网上书店系统

网上书店系统
相关内容
云产品限时秒杀广告关闭
云产品限时秒杀
云服务器1核2G首年99年,还有多款热门云产品满足您的上云需求

mysql 网上书店系统数据库
create database bookstore; use bookstore; create table book(bookid int auto_increment not null,catalogid int not null,bookname varchar(20) not null,price int not null,picture varchar(30) not null,primary key(bookid)); create table catalog(catalogid int auto_increment not null,catalogname …

网上书店管理系统数据库 sql sever
大作业1: 题目:仿当当网购物系统数据库设计与实现(2人一组)。 要求:1. 数据库各数据对象的设计与实现:表、约束、完整性体现、查询、视图,要求用合理的数据体现。 2. 文档:二人的完成过程,包括各自思考的内容,二人的讨论记录,最终的结论,要分条列出,不要写成流水账,要用书面语,不能口语化。 表结构设计…

基于J2EE的网站后台建设项目定做
基于J2EE的网站后台建设项目定做
图书管理系统开发 帮做java设计 jsp设计 实验室管理系统设计 帮做java设计 jsp设计精品课程设计开发 帮做java设计 jsp设计 药店进销存管理系统 帮做java设计 jsp设计订餐系统的设计开发 帮做java设计 jsp设计 教学评价管理系统 帮做java设计 jsp设计网上书店系统的设计…

高端资源分享群,为你学习保驾护航!
不要慌,我这边收集了很多项目源码都是可运行的,例如java的ssm商城、交通系统、网上书店系统、进销存…? 特别说明 因为很多资源都在我的百度云盘中,没有来得及一下子同步进去,你加入以后,需要任何资源直接告诉我,我这边直接给你发,现定价8.8元永久和众多的大神交流欢迎你的加入,群里的大神们都会无私的贡献…

第四范式程晓澄:机器学习如何优化推荐系统
第四范式程晓澄:机器学习如何优化推荐系统
推荐系统当下的基本架构; 如何搭建一个推荐系统。 首先讲解一下上世纪90年代—21世纪初,推荐系统诞生的土壤。 先描述几个大事件:1995年亚马逊成立网上书店; 1998年google成立,相当于革新了搜索引擎,从以前目录检索式的网站到用户可以随意搜索; 2004年,《长尾理论》这本神书问世,书中描述了一个长尾概念…

分享实录 | 第四范式程晓澄:机器学习在推荐系统中的应用
分享实录 | 第四范式程晓澄:机器学习在推荐系统中的应用
推荐系统当下的基本架构; 如何搭建一个推荐系统。? 首先讲解一下上世纪90年代—21世纪初,推荐系统诞生的土壤。 先描述几个大事件:1995年亚马逊成立网上书店; 1998年google成立,相当于革新了搜索引擎,从以前目录检索式的网站到用户可以随意搜索; 2004年,《长尾理论》这本神书问世,书中描述了一个长尾概念…

200套微信小程序源码带后端+20套Java项目+200套Android项目+多套人力资源系统
200套微信小程序源码带后端+20套Java项目+200套Android项目+多套人力资源系统
重磅资源java项目源码20套第01项目:oa办公自动化项目(四套)第06项目:校内网项目第08项目:java网上在线支付实战视频第13项目:网上商城项目第17项目:javaweb聊天室第18项目:点餐系统第19项目:网上书店…. 等等?200套android项目源码? 微信小程序带前后端200套资源,资源庞大,就不一一截图了 1.png 2.png 3.png…0daybank

红旗linux下载

红旗linux系统下载官网
相关内容
云产品限时秒杀广告关闭
云产品限时秒杀
云服务器1核2G首年99年,还有多款热门云产品满足您的上云需求

盘点多款国产Linux桌面操作系统
盘点多款国产Linux桌面操作系统
目前在中国各软件专卖店可以购买到光盘版,同时官方网站也提供光盘镜像免费下载。 红旗linux是中国较大、较成熟的linux发行版之一。 网址:http:www…工信部对此表示,将继续加大力度,支持linux的国产操作系统的研发和应用,并希望用户可以使用国产操作系统。 一、深度操作系统深度(deepin)操作系统是由…

