تحلیل و اجرای باج افزار WannaCry – قسمت ۱ از ۲

آخرین بروزرسانی: ۱۲ فروردین ۱۴۰۲

تحلیل بدافزار

آنچه در این پست میخوانید

مارو دنبال کنید

سلام و درود . قراره یه دو قسمتی باحالو شروع کنیم . تو این دو قسمت میخوایم به بررسی بدافزار معروف WannaCry که تونست بیش از 230 هزار کامپیوتر در 150 کشور رو آلوده به خودش بکنه . در قسمت اول به صورت تئوری کارکرد ویروس رو شرح میدیم و در قسمت بعدی قراره توی یه ماشین مجازی ویروس رو اجرا کنیم و با ابزار های مهندسی معکوس اونو بررسی کنیم …

بعضی از مفاهیمی که در این قسمت بررسی خواهد شد :

– اطلاعات آماری بدافزار
– الگوریتم تکثیر ویروس
– الگوریتم رمزنگاری فایل ها توسط ویروس
– معرفی مارکوس هاچینز و کاری که کرد

مارو دنبال کنید

حسین احمدی

علاقه مند به دنیای کامپیوتر ها ...

ساختار فایل PE قسمت ۵ – Relocation ها

مشکل از آنجایی شروع میشود که ویندوز ، همیشه فایل های PE را در آن آدرسی از حافظه که انتظار میرود بارگذاری نمیکند و در این صورت خیلی از چیز ها بهم میریزد ! در این بخش از ساختار فایل PE به بررسی Relocation ها در فایل PE میپردازیم . اینکه اصلا Relocation به چه معناست و در فایل PE چگونه پیاده سازی میشود .

بیشتر بخوانید

ساختار فایل PE قسمت ۴ – واردات (Imports)

در قسمت قبلی صادرات فایل های PE را بررسی کردیم . قطعا وقتی بحث صادرات را داریم ، از طرفی واردات را هم خواهیم داشت . فایل های PE در ویندوز میتوانند توابع صادراتی فایل های دیگر را وارد (Import) کرده و از آن ها استفاده کنند. این رفتار مستلزم این است که خود فایل های PE دیگر که از صادرات آن ها استفاده میکنیم نیز در حافظه بارگذاری شوند که این کار وظیفه ی Loader ویندوز است .

بیشتر بخوانید

ساختار فایل PE قسمت ۳ – صادرات (Exports)

در سیستم عامل ویندوز ، فایل های PE میتوانند توابعی را صادر (export) کنند تا فایل های PE دیگر از طریق وارد (import) کردن ، از آن ها استفاده کنند . این رفتار را اغلب در فایل های DLL مشاهده میکنیم ولی در واقعیت هر فایل PE حتی فایل های اجرایی میتوانند export هایی داشته باشند .

بیشتر بخوانید

تحلیل و اجرای باج افزار WannaCry – قسمت ۱ از ۲

مارو دنبال کنید

پست های مرتبط

مطالعه این پست ها رو از دست ندین!

نظرات

سوالات و نظراتتون رو با ما به اشتراک بذارید

لغو پاسخ