ransomware(假的勒索病毒)逆向分析

 

0x01:PEiD查壳 无壳  运行之后也没中毒 无毒

ransomware(假的勒索病毒)逆向分析_第1张图片

0x02: 运行一下看看  可用的只有一个输入框和一个按钮(Decrypt)

这里可以通过Restorator进行分析

随意输入123456789   点击Decrypt    弹出对话框

看到关键点   

一个是触发的MessageBox   (通过下API断点)

一个是关键字符串  Wrong,The password is error

两种方法都可以定位到关键代码      (通过搜索ASCII字符串)

下边采用API断点进行定位

ransomware(假的勒索病毒)逆向分析_第2张图片

0x03:

先载入Olydbg分析一波

右键任意空白处或者直接(Ctrl + N)

ransomware(假的勒索病毒)逆向分析_第3张图片

ransomware(假的勒索病毒)逆向分析_第4张图片

或者在命令栏中输入bp GetDlgItemTextA,bp MessageBoxA

下好断点之后

直接F9运行

随意输入12456789

程序会中断到这里

ransomware(假的勒索病毒)逆向分析_第5张图片

选中堆栈窗口buffer这一行   右键à数据窗口中跟随

接着 调试à执行到返回(快捷键Ctrl + F9)

ransomware(假的勒索病毒)逆向分析_第6张图片

这时可以看到数据窗口出现了我们的input 123456789

接着F7  然后F8单步向下分析即可

ransomware(假的勒索病毒)逆向分析_第7张图片

具体分析结果:1.程序先判断我们的输入是否等于18

                    2.关键代码就是地址00AE12A3     这个call       

ransomware(假的勒索病毒)逆向分析_第8张图片

 

OD分析不方便叙述

还是用IDA吧

0x04:

可以直接shift+F12找关键字符串

也可以像下边这样

ransomware(假的勒索病毒)逆向分析_第9张图片

双击DialogBoxFunc

 

ransomware(假的勒索病毒)逆向分析_第10张图片

接着F5

进行分析

ransomware(假的勒索病毒)逆向分析_第11张图片

ransomware(假的勒索病毒)逆向分析_第12张图片

 

所以我们只需byte_404000[]提取出来  与0xCC进行异或就可以得到flag

有一个简单的办法  就是选中所有数据   shift + E  即可

ransomware(假的勒索病毒)逆向分析_第13张图片

提取出的直接是C代码

ransomware(假的勒索病毒)逆向分析_第14张图片

ransomware(假的勒索病毒)逆向分析_第15张图片

最后得到flag{1_dO_n0t_wAnna_cry}

 

程序+Idb分析+cpp

下载链接: https://pan.baidu.com/s/1Qy_uL1H9LvChcFejAkGmlA 密码: ti5n

你可能感兴趣的:(我的逆向之路,我的CTF之路,我的CTF进阶之路)