yara

原文来自 SecIN社区 —作者：寅儿 0x01 开源情报收集 样本下载链接： https://app.any.run/tasks/ffc1ecff-e461-4474-8352-551db7e7b06f/ 常用平台:VT，微步，哈勃 app.any.run, joesandbox 图一：VT检测 木马实锤 沙箱跑一下看一下行为： 图二：沙箱行为分析 可以看到用GET请求访问C&C服务器下载了一个二进制binary文件。 点开binary文件查看详情： 图三：恶意binary dump下来wireshark数据包，过滤http请求同样可以发现该二进制文件 图四：抓包分析 查询C&C服务器ip： 图五：ip检测 现在对该恶意软件已经有了初步了了解，下面进行数据包分析，看看能不能找到有用的信息。最直观的看到就是使用了非常见的端口连接，还有发现一个有趣的现象： 图六：数据包分析 竟然是肉鸡主动连接的C&C服务器，让我联想到了CS马。这种手法类似于反弹shell，好处就是可以绕过防火墙限制，如果对方是内网ip，你无法直接发起连接请求，方便持久化控制等等。 0x02 样本基本信息 用exeinfo查壳，标准的32位VC编译的程序 图七：样本信息 用Process Monitor监控行为 图八：软件行为 具体每一项的图略了，大概看了一下读取了注册表的某些键值，设置了某些键值对的值

​转载自CSDN-初识逆向大神 本文链接： https://blog.csdn.net/w_g3366/article/details/100590112 文章目录 勒索病毒分析报告 1．样本概况 1.1 样本信息 1.2 测试环境及工具 1.3 分析目标 1.4 样本行为概述 2．具体行为分析 2.1 主要行为 2.2 提取恶意代码 2.3 恶意代码分析 3．解决方案 3.1 提取病毒的特征，利用杀毒软件查杀 3.2 手工查杀步骤或是查杀思路 勒索病毒分析报告 1．样本概况 1.1 样本信息 病毒名称：DBD5BEDE15DE51F6E5718B2CA470FC3F 所属家族：勒索病毒 大小: 327680 bytes 修改时间: 2017年4月13日, 15:30:22 MD5值： DBD5BEDE15DE51F6E5718B2CA470FC3F SHA1值： 863F5956863D793298D92610377B705F85FA42B5 CRC32：1386DD7A 1.2 测试环境及工具 测试环境:虚拟机Windows 7 32位 测试工具:火绒剑、PCHunter、PEiD、OllyDbg、IDA、LoadPE 1.3 分析目标 分析病毒具体行为，找到病毒行为的具体实现代码，了解病毒实现原理，评估病毒的威胁程度。 1.4 样本行为概述 是一个勒索软件，样本运行后的行为：