这篇文章是对前天没讲述完整的部分的补充
sub_4038F0 即解密入口
sub_402020 设置RSA密钥
sub_4046F0 设置内置密钥或者真实的解密密钥
设置密钥过程如下
第二个分支是 内置的rsa密钥,用于免费解密的
不忘初心,方得始终
这篇文章是对前天没讲述完整的部分的补充
sub_4038F0 即解密入口
sub_402020 设置RSA密钥
sub_4046F0 设置内置密钥或者真实的解密密钥
设置密钥过程如下
嗯,这次影响挺大,图转自群,来源不明。
这次攻击范围全球,只能说祝作者好死~
废话不多说,感谢Limi同志提供的样本。
二话不说扔虚拟机里面进行分析。
出乎意料的是,这玩意居然没加壳!!!对!没加壳!!!
运行起来后,先解压自己的资源,密钥是 WNcry@2ol7
然后开始加密你的个人数据
↑ 很明显用的是AES(这部分数据可以解密),还有一部分是RSA,这里调试器跑飞了,就没做分析(抱歉,能力有限)
目前这部分我重新分析了,请阅读后续文章
加密完成后:
那个带黄色握手图标的玩意就是勒索的主程序,同样没加壳~
&nbs[……]
废话不多说,直接给出方法,请逐一尝试与排查
1.ADB驱动问题(包含版本过低问题,这个真的不想多说)
2.ADB端口被占用(5555,概率不大,这个很容易排查)
3.重启一下本机的ADB服务
可以粗暴的直接结束掉adb.exe进程
或者在CMD中输入
adb kill-server adb start-server
4. 手机上的ADBD异常(可能性极大)
找一个终端模拟器之类的app,在shell中执行
stop adbd start adbd
问题基本会解决,如果是端口问题
setprop service.adb.tcp.port 5555
后,在重启ADBD即可
如果上[……]
随着时间的推移,flash开始渐渐的淡出人们的视野,现在最新版本的chrome浏览器已经默认不开启flash了,但仍有大量的厂家在使用,也有大量的flash作品,比如DMM的舰队collection、一些国内的页游以及大部分还未更换成H5技术的视频网站,当年本篇文章并非考古,而是因为某些缘由,我想起了多年前的一款软件,相信年轻时经常玩flash小游戏的朋友们不会陌生。
这个软件可是当年为数不多可以对flash进行实时修改的神器,但当时并未考虑过其原理,而这个软件作者早已不再更新并无法联系了,已经无法在win7下使用。
通过查询了多方资料,以及一些分析,我大胆的对该软件做出了[……]