Linux初学者指南
而linux是一个免费开源的内核,每个厂家都可以去linux内核官网http:www.kernel.org下载内核,然后去订制自己的图形界面和应用软件,所以会出现很多linux分支,但是内核都是一样的。 目前linux只要有几个分支:redhat,ubuntu,debian,suse。 很多其他linux发行版本是这几个分支的衍生版本,例如国内的红旗,centos都是…

Linux发展史
redhat(免费下载使用,更新昂贵)、centos(与redhat一样,去掉redhat logo还有收费项目)新技术、功能:fedora 安全性高(使用较少):debian国产:红旗…3. 1 什么是linuxlinux是一套开放源代码程序的、并可以自由传播的类unix操作系统软件1. 3. 2 linux发展过程unix诞(蛋)生 1969年的贝尔实验室 禁止对学生…

linux基础知识大纲
mintmandrivasuse红旗linux2、shell的基本应用1)字符界面、图像界面,以及各个终端界面之间的切换ctrl alt fn2)超级用户、普通用户的理解root用户:超级权限者,有且只有一个可以做任何操作。 普通用户:可以创建许多普通用户,并为其指定相应的权限,使其有限地使用linux系统。 什么是shell,常见的shelll类型…

exsi速用命令和常见问题
解决方案:考虑到红旗linux比较新,去官方下载11月份最新的vmware-tools,问题解决 (下载地址:http:packages.vmware.comtoolsesx)50、虚拟机文件被锁…40、红旗32位linux进入系统时提示”udevu”无法继续进入系统的问题故障状态:进入系统后,出现下图的界面,之后无法向下运行,必须按ctrl+c才能继续向下…

打造前端 Deepin Linux 工作环境——安装系统
打造前端 Deepin Linux 工作环境——安装系统
对于国产 linux 系统我个人一直不是很看好。 原因是,这么多年,没哪一个做得好的。 无论是当年的红旗系统,还是起点系统,亦或者乌七八糟的一堆分不清楚…不管怎么样,决定安装系统了。 准备工作首先,是到官方网站下载最新的系统镜像文件。 下载地址:https:www.deepin.orgdownload我下载的是 15. 4.1 的版本…

如何学习linux操作系统
如何学习linux操作系统
一、 选择适合自己的linux发行版 谈到linux的发行版本,太多了,可能谁也不能给出一个准确的数字,但是有一点是可以肯定的,linux正在变得越来越流行, 面对这么多的linux 发行版,打算从其他系统转到linux系统来的初学者可能会感到困惑,即便是忠实的 linux 用户也没有时间和精力去挨个尝试,因此初学者在学习linux…0daybank

日本动态vps

日本动态vps
相关内容
50+款云产品免费体验广告关闭
50+款云产品免费体验
提供包括云服务器,云数据库在内的50+款云计算产品。打造一站式的云产品试用服务,助力开发者和企业零门槛上云。

2019年python爬虫-我破解了中文裁判网数据挖掘-反爬技术哪些事情
2019年python爬虫-我破解了中文裁判网数据挖掘-反爬技术哪些事情
(3) 、不重复,至少在30天内不重复的ip,因为动态ip是采用vps自动拨号原理来生成的,存在重复的可能,所以您需要过滤掉一些已经用过的ip.(4) 、不限量,每天ip的数据不限制,随机改变。 五、海量的裁判文书如何解析和存储? 裁判网有几个亿的裁判文书,我们爬下来的是html原始数据,下一步是需要对html原始数据清洗…

30 分钟 HTTP 查漏补缺之 Vary
比如我会经常出差去日本,但这不代表我会说日语,同时虽然我挂了加拿大的 vps,但是提供中文内容的网站,我还是倾向于看中文accept: 与 accept-language …vary 与 动态服务关于动态服务,最常见的莫过于 vary: user-agent。 众所周知,ua 是一段特征字符串,通常包含区分客户端类型、操作系统、版本号等信息…

