边这样

双击DialogBoxFunc

 

接着F5

进行分析

 

所以我们只需byte_404000[]提取出来  与0xCC进行异或就可以得到flag

有一个简单的办法  就是选中所有数据   shift + E  即可

提取出的直接是C代码

最后得到flag{1_dO_n0t_wAnna_cry}

 

程序+Idb分析+cpp

下载链接: https://pan.baidu.com/s/1Qy_uL1H9LvChcFejAkGmlA 密码: ti5n