omnispace的博客

Locky的变种非常的多，这个样本来自下面的Url，是最新的一种变种。  这是程序在刚开始执行时与释放了Image并替换了之后的对比，很明显发生了进程替换，因此进行分析之前有必要把它内部释放出来的image提取出来，分析这个image才能搞清楚它是如何做加密的。    Locky存在一个未知的壳，IDA并不能检测出这个壳，因为它的导入表等信息并没有被破坏。它在运行起来后 ，执行

Cerber是一个可执行程序，它的感染后行为没有CryptXXX这么隐蔽，可以说分析它的行为并不困难，但是它对内部数据的保护比CryptXXX做的好。例如: 我可以写一个简单反向算法就可以将CryptXXX中的所有加密数据提取出来，但是对于Cerber它显然在对内部数据的保护上下足了功夫，但这并没有阻挡我提取出它所有的内部数据。下面会详细的分析它如何保护内部数据的逻辑。 还需要了解的是，Ce

Global Data Structure Named ImageOffset Description pConfig 0x4259A0 全局配置信息，窗口句柄，全局标志位，当前进程是否是Svchost本身等。 szMutexCrypt pConfig+0x100 全局互斥对象的名称， szModule

0x1 前言 360互联网安全中心近日发现全球多个国家和地区的机构及个人电脑遭受到了一款新型勒索软件攻击，并于5月12日国内率先发布紧急预警，外媒和多家安全公司将该病毒命名为“WanaCrypt0r”（直译：“想哭勒索蠕虫”），常规的勒索病毒是一种趋利明显的恶意程序，它会使用加密算法加密受害者电脑内的重要文件，向受害者勒索赎金，除非受害者交出勒索赎金，否则加密文件无法被恢复，而新的“想哭

前言 最近UC浏览器中文版出了一个快速搜索的功能, 在使用其他app的时候, 如果复制了一些内容, 屏幕顶部会弹一个窗口, 提示一些操作, 点击后跳转到UC, 显示这个悬浮窗不需要申请android.permission.SYSTEM_ALERT_WINDOW权限. 如下图, 截图是在使用Chrome时截的, 但是屏幕顶部却有UC的view浮在屏幕上. 我使用的是小米, 我并没有给UC授悬浮窗