[原创]跟着病毒学技术---学习WannaCry自己实现LoadLibrary-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]跟着病毒学技术---学习WannaCry自己实现LoadLibrary

发表于: 2017-5-21 23:48 15400

[原创]跟着病毒学技术---学习WannaCry自己实现LoadLibrary

ixiaohuo

2017-5-21 23:48

15400

最近逆了一下搞得人心惶惶的比特币勒索病毒WannaCry，发现里边有个知识点我挺感兴趣的，于是记下来跟大家分享。WannaCry在加载加密函数动态库的时候，并没有调用LoadLibrary()函数，而是自己实现将其加载到指定内存，并自己实现GetProcAddress()从而实现函数的调用。这样有什么好处呢？这样我们便无法查到它的加载模块与函数地址。我这里也有一个自己写的Demo，实现了LoadLibrary、GetProcAddress和FreeLibrary函数。代码中有我写的注释，比较详细可以看看。

其实，动态库的加载需要对PE格式有个清楚的认识，这样PE加载其实并不难，这里我推荐看雪的《PE权威指南》。

注：本例通过学习国外一大牛在GitHub上分享的开源代码，链接：https://github.com/fancycode/MemoryModule

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

上传的附件：

MemoryModule.zip （21.06kb，1291次下载）

收藏・79

免费・5

支持

最新回复 (35) 1 2 ▶
joker陈雪币： 10725 活跃值： (2725) 能力值： ( LV5，RANK：71 ) 在线值：发帖 18 回帖 339 粉丝 4 关注私信	joker陈 2 楼感觉可以精华了。哈哈 2017-5-22 08:05 0
basketwill 雪币： 1991 活跃值： (1506) 能力值： ( LV8，RANK：120 ) 在线值：发帖 27 回帖 166 粉丝 61 关注私信	basketwill 1 3 楼这个是老东西了，老技术了 2017-5-22 09:13 0
ixiaohuo 雪币： 1380 活跃值： (116) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 36 粉丝 3 关注私信	ixiaohuo 1 4 楼 basketwill 这个是老东西了，老技术了的确，但是不是说老技术就没有利用价值了。这不是最近那个病毒还在用么？给不会的人分享一下么 2017-5-22 09:28 0
kanxue 