site-logo site-logo

تحلیل و اجرای باج افزار WannaCry – قسمت ۲ از ۲

آخرین بروزرسانی: 
تحلیل بدافزار
آنچه در این پست میخوانید

در قسمت قبلی به صورت تئوری بررسی کردیم باج افزار واناکرای چیکار میکنه و چجوری خودشو تکثیر میکنه ، تو این قسمت میخوایم اول اونو روی یه ماشین مجازی اجراش کنیم تا ببینیم چجوری سیستممونو آلوده میکنه و بعد با ابزار ghidra تحلیلش کنیم تا بتونیم killswitch داخلش رو پیدا کنیم …

لینک دانلود فایل های استفاده شده در ویدیو (لینک) :

 

 

مارو دنبال کنید

icon--color-black Telegram
حسین احمدی

علاقه مند به دنیای کامپیوتر ها ...

ransomwarewannacryباج افزارواناکرای

پست های مرتبط

مطالعه این پست ها رو از دست ندین!

ساختار فایل PE قسمت ۵ – Relocation ها

مشکل از آنجایی شروع میشود که ویندوز ، همیشه فایل های PE را در آن آدرسی از حافظه که انتظار میرود بارگذاری نمیکند و در این صورت خیلی از چیز ها بهم میریزد ! در این بخش از ساختار فایل PE به بررسی Relocation ها در فایل PE میپردازیم . اینکه اصلا Relocation به چه معناست و در فایل PE چگونه پیاده سازی میشود .

بیشتر بخوانید

ساختار فایل PE قسمت ۴ – واردات (Imports)

در قسمت قبلی صادرات فایل های PE را بررسی کردیم . قطعا وقتی بحث صادرات را داریم ، از طرفی واردات را هم خواهیم داشت . فایل های PE در ویندوز میتوانند توابع صادراتی فایل های دیگر را وارد (Import) کرده و از آن ها استفاده کنند. این رفتار مستلزم این است که خود فایل های PE دیگر که از صادرات آن ها استفاده میکنیم نیز در حافظه بارگذاری شوند که این کار وظیفه ی Loader ویندوز است .

بیشتر بخوانید

ساختار فایل PE قسمت ۳ – صادرات (Exports)

در سیستم عامل ویندوز ، فایل های PE میتوانند توابعی را صادر (export) کنند تا فایل های PE دیگر از طریق وارد (import) کردن ، از آن ها استفاده کنند . این رفتار را اغلب در فایل های DLL مشاهده میکنیم ولی در واقعیت هر فایل PE حتی فایل های اجرایی میتوانند export هایی داشته باشند .

بیشتر بخوانید

نظرات

سوالات و نظراتتون رو با ما به اشتراک بذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *