dj | dj's blog - Part 2

关于列举进程Module的那点小事儿

列举进程对应Module其实是个比较常见的问题，最开始想到的是TlHelp32.h头文件里的Module32First和Module32Next函数，代码很简单：

BOOL CProcessExplorer::SimpleReadModule(DWORD dwProcessID)
{
	HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, dwProcessID);
	if (INVALID_HANDLE_VALUE == hSnapshot)
	{
		return FALSE;
	}
	MODULEENTRY32 me32 = { sizeof(MODULEENTRY32) };
	if (!Module32First(hSnapshot, &me32))
	{
		CloseHandle(hSnapshot);
		return FALSE;
	}
	do
	{
		//这里根据me32结构体做自己的事情
		
	} while (Module32Next(hSnapshot, &me32));
	CloseHandle(hSnapshot);
	return TRUE;
}

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

BOOL CProcessExplorer::SimpleReadModule(DWORD dwProcessID)

{

HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, dwProcessID);

if (INVALID_HANDLE_VALUE == hSnapshot)

{

return FALSE;

}

MODULEENTRY32 me32 = { sizeof(MODULEENTRY32) };

if (!Module32First(hSnapshot, &me32))

{

CloseHandle(hSnapshot);

return FALSE;

}

do

{

//这里根据me32结构体做自己的事情

} while (Module32Next(hSnapshot, &me32));

CloseHandle(hSnapshot);

return TRUE;

}

但是运行起来会发现，通过这套函数在编译成64位的时候，读32位的程序的Module会出错

继续阅读关于列举进程Module的那点小事儿

locky勒索病毒分析报告

病毒概述

样本为脚本文件，从服务器上下载真正的病毒文件并遍历全盘，对特定格式文件进行加密操作，释放勒索信息。

真正的勒索样本与Locky勒索病毒为同源样本，勒索信息及相关手法十分相似。

继续阅读locky勒索病毒分析报告

DetoxCrypto勒索病毒分析报告

病毒概述

DetoxCrypto是一种不改变文件后缀名的勒索病毒，在加密结束之后会改变桌面壁纸，并弹出勒索窗口与解密窗口。

下图为修改后的桌面壁纸

继续阅读DetoxCrypto勒索病毒分析报告

对某勒索病毒样本的分析

文件MD5： 6735d02b856b0e7fffefdfc940843d74

IDA载入样本发现所有函数都是白的没有发现什么可疑信息

运行用行为检测工具发现样本创建了一个子进程所有行为都是在子进程中完成

下面来看样本的行为

CreateProcess函数创建子进程

子进程是以挂起形式创建的（在挂起状态下 OD是无法附加进程的）

在当前内存申请一段空间

获取进程上下文

继续阅读对某勒索病毒样本的分析

对某病毒样本的分析——第二弹之主体部分

Oci.dll

获取当前session 其实session概念是从visit之后才出现的，在XP中所有程序都在session 0中运行

遍历进程找explorer.exe

获取explorer.exe的token

继续阅读对某病毒样本的分析——第二弹之主体部分