site-logo site-logo

تحلیل و اجرای باج افزار WannaCry – قسمت ۲ از ۲

Last Update: 
تحلیل بدافزار
آنچه در این پست میخوانید

در قسمت قبلی به صورت تئوری بررسی کردیم باج افزار واناکرای چیکار میکنه و چجوری خودشو تکثیر میکنه ، تو این قسمت میخوایم اول اونو روی یه ماشین مجازی اجراش کنیم تا ببینیم چجوری سیستممونو آلوده میکنه و بعد با ابزار ghidra تحلیلش کنیم تا بتونیم killswitch داخلش رو پیدا کنیم …

لینک دانلود فایل های استفاده شده در ویدیو (لینک) :

 

 

این آموزش متعلق به بخش مهندسی معکوس است

برای مشاهده تمام آموزش های مهندسی معکوس وبسایت مسترپایتون به بخش مهندسی معکوس مراجعه کنید

ورود به بخش مهندسی معکوس

مارو دنبال کنید

icon--color-black Telegram
حسین احمدی

علاقه مند به دنیای کامپیوتر ها ...

ransomwarewannacryباج افزارواناکرای

Related posts

Don't miss reading these posts!

ساختار فایل PE قسمت ۵ – Relocation ها

مشکل از آنجایی شروع میشود که ویندوز ، همیشه فایل های PE را در آن آدرسی از حافظه که انتظار میرود بارگذاری نمیکند و در این صورت خیلی از چیز ها بهم میریزد ! در این بخش از ساختار فایل PE به بررسی Relocation ها در فایل PE میپردازیم . اینکه اصلا Relocation به چه معناست و در فایل PE چگونه پیاده سازی میشود .

Read more

ساختار فایل PE قسمت ۴ – واردات (Imports)

در قسمت قبلی صادرات فایل های PE را بررسی کردیم . قطعا وقتی بحث صادرات را داریم ، از طرفی واردات را هم خواهیم داشت . فایل های PE در ویندوز میتوانند توابع صادراتی فایل های دیگر را وارد (Import) کرده و از آن ها استفاده کنند. این رفتار مستلزم این است که خود فایل های PE دیگر که از صادرات آن ها استفاده میکنیم نیز در حافظه بارگذاری شوند که این کار وظیفه ی Loader ویندوز است .

Read more

ساختار فایل PE قسمت ۳ – صادرات (Exports)

در سیستم عامل ویندوز ، فایل های PE میتوانند توابعی را صادر (export) کنند تا فایل های PE دیگر از طریق وارد (import) کردن ، از آن ها استفاده کنند . این رفتار را اغلب در فایل های DLL مشاهده میکنیم ولی در واقعیت هر فایل PE حتی فایل های اجرایی میتوانند export هایی داشته باشند .

Read more

Comments

Share your comments with us

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *