不忘初心,方得始终
这篇文章是对前天没讲述完整的部分的补充
sub_4038F0 即解密入口
![](http://yueluo.me/wordpress/"wp-content/uploads"/2017/05/tim-e6-88-aa-e5-9b-be20170515004658.png)
sub_402020 设置RSA密钥
![](http://yueluo.me/wordpress/"wp-content/uploads"/2017/05/tim-e6-88-aa-e5-9b-be20170515004733.png)
sub_4046F0 设置内置密钥或者真实的解密密钥
设置密钥过程如下
![](http://yueluo.me/wordpress/"wp-content/uploads"/2017/05/tim-e6-88-aa-e5-9b-be20170515005031.png)
![](http://yueluo.me/wordpress/"wp-content/uploads"/2017/05/tim-e6-88-aa-e5-9b-be20170515005207.png)
![](http://yueluo.me/wordpress/"wp-content/uploads"/2017/05/7ralg46msg1d09vqr.jpg)
嗯,这次影响挺大,图转自群,来源不明。
这次攻击范围全球,只能说祝作者好死~
废话不多说,感谢Limi同志提供的样本。
二话不说扔虚拟机里面进行分析。
出乎意料的是,这玩意居然没加壳!!!对!没加壳!!!
运行起来后,先解压自己的资源,密钥是 WNcry@2ol7
![](http://yueluo.me/wordpress/"wp-content/uploads"/2017/05/nkcvr1em8r8swb7mcj.png)
然后开始加密你的个人数据
![](http://yueluo.me/wordpress/"wp-content/uploads"/2017/05/9coshn4ehnppivob8obx.png)
![](http://yueluo.me/wordpress/"wp-content/uploads"/2017/05/yodz46vnx33poab5_ly.png)
↑ 很明显用的是AES(这部分数据可以解密),还有一部分是RSA,这里调试器跑飞了,就没做分析(抱歉,能力有限)
目前这部分我重新分析了,请阅读后续文章
加密完成后:
![](http://yueluo.me/wordpress/"wp-content/uploads"/2017/05/ivjd2xd9cnueeka.jpg)
那个带黄色握手图标的玩意就是勒索的主程序,同样没加壳~
&nbs[……]
废话不多说,直接给出方法,请逐一尝试与排查
1.ADB驱动问题(包含版本过低问题,这个真的不想多说)
2.ADB端口被占用(5555,概率不大,这个很容易排查)
3.重启一下本机的ADB服务
可以粗暴的直接结束掉adb.exe进程
或者在CMD中输入
adb kill-server adb start-server
4. 手机上的ADBD异常(可能性极大)
找一个终端模拟器之类的app,在shell中执行
stop adbd start adbd
问题基本会解决,如果是端口问题
setprop service.adb.tcp.port 5555
后,在重启ADBD即可
如果上[……]
随着时间的推移,flash开始渐渐的淡出人们的视野,现在最新版本的chrome浏览器已经默认不开启flash了,但仍有大量的厂家在使用,也有大量的flash作品,比如DMM的舰队collection、一些国内的页游以及大部分还未更换成H5技术的视频网站,当年本篇文章并非考古,而是因为某些缘由,我想起了多年前的一款软件,相信年轻时经常玩flash小游戏的朋友们不会陌生。
![](http://yueluo.me/wordpress/"wp-content/uploads"/2017/05/tim-e6-88-aa-e5-9b-be20170501210224-300x242.png)
这个软件可是当年为数不多可以对flash进行实时修改的神器,但当时并未考虑过其原理,而这个软件作者早已不再更新并无法联系了,已经无法在win7下使用。
通过查询了多方资料,以及一些分析,我大胆的对该软件做出了[……]