技术控

    今日:89| 主题:49113
收藏本版 (1)
最新软件应用技术尽在掌握

[其他] 解密奇美拉恶意勒索程序

[复制链接]
轻描淡写 发表于 2016-10-4 08:17:53
128 2

立即注册CoLaBug.com会员,免费获得投稿人的专业资料,享用更多功能,玩转个人品牌!

您需要 登录 才可以下载或查看,没有帐号?立即注册

x

解密奇美拉恶意勒索程序-1 (在线投稿,受害人,受害者,生成器,程序)

   作者:  苍酷02  
  稿费:300RMB(不服你也来投稿啊!)
  投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿
  0x01 构成要素和方法
  通常,解密勒索程序需要深入了解其使用的算法和发现它勒索过程里的一些缺陷。不同的漏洞需要不同的思路编写破解工具。有时我们需要重写有漏洞的算法,然后编写工具进行密码猜解(比如在破解 Petya的时候)。有时,破解的的部分是对称密钥生成器(如DMA Locker 2.0的情况下)–或算法本身(见7ev3n勒索程序的自定义加密)。
  但这次,我们几乎拥有所有现成的资料:
  1.使用的密钥(泄露的)
  2.奇美拉作者向受害者提供的原始的解密程序
  不过有趣的是,我们必须从这些碎片之间找到它们的关系并且以某种方式重新组织它们。
  0x02 逆向原始解密程序
  正如我们前面介绍奇美拉的分析,受害者交了赎金,作者提供了一个链接,受害人可以下载外部工具解密,但是需要用户购买私钥,匹配对文件进行加密的公钥。
   该工具是用.NET编写的并且解密文件解密操作发生在在外部组件—一个命名为“PolarisSSLWrapper.dll” 的dll,输出两个函数 :
  


解密奇美拉恶意勒索程序-2 (在线投稿,受害人,受害者,生成器,程序)

  所以,我们没必要再去重新实现解密函数,可以利用现有的API。
  首先我们先去逆向(.NET)的主要组件,来看看这个函数如何被调用以及它需要什么样的参数。我们可以看到外部函数的加载和调用的代码
  

12345下一页
友荐云推荐




上一篇:Indian language localization community meets in New Delhi
下一篇:ROS: An Open Source Robotics Platform on Linux
酷辣虫提示酷辣虫禁止发表任何与中华人民共和国法律有抵触的内容!所有内容由用户发布,并不代表酷辣虫的观点,酷辣虫无法对用户发布内容真实性提供任何的保证,请自行验证并承担风险与后果。如您有版权、违规等问题,请通过"联系我们"或"违规举报"告知我们处理。

Alice1984 发表于 2016-10-15 12:54:12
这样的好贴不顶不行
回复 支持 反对

使用道具 举报

董秀 发表于 2016-10-22 12:11:53
不觉名利。。。。。
回复 支持 反对

使用道具 举报

*滑动验证:
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

我要投稿

推荐阅读

扫码访问 @iTTTTT瑞翔 的微博
回页顶回复上一篇下一篇回列表手机版
手机版/CoLaBug.com ( 粤ICP备05003221号 | 文网文[2010]257号 )|网站地图 酷辣虫

© 2001-2016 Comsenz Inc. Design: Dean. DiscuzFans.

返回顶部 返回列表