从全景视角看爬虫与反爬虫
该策略建立在ip稀有的前提下,目前通过代理池购买或者拨号vps等方式,可以低成本获取数十万的ip池,导致单纯的封ip策略效果越来越差。 滑块验证滑块验证…提高数据获取成本当面对的是职业选手时,只能通过提升对方人力成本来实现,比如代码混淆、动态加密方案、假数据等方式,利用开发速度大于分析速度的优势…

【报告】2018上半年互联网恶意爬虫分析
【报告】2018上半年互联网恶意爬虫分析
该策略建立在 ip 稀有的前提下,目前通过代理池购买或者拨号 vps 等方式,可以低成本获取数十万的 ip 池,导致单纯的封ip策略效果越来越差。 · 滑块验证…o2oimage.png o2o 行业恶意爬虫主要集中在点评类和团购类公司,其中以爬取商铺动态信息和星级评分信息的点评类数据为主,占总数的90%以上。 5. 公共行政…

安全报告 | 2018上半年互联网恶意爬虫分析:从全景视角看爬虫与反爬虫
该策略建立在 ip 稀有的前提下,目前通过代理池购买或者拨号 vps 等方式,可以低成本获取数十万的 ip 池,导致单纯的封ip策略效果越来越差。 滑块验证 …o2o 行业恶意爬虫主要集中在点评类和团购类公司,其中以爬取商铺动态信息和星级评分信息的点评类数据为主,占总数的90%以上。 5. 公共行政 ? 公共行政类…

腾讯云COS对象存储WordPress插件 让网站动静分离跑的更快
我们平时用 wordpress 博客较多,而适用于腾讯云的很多都失效不好用了,今天看到一个腾讯云 cos 对象存储的 wordpress 同步插件,日期比较新,测试了一下也好用。 下面魏艾斯博客把用这个插件同步腾讯云 cos 对象存储的过程写出来。 动态网站程序(比如 php、asp、jsp)和静态文件(比如图片)默认放在一台 vps 上面…

利用 Huginn 打造一站式信息阅读平台
你都可以通过手机接收到huginn给抓取的网站rss更新、微信公众号文章、天气提醒、行程安排、待办事项、新闻动态… 更多的建站程序及站长工具,你还可以看看:三大免费工具助你检测vps服务器真伪-vps主机性能和速度测试方法lsyncd搭建同步镜像-用lsyncd实现本地和远程服务器之间实时同步新版bt.cn宝塔vps主机面板建站…

面试知识点总结(持续更新)0daybank

视频服务

视频服务
相关内容
9.9元体验视频云点播广告关闭
9.9元体验视频云点播
一站式视频上传、转码处理、视频 AI、分发加速、视频播放服务,提供流量,存储,转码,审核多种优惠,低至3折,还免费赠送基础版短视频License SDK 28天使用权

标准直播
标准直播lvb依托腾讯多年的音视频技术平台,以及全球海量加速节点和领先的音视频 ai 技术,为开发者提供专业、稳定的直播推流、转码、分发及播放服务,全面满足低延迟、超高画质、大并发访问量的要求,适用于教育、游戏、媒体、电商、社区等场景。 标准直播 简介 标准直播 依托腾讯多年的音视频技术平台以及全球海量…

云直播
优化视频卡顿,直播延迟问题排查,推流失败问题排查,播放失败问题排查,适配苹果 ats 相关,概述,查询频道列表,直播连麦,云端混流,查询直播中频道列表,暂停并延迟恢复,创建录制任务,结束录制任务,旧控制台概览,全局设置,api 概览,快速入门,获取计费带宽数据,频道模式和直播码模式 id 删除相关,直播海外服务介绍…

物联网智能视频服务
客户可简单快速地实现设备接入、宽带传输、云端存储、远程观看等一站式视频场景能力并提供丰富的 ai 算法模型实现具体场景的智能解析及应用,实现端云协同智能应用。 物联网智能视频服务 简介 腾讯云物联网智能视频服务 为客户提供视频连接存储和智能应用服务 安全高效 客户可简单快速地实现设备接入 宽带传输 云端…

短视频 SDK
短视频 (ugsv)基于腾讯云强大的上传、存储、转码、分发的云点播能力,提供集成了采集、剪辑、拼接、特效、分享、播放等功能的客户端sdk,并整合腾讯的im、社交、用户画像数据以及最顶尖的ai人脸识别和图像检测技术,帮助用户聚焦业务本身,快速轻松实现基于移动端的短视频应用。 定价详情 云点播服务 使用短视频 前…

视频处理
您可以按需将云存储中的视频文件转码,满足您在各类平台将视频文件转为不同码率和分辨率的需求。 此外,智能视频处理还提供了叠加水印、视频截图、智能封面、智能编辑等服务。 视频处理 简介 视频处理 是针对海量多媒体数据 提供的云端转码和音视频处理服务您可以按需将云存储中的视频文件转码为适合在 或移动端播放…

极速高清
腾讯云极速高清使用智能动态编码技术,通过ai场景识别,结合动态编码匹配,为直播、点播等视频服务以更低的码率提供更高清的流媒体服务。 支持h.264h.265av1avsav2等多种编码算法,支持多种视频源格式:ts、mp4、flv、av1、wmv、asf、rm、ps、mov、rmvb、f4v、mkv、mxf、3gp、gxf、hls; 支持多种直播流格式: flv…

腾讯明眸 · 极速高清
腾讯云音视频编码解决方案(腾讯明眸·极速高清)依托智能动态编码技术通过智能场景识别、动态编码匹配、画质修复增强相结合,以更低码率提供更高清的流媒体服务,给您带来全新的高清视野。 音视频智能编码 音视频编码解决方案 腾讯明眸 腾讯云音视频编码解决方案 腾讯明眸极速高清 依托智能动态编码技术通过智能场景…

云直播
云直播(css)为您提供极速、稳定、专业的直播云端处理服务,根据业务的不同直播场景需求,云直播提供了标准直播、慢直播、快直播三种服务,分别针对大规模实时观看、高并发推流录制、超低延时直播场景,配合移动直播 sdk,为您提供一站式的音视频直播解决方案。 云直播 简介 云直播 为您提供极速 稳定 专业的云端…

美颜特效 SDK
抠除 替换成其他的元素 例如动态背景和 等 价格 包含企业版 的 年使用权 年 年 年短视频企业版 企业版 解锁的详细功能介绍可参见 短视频 文档 移动直播企业版解锁的详细功能介绍可参见 移动直播 文档 其他相关服务 点播服务 短视频企业版推荐配合云点播服务一起使用 不仅价格更加便宜 还会获得兼容性和用户体验上的…

移动直播 SDK
点播的视频源是云端的一个文件 文件只要没有被提供方删除就随时可以播放类似优酷土豆 爱奇艺和腾讯视频 而且由于整个视频都在服务器上所以播放的时候是有进度条的 移动直播 和云直播有什么区别 移动直播是云直播在移动直播场景下的延伸 为客户提供快速集成的直播推流 直播播放功能接入和源码 并不是独立的云服务 依赖…0daybank

拼多多漏洞

拼多多漏洞bug100块提现秒到账
文章来源:企鹅号 – 小王生活汇
拼多多漏洞,不用邀请好友,直接按步骤操作,来回几次到一百直接提现即可 亲测到账

提现操作步骤:

第一步:卸载拼多多软件,微信删除拼多多小程序

第二步:重新下载拼多多,不要登陆

第三步:复制bug代码 LbvM9qEaxquMXVJu

第四步:打开新下载的拼多多,从活动界面登录就可以领100现金直接提现

拼多多出漏洞了,10分钟教你白嫖100块,亲测有效,已经提现几个一百了,趁还没修复,抓紧吧!抓紧吧!抓紧吧!

发表于: 2020-05-20
原文链接:https://kuaibao.qq.com/s/20200520A0PZCY00?refer=cp_1026
腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
如有侵权,请联系 [email protected] 删除。0daybank

360天眼:WannaCry(想哭勒索蠕虫)技术分析

http://p7.qhimg.com/t0116f54e15cfbdcba2.jpg

传送门


【权威报告】WanaCrypt0r勒索蠕虫完全分析报告

一、 事件时间线


1) 2017年5月12日

Malware Tech在twitter上发布了一条通过SMB传播的勒索软件WannaCrypt,之后相关kill switch url被注册监管,之后该twitter作者编写了文章“How to Accidentally Stop a Global Cyber Attacks”,在该文章中记录了他是如何第一时间注意到这次攻击事件,并迅速做出相应的过程。

http://p5.qhimg.com/t018f16f90ac816911d.png

2) 2017年5月12日

360发布紧急通告,对一种利用MS17-010进行传播勒索蠕虫进行了预警。

http://p4.qhimg.com/t01437bd1fcfdc52a56.png

Malwarebytes发布相关分析的报告

http://p6.qhimg.com/t018ff668023efdeaa8.png

思科talos intelligence发布相关的分析报告

http://p4.qhimg.com/t01cf8d4b167431dc2f.png

同日英国大量医院感染WannaCry蠕虫。

http://p1.qhimg.com/t015f7fd8406a54c7a1.png

3) 2017年5月13日

360发布对WannaCry勒索蠕虫的技术分析。

http://bobao.360.cn/learning/detail/3853.html

http://p5.qhimg.com/t0117f2c78a3c047541.png

二、 蠕虫变种监测


事件发生以来,包含360公司追日团队在内多家安全研究机构对蠕虫的技术细节做了详细分析,可见文后参考引用。在原始版本的蠕虫泛滥以后,360威胁情报中心观察到了大量基于修改的变种,数量达到数百个,在情报中心的图关联搜索中可以很直观地看到部分关联:

http://p4.qhimg.com/t015901cbb99e6b60bb.png

其中几个相对比较有特点的变种如下:

1) d5dcd28612f4d6ffca0cfeaefd606bcf

新版本变种和第一版差别不大,只是修改了一开始KILL SWITCH URL(修改为http://www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com ),如下所示:

http://p2.qhimg.com/t010f1e6eaa66c0b751.jpg

目前发现有多个变种采用了这种通过简单二进制Patch的方式修改开关域名,与原始版本相关,整个恶意代码只有域名部分的字节被修改:

http://p8.qhimg.com/t01178e6f6d54eb7517.png

我们看到部分样本及对应开关域名如下:

http://p4.qhimg.com/t01b340d843a3f7a7e2.png

总体来说,由于随着系统漏洞的修补,这类样本对整体感染影响不大,下图是原始开关域名与其中一个修改后域名的解析量对比:

http://p1.qhimg.com/t01393bd59cfe01454a.png

从上图还可以看到,开关域名对蠕虫的传播影响非常大,在域名被安全研究者注册形成有效解析和访问以后初始的指数级感染趋势很快被抑制,之后基本再也没有超过最早快速上升阶段形成的高峰。

2) d724d8cc6420f06e8a48752f0da11c66

样本通过对原始样本二进制Patch直接去除了检查开关域名以停止加密的功能,可以直接进入感染流程。下图为修改前后的比较:

http://p4.qhimg.com/t01580d88c18ab7d26b.jpg

但是勒索的部分可能是由于作者疏忽,样本里硬编码的用于解压zip的密码还是[email protected], 这个密码并不能解压成功,导致勒索流程被废掉了。接来下的变种可能会修复这个“Bug”,而使攻击的威胁程度大增。

360威胁情报中心会对出现的变种蠕虫做持续跟踪,更新进展。

三、 原始蠕虫分析


作为补充,以下是360威胁情报中心对追日团队的技术分析报告基础上进行的分析确认,补充可能看到的一些细节。

样本为一个标准的网络蠕虫,通过MS17-010进行传播,不同于传统的蠕虫在于,该样本中附加了对应的勒索软件,以寻求利益的最大化,整体的感染流程如下所示:

http://p5.qhimg.com/t017518db6c96a18d95.png

样本运行之后会对内网,外网445端口进行扫描之后,通过MS17-010漏洞上传并执行payload进行传播,之后释放ransom样本,ransom执行初始化之后,再次释放对应的加密模块ransommodule对文件进行加密。

蠕虫整体分为三部分

Worm MD5:DB349B97C37D22F5EA1D1841E3C89EB4

Ransom MD5:84C82835A5D21BBCF75A61706D8AB549

RansomModule MD5:9849852166fe1d494496c1c5482498fd

Worm

主体模块

该部分为蠕虫的主体,样本运行之后会通过函数InternetOpenUrlA首先访问http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com这个地址,如果访问成功则放弃之后的运行,如下图所示,否则进入fun_enterCry,即蠕虫的主流程,这个地方对于kill switch域名的作用,主要有以下两种解释:

1. 作者用于控制样本的传播开关(但是不幸的是该域名之后被以为安全研究员注册并接管)

2. 该域名用于检测蜜罐的认证(部分蜜罐环境会接管样本的网络流量,如HTTP访问都返回成功,因此通过一个不存在的域名来校验是否运行在蜜罐环境下)

http://p0.qhimg.com/t0161cefd43cae017e9.png

进入fun_enterCry之后通过判断参数的个数来执行相应的流程。

当参数<2,进入fun_begin的安装流程。

当参数>=2,进入服务流程。

http://p0.qhimg.com/t013e6cbd76dc313680.png

安装流程中通过函数fun_starWormservice会创建一个服务mssecsvc2,参数为当前路径 –m security。

通过函数fun_releaseRansom从资源中释放出Ramsom。

http://p8.qhimg.com/t013f1578f2b111ac41.png

扫描模块

在服务流程中如下所示,首先在函数fun_initial中实现初始化(网络和payload生成),之后生成线程对内外网进行扫描,

内网一个线程,扫描整个网段。

外网128个线程循环扫描随机生成的ip。

http://p1.qhimg.com/t0199da29c8bde894b6.png

在fun_initial中会调用函数用于生成对应的payload如下所示,分别在固定偏移根据平台获取x86或x64的payload,如下图所示实际上是拷贝到v11[]中,之后读取蠕虫本身并拷贝到payload后面因此整个载荷应该是payload+蠕虫的格式。

http://p7.qhimg.com/t0177cc485b3ec38498.png

如下图所示为对应的payload的x86版本,可以看到这是一个pe文件。

http://p6.qhimg.com/t01eb541be20dad157c.png

Dump出来可以看到该段代码就是一个单的loader,用于加载资源中的蠕虫。

http://p0.qhimg.com/t01d9efb001f4985770.png

如下图所示为对应的内网感染代码的实现,通过函数fun_getipduan获取当前ip段,针对每个ip通过函数fun_starAttack发起一次攻击。

http://p6.qhimg.com/t01b39f7615ba78a5f4.png

在fun_starAttack中首先通过fun_initalSmbcontect函数探测目标ip的445端口是否开启。

http://p7.qhimg.com/t01ff8e76856c0887bb.png

如果目标机器开启了445端口,则进入fun_enterBlueattack,该函数中通过NSA泄露的enterblue实现远程攻击,并传播对应的蠕虫样本,如下所示通过fun_tryExpfirst/second实现exploit,该次exploit之后会在目标机器中运行一段内核loader(接受来自doublespular上传的payload,并在user层运行),之后通过fun_doublespularInstall,fun_doubelspluarRunpayload将之前的payload上传并运行,这段payload被内核loader加载,并释放其中资源中的蠕虫运行。

http://p2.qhimg.com/t01ef1ad3132efd189f.png

下图为外网的情况下进行的扫描,此时通过随机生成ip进行攻击。

http://p7.qhimg.com/t01ce5d72914f912064.png

Ransom释放

扫描服务启动之后,样本中资源中先解压出对应的ransome,并移动当前 C:\WINDOWS\tasksche.exe到 C:\WINDOWS\qeriuwjhrf

释放自身的1831资源(MD5: 84C82835A5D21BBCF75A61706D8AB549),到C:\WINDOWS\tasksche.exe,并以 /i参数启动

http://p5.qhimg.com/t019c17e8cca9ce5867.png

Ransome

Ransom整体流程如下:

http://p1.qhimg.com/t0134a3261d1416816a.png

在函数fun_GetDisplayName中通过username生成一个标识A。

http://p9.qhimg.com/t014c24a82c53e8dd22.png

该勒索样本其中之后,首先会判断参数是否为2,是否包含i

http://p1.qhimg.com/t014569aff0a56729a1.png

通过该标识尝试在ProgramData目录/Intel目录/Temp系统临时目录生成一个标识A的目录

http://p5.qhimg.com/t01d63fd2e168babd55.png

并将这个这个目录的属性设置为隐藏不可见。

http://p6.qhimg.com/t01e20b67988ca494a6.png

将自身拷贝创建副本。

http://p6.qhimg.com/t0128a7d60461ef0cd6.png

运行副本,优先通过服务的模式启动,否则以进程的方式启动,在函数fun_checkMutex中通过检测互斥体Global\MsWinZonesCacheCounterMutexA来判断是否运行成功。

http://p6.qhimg.com/t0103f3a52ecff11cdb.png

设置对应的注册表项

http://p3.qhimg.com/t019225fa2964bee737.png

之后在函数fun_releaseResource中通过再次解压出真正的ransome模块,解压的时候资源为对应80A,需要是使用到解压码[email protected]

http://p3.qhimg.com/t013db8d9f2856f28ae.png

解压出的文档如下所示:其中msg中包含各国的敲诈说明版本

http://p2.qhimg.com/t012c3c90f60d877079.png

详细的功能列表

http://p3.qhimg.com/t012eca05508d359d89.png

之后在函数fun_getBitaddress中获取对应的比特币付款地址,受害者通过该地址可以进行支付解锁。

http://p2.qhimg.com/t01bd984c5ae00596fb.png

运行命令再次设置该工作目录。

http://p8.qhimg.com/t013c09c1f0c3b96dca.png

之后动态获取文件类api,crypt解密类api。

http://p4.qhimg.com/t013771d01f4662fa8f.png

之后通过内置的RSA公钥解密对应的t.wnry,该模块为对应的RansomModule,用于实现真正的文件加密功能,如下所示,解密之后通过fun_shell_loadTaskStardll加载该dll到内存中,并调用TaskStart函数开始进行加密流程。

http://p7.qhimg.com/t01ee739ea88e5357bd.png

如下图示可以看到对fun_decryptTwnry函数下断,函数运行结束之后,内存中已经解密出了RansomModule,可以直接进行dump。

http://p6.qhimg.com/t01377fa2c09937cbdb.png

RansomeModule

如下图所示dump出的RansomModule的导出函数如下所示,通过TaskStart开始加密任务。

http://p4.qhimg.com/t0111e16b5569c67b5e.png

该RansomeModule的加密流程如下,黑客掌握一对公私钥A1/A2,A1公钥在样本中,A2私钥为黑客持有,RansomModule通过该公钥A1生成一对新的RSA公私钥B1/B2,公钥B1保存到文件00000000.pky中,私钥B2通过公钥A1加密保存到00000000.eky中,遍历文件并对每一个文件生成随机的AES128位秘钥C,通过公钥B1加密AES秘钥C,并用C对文件进行加密,之后将被加密AES秘钥C附加在文件内容中。

http://p8.qhimg.com/t01438f9ca60a19bc4e.png

如下所示样本首先获取file/crypt类函数,之后分别生成两个用于保存公私钥的文件名,之后通过函数fun_shell_testEncryptreliableOrnot测试内置公钥的的可靠性。

http://p6.qhimg.com/t01473a134ae1e3953c.png

如下所示对首先通过加密TESTDATA字符测试该公钥的加密可行性。

http://p9.qhimg.com/t010bd8c823fe4496e6.png

之后在函数fun_optionKey中通过该内置的公钥生成一对RSA公私钥A1/A2,并保存到对应的文件00000000.pky,00000000eky中。

http://p6.qhimg.com/t01e6e904ab6b72fd24.png

之后运行一系列线程初始化运行环境,如下图中fun_starTaskdl用于调用Taskdl.exe删除临时文件,最后进行fun_enterEncrypt开始加密流程。

