2. 程式人生 > >一個C#或者.Net病毒的逆向之旅

一個C#或者.Net病毒的逆向之旅

阿新 發佈:2018-12-09

最近為了提高沙箱的反病毒能力,特意從卡飯論壇找了一批樣本,因為我覺得只有把沙箱當成黑盒測試一樣,才有可能發現各種問題,之前我提需求時也是這樣,就用實際的樣本來跑,跑完後就會發現有很多問題,只有不斷提問題(需求)才能更加促進產品的迭代更新。在之前的測試中,我們沙箱對於勒索病毒來說,檢出率是很可觀的,但是這次我就發現有些問題,好像C#或者說是.Net寫的這個病毒,並沒有檢出,於是就單個拿出來分析下,為什麼沒有檢出?沙箱哪裡監控能力不足?其實我之前也沒怎麼分析過C#或者說是.Net寫的,以前有人告訴我說,這種病毒很好分析的,因為反編譯之後就是原始碼了,看上去很容易的,但是自己對於這些反編譯後的結構不是很清楚,甚至之前都不知道要從Main函式進入檢視,真的是被自己嘲笑了……

因為這是個真實的勒索病毒,會加密你的檔案,這裡我放一些能證明它加密檔案的截圖,順便做一些說明吧

下圖中有被加密檔案的副檔名

有些東西可能只有經歷過你才不畏懼,經歷過之後就會覺得其實也都還好,沒有什麼太難的。

相關推薦

一個C#或者.Net病毒逆向

最近為了提高沙箱的反病毒能力,特意從卡飯論壇找了一批樣本,因為我覺得只有把沙箱當成黑盒測試一樣,才有可能發現各種問題,之前我提需求時也是這樣,就用實際的樣本來跑,跑完後就會發現有很多問題,只有不斷提問題(需求)才能更加促進產品的迭代更新。在之前的測試中,我們沙箱對於勒索病毒來

Android逆向---靜態方式分析破解視頻編輯應用「Vue」水印問題

https http mpeg 朋友圈 無需 爆破 資料 不可 fill 一、故事背景 現在很多人都喜歡玩文藝,特別是我身邊的UI們,拍照一分鐘修圖半小時。就是為了能夠在朋友圈顯得逼格高,不過的確是挺好看的,修圖的軟件太多了就不多說了,而且一般都沒有水印啥的。相比較短視頻有

OpenAuth.Net.landv分支開始制作CRM系統

目前 form 框架 tin 集合 href des 操作 酒店管理系統 OpenAuth.Net.landv分支之旅開始制作CRM系統 這個事件的由來是因為沒有一個統一的會員卡平臺系統,目前需要連接三家酒店會員系統,由於三家酒店使用了三種酒店管理系統,彼此之間的耦合低。

Android逆向---Hook神器家族的Frida工具使用詳解

常見 fin () 文件的 數值 isp extern dex文件 所有 一、前言 在逆向過程中有一個Hook神器是必不可少的工具,之前已經介紹了Xposed和Substrate了,不了解的同學可以看這兩篇文章:Android中Hook神器Xposed工具介紹 和 Andr

【reversing.kr逆向】ImagePrc的writeup

看到這道題有點懵  執行後只有一個Check按鈕  中間是空白的  不知道什麼鬼(最後才知道是個繪圖板) PEiD載入  發現還是沒殼  Vc++6.0編寫的程式 IDA載入進行分析    首先還是Shif

【reversing.kr逆向】Music Player的writeup

VB寫的程式  且沒有加殼 執行看看   還真是一個音樂播放器   但是隻能播放一分鐘 下面三個按鈕據我分析  分別就是播放,暫停,重新開始播放 當滑動到1分鐘時就會停止  並彈窗1? ?????

【reversing.kr逆向】Replace的writeup

無殼  vc++程式 載入Olydbg動態除錯分析就好 可以通過下API斷點GetWindowTextW來找到關鍵程式碼 因為它就是用來捕獲我們的輸入的    隨意輸入(這裡可以發現只可以輸入數字 長度什麼的倒是沒有限制) 就像下面一樣&nbs

【reversing.kr逆向】Easy ELF的writeup

  這道題直接IDA Pro靜態分析就可以 shift+f12就可以找到關鍵字串   圖形檢視下也可以看清楚 反彙編main() int __cdecl main() { write(1, "Reversing.Kr Easy ELF\n\

一個小白的“受虐”

一個小白的“受虐”之旅 曾經一個同學對我說,像你這種,肯定進不了騰訊,能夠進騰訊的都是那些非常有程式碼天賦的。不過我覺得以絕大多數人的努力程度之低,根本就達不到與別人去拼天賦地步。正因為努力程度決定了下線,所以在與別人拼天賦之前還是先好好敲程式碼。 不得不說,我身上還有很多程式碼

Android逆向---動態方式破解apk前奏篇 Eclipse動態除錯smail原始碼

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

Android逆向---靜態方式破解微信獲取聊天記錄和通訊錄資訊

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

Android逆向---Android應用的漢化功能 修改SO中的字串內容

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

Android逆向---靜態分析技術來破解Apk

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

Android逆向---抖音火山視訊的Native註冊混淆函式獲取方法

一、靜態分析 最近在小密圈中有很多同學都在諮詢有時候有些應用的動態註冊Native函式,在分析so之後發現找不到真的實現函式功能地方,我們知道有時候為了安全考慮會動態註冊Native函式,但是如果只是這麼做的話就會非常簡單,比如這樣的: 這樣的我們熟知Reigster

【reversing.kr逆向】Easy Unpack的writeup

查殼工具貌似不好使啊 不過OD和IDA都提示  還有題目名字  明顯告訴我們加了殼   下載的壓縮包解壓後可以看到ReadMe.txt  提示我們只要找到像00401000這樣的OEP即可

【reversing.kr逆向】Easy Keygen的writeup

先看ReadMe.txt 意思是讓我們找到當序列號是5B134977135E7D13時對應的名字 查殼 無殼 vc++程式 執行發現當我們Name與Serial不對應時 程式直接退出 檢視關鍵字串 雙擊字串  再雙擊引用   F5  然後進行分析

Android逆向---動態方式破解apk終極篇(加固apk破解方式)

一、前言 今天總算迎來了破解系列的最後一篇文章了,之前的兩篇文章分別為: 第一篇:如何使用Eclipse動態除錯smali原始碼  第二篇:如何使用IDA動態除錯SO檔案 現在要說的就是最後一篇了,如何應對Android中一些加固apk安全防護,在之前的兩篇破

Android逆向---解析編譯之後的Resource arsc檔案格式

                一、前言快過年了,先提前祝賀大家新年快樂,這篇文章也是今年最後一篇了。今天我們繼續來看逆向的相關知識,前篇文章中我們介紹瞭如何解析Android中編譯之後的AndroidManifest.xml檔案格式:http://blog.csdn.net/jiangwei09104100

Android逆向---動態方式破解apk進階篇 IDA除錯so原始碼

                一、前言今天我們繼續來看破解apk的相關知識,在前一篇:Eclipse動態除錯smali原始碼破解apk 我們今天主要來看如何使用IDA來除錯Android中的native原始碼,因為現在一些app,為了安全或者效率問題,會把一些重要的功能放到native層,那麼這樣一來,我們

【reversing.kr逆向】Direct3D FPS的writeup

Direct3D FPS  看到這個名字就感覺會不會是個射擊遊戲  然後執行果然是 玩了一會兒  看到有個幾個小胖人  打不死  走過去就Game Over了 PEiD看到使用C++寫的 直接載入IDA 分析字串 很明顯與Game Clear!就是與失敗相對