一、病毒簡介

    CTB-LOCKER敲詐者病毒最初是在國外被發(fā)現(xiàn)的，該病毒是有兩部分組成分別是下載器部分和文檔加密部分，

CTBLOCKER敲詐者病毒下載器脫殼之樣本1

。病毒作者將下載器程序部分偽裝成郵件附件發(fā)送給一些大公司的員工或者高管，當這些人下載了郵件里的附件，解壓郵件附件運行如.src等格式的文件以后，電腦里很多格式的文件都會被加密，并且還會出現(xiàn)如下的提示畫面（圖1）以及桌面壁紙被修改（圖2）所示。

   

   

    一、病毒信息<喎?http://www.2cto.com/kf/ware/vc/" target="_blank" class="keylink">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"http://www.2cto.com/uploadfile/Collfiles/20150507/2015050710110030.png" alt="\">

    CTB-LOCKER敲詐者病毒樣本脫殼調(diào)試的時候有一個比較明顯的特點：OD動態(tài)調(diào)試時，應該在跳轉(zhuǎn)指令如Jmp和一些關鍵Call調(diào)用的地方下F2斷點，接著F9運行，然后再繼續(xù)在跳轉(zhuǎn)指令如Jmp和一些關鍵Call調(diào)用的地方下F2斷點，如此反復，直到出現(xiàn)Jmp [eax]類似的指令再慢慢調(diào)試，

電腦資料

《CTBLOCKER敲詐者病毒下載器脫殼之樣本1》(http://www.lotusphilosophies.com)。截圖如下：

   

    Enter跳到地址00401DF4處，按照上面的步驟在跳轉(zhuǎn)指令和關鍵Call的地方下斷點，然后F9運行調(diào)試。

   

    如此反復重復上面的操作，進行動態(tài)調(diào)試：

    動態(tài)調(diào)試運行到如下圖的狀態(tài)，說明里脫殼的地方不遠了：

   

   

    終于找到了目標指令JMP DWORD PTR DS:[ESI]:

   

   

   

    經(jīng)過不懈的努力，終于找到了目標PE文件的內(nèi)存Dump地址008F0000處。

    選中內(nèi)存地址008F0000以后的所有的二進制內(nèi)存數(shù)據(jù)，然后如圖所示進行二進制數(shù)據(jù)的內(nèi)存拷貝。

    內(nèi)存PE文件的數(shù)據(jù)已經(jīng)被拷貝出來了。用WinHex創(chuàng)建一個新的空白文件打開，然后將剛才拷貝的二進制內(nèi)存數(shù)據(jù)，Ctrl+C拷貝到該空白文件中并保存，如圖所示：

   

    前面截圖截了那么多頁挺累的，其實還有一個一步到位Dump目標PE文件的方法，就是在函數(shù) VirtualProtect和 VirtualProtectEx的地方下斷點，如圖所示：

   

    F9運行程序，如下圖，采取上面提到的手工Dump PE文件的方法就可以從內(nèi)存獲取到目標PE文件了。

    四、病毒分析

    現(xiàn)在好了，可以快樂的分析病毒樣本了，選擇OD或者IDA都OK。

   

    筆記到此為止，可以拍磚了。