计算机病毒和入侵检测大作业-WannaCry 病毒分析.doc

计算机病毒和入侵检测大作业 WannaCry 病毒分析 Virus Analysis Of WannaCry 大连理工大学 Dalian University of Technolog 大连理工大学毕业设计（论文）格式规范 大连理工大学本科毕业设计（论文）题目 - PAGE II - - PAGE I - 摘 要 本大作业主要针对WannaCry病毒进行分析 – 包含了病毒所利用的漏洞的完整分析和利用漏洞进行攻击的一次试验，主要部分涉及对病毒所有文件和逻辑的分析，主要目的时将病毒的完整结构和逻辑清晰的展示在大家的面前。 WannaCry，windows病毒，勒索病毒，蠕虫病毒，MS17-010 大连理工大学本科毕业设计（论文）题目 - PAGE IV - 目 录 TOC \o 1-3 \h \z \u 摘 要 I 引 言 1 1 病毒概况 2 1.1 病毒攻击行为及危害 2 1.2 传播途径和攻击方式 2 1.3 易受攻击用户群 3 2 永恒之蓝漏洞 4 2.1 漏洞情况说明 4 2.1.1 漏洞简介 4 2.1.2 漏洞影响 4 2.2 SMB协议 4 2.2.1 简介 4 2.2.2 工作原理 4 2.3 溢出分析 5 2.3.1 概述 5 2.4 漏洞的利用 5 2.4.1 情况说明 5 2.4.2 利用过程 5 2.5 漏洞攻击 6 2.5.1 准备工作 6 2.5.2 攻击过程 6 4 病毒分析 8 4.1 基础静态分析 8 4.1.1 查壳 8 4.1.2 字符串分析 8 4.1.3 识别加密算法 9 4.1.4 查看导入表 9 4.1.5 提取资源段 10 4.2 基础动态分析 10 4.2.1 进程分析 10 4.2.2 注册表分析 11 4.2.3 文件监控 11 4.2.4 感染效果 12 4.2.5 网络监控 13 5 wncry.exe 病毒主程序分析 14 5.1 主体逻辑 14 5.2 初始化操作 15 5.2.1 GetRandom 获取随机数 15 5.2.2 SetReg 设置注册表项 16 5.2.3 ReleaseFiles 释放资源文件 16 5.2.4 WriteCwnry 重写c.wnry 17 5.2.5 ExeCmdCommand 命令行执行 17 5.3 加载病毒核心操作 18 5.3.1 GetApis 获取必要的API函数 18 5.3.2 CDatabase::CDataBase 构造函数 19 5.3.3 ImportKeyAndAllocMem 导入密钥并申请空间 19 5.3.4 DecryptFile 解密t.wnry 20 5.3.5 WriteAllocMem 拷贝PE文件到内存 21 5.3.6 GetExportFunAddr 获取导出函数地址 24 5.4 小结 25 5.5 加载病毒核心操作 25 5.3.1 GetApis 获取必要的API函数 25 6 t.wnry.dll 病毒核心部分分析 25 6.1 主体逻辑 25 6.1.1 TaskStart 病毒的逻辑主体函数 26 6.1.2 GetUsersidAndCmp 获取当前用户SID并与系统的SID作比较 27 6.1.3 CreatePkyAndEky 创建 pky 和 eky 文件 27 6.1.4 CreateResFile 线程回调+创建 res 文件 28 6.1.5 CheckDky 线程回调+检测文件存在与否 28 6.2 EncrypteAllFiles 线程回调+加密 (Important) 29 6.2.1 第一层 29 6.2.2 第二层 29 6.2.3 第三层 32 6.2.4 第四层 33 6.2.5 第五层 35 6.2.6 第六层 35 6.2.7 第七层 36 6.3 剩余函数分析 37 6.3.1 StartTaskdl 线程回调+隐藏启动taskdl.exe 37 6.3.2 StartExeAndSetReg 线程回调+启动taskse.exe和@WanaDecryptor@.exe+修改注册表