WannaCry勒索软件分析

2017-5-14 Nie.Meining Debug

大家都知道,昨天WannaCry勒索软件在一夜之间利用系统漏洞席卷全球,特别是在内网和专网中,通过攻击445端口(蠕虫性质)大肆传播,造成了巨大数据损失。我也凑个热闹,找到一批样本上传金刚分析系统(3867553935),看看效果。

其中比较典型的分为两类,一类就是昨天大家新闻中看到的,访问某个超长的域名,如果存在就放弃攻击。如图:

315-710-3615

1.png

其实这个“域名开关”并不完全可以保平安。还有一类样本一上来就搞破坏,并不会探测域名。如某样本的分析报告:

/tcasoft.com/tcaCloudPlatform/report/toViewReport.action?rid=22bfa9109ab9d405af4188867620c730&sk=60036875

下面对该报告简单解读。

254-200-6563

评论(731) (514) 386-3085

geniculated

2017-4-14 Nie.Meining (919) 396-7184

这两天为分析引擎(/tcasoft.com/)提供了64位系统支持,上传样本时可以选择64位环境了:

219-615-0533


其实Windows系统64位和32位的内核数据结构差异并不大,只是变量具体偏移、具体长度方面的变化,所以对于API等上层行为的监控来讲比较容易实现,反而是Shellcode检测、漏洞攻击检测等指令分析方面的差异很大,还需要不断优化。

阅读全文>>

olive-growing 浏览(109182)

406-273-7395

2017-3-31 Nie.Meining Life

其实中途已经更新过好几个版本了,只是人老了比较懒,一直没更新日志,猛然一看上一篇日志居然是两年前写的……

这期间其实发生了不少事,比如N个项目开发,比如发表论文和撰写专利,以及历尽千辛万苦累感不爱终于毕业了……

废话不多说,新版分析系统更新内容包括检测项目增加、检测能力加强、匹配规则优化等多个方面。

访问地址依旧:/tcasoft.com/,欢迎大家测试并提出宝贵意见!

--------------------------------------------------------------------------------------------------

另外分享一些比较有意思的恶意代码分析报告,有新有旧:

[java样本] æœ€è¿‘捕获到的java样本越来越多,这是一种新的趋势吗?

(484) 984-1755

比较有意思的是,自己本来就是个java,还要再释放一个vbs,虽然vbs查询WMI的确挺方便:

1111.png

阅读全文>>

评论(622) 浏览(24334)

4437651044

2015-3-12 Nie.Meining (418) 871-3689

分析平台地址:/www.tcasoft.com/

升级日志:

1. 硬件升级

1.1 分析平台原来用的CPU是1.8GHz的,勒紧裤腰带买了颗2.6GHz+的换上;

2. 功能升级

2.1 增加新的检测项目,包括控制流异常、可疑堆喷射等;

4012743372

阅读全文>>

评论(852) 浏览(61121)

initializer-list-constructor in vc11(Visual Studio 2012)

2014-11-19 Nie.Meining Life

As we all know that C++11 has been added some amazing features, among which the initializer-list-constructor definitely makes our coding-lives easier. But today when compiling some code on VC11, I encountered a strange problem. The compiler complained that the header file <initializer_list> could not be found. It's very confusing. Then I searched the Internet, found this RIDICULOUS answer from Microsoft development:
4.png
"We've fixed it by deleting <initializer_list> from VC11."
Oh! Thank you so much! Your solution is perfect! Hahaha...

评论(708) 870-229-9420

Powered by (937) 960-9815