http://p7.qhimg.com/t0197dfd66024d04dce.png

进入fun_enterEncrypt后,首先调用fun_runBatchangFilename,之后通过命令行关闭一些重要进程,以保证对应的文件能成功被加密。

http://p6.qhimg.com/t01d87e75d9f1b6f1a4.png

fun_runBatchangFilename中运行通过一个脚本设置一个link,将u.wnry重命名为@[email protected],该exe即为受害者能看到的勒索展示程序。

http://p2.qhimg.com/t017fafb34c566afba4.png

之后开始遍历文件,如下所示过滤掉ransom自己的文件,然后对比文件后缀是否为内置需要加密的文件类型。

http://p1.qhimg.com/t011b8833395bf008e2.png

支持的加密文件如下所示:

http://p4.qhimg.com/t0175cbb996fca112e5.png

之后创建AES秘钥并开始加密,注意此处会随机挑选几个文件使用内置的RSA公钥来进行加密,这里的目的是为解密程序提供的免费解密部分文件功能演示。

http://p5.qhimg.com/t01d33321209129ef37.png

四、 一些思考


蠕虫样本的分析显示其结构和功能并不复杂,也没有做什么技术上的对抗。为什么在全球范围内形成了如此大的危害,其核心还是在于其所依赖的蠕虫式传播手段。蠕虫攻击传播所利用的漏洞微软在2017年3月已经修补,而在4月Shadow Brokers公开了蠕虫所基于的NSA黑客工具以后,安全业界对于可能出现蠕虫其实已经有所警觉,并再次提醒更新系统,但似乎并没什么用。

这回的蠕虫事件本质上是对企业机构的内部网络安全运维一次大考,如果企业有比较完善的IT运维策略并得以有效地落地执行,安全补丁能被及时打上,在本次勒索大潮中可安然度过,反之,则必然经历一场伤痛。

五、 参考引用


[1] WanaCrypt0r勒索蠕虫完全分析报告

http://bobao.360.cn/learning/detail/3853.html

[2] Wannacry勒索软件母体主程序逆向分析

http://www.freebuf.com/vuls/134602.html

[3] WannaCry蠕虫详细分析

http://www.freebuf.com/articles/system/134578.html

[4] Wannacry 勒索软件分析

https://mp.weixin.qq.com/s/CTPvdIcryGYiGHKQyNROyA

[5] 关于“魔窟”(WannaCry)勒索蠕虫变种情况的进一步分析

http://www.antiy.com/response/Antiy_Wannacry_Explanation.html?from=groupmessage&isappinstalled=0

[6] WannaCry and Lazarus Group – the missing link?

https://securelist.com/blog/research/78431/wannacry-and-lazarus-group-the-missing-link/

[7] the-worm-that-spreads-wanacrypt0r

https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/

[8] how-to-accidentally-stop-a-global-cyber-attacks

https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html

[9] WanaCry Ransomware:Potential Link to North Korea

http://www.intezer.com/wp-content/uploads/2017/05/Intezer_WannaCry.pdf

[10] Player 3 Has Entered the Game: Say Hello to ‘WannaCry’

http://blog.talosintelligence.com/2017/05/wannacry.html?m=1&nsukey=0iYxeUP%2BZU1uMlAkxW%2FksDg0RiWTLnUGIC2KF597siLZgc3qDVK7XZMWKuhZ4RZhlW3%2BujNrSiujH1ZxR0awd6vxNsLbR61jXdVlJT7hMX3pH7gkSrhVA%2B6w%2BvT8T0bXgAmQGZOAtHfWkNjeW9lY68RaTM7fIaoNjQvQus3P0kgxvXqOZp4NSwqmsHFZTTSm


本文由 安全客 原创发布,如需转载请注明来源及本文地址。
本文地址:http://bobao.360.cn/learning/detail/3860.html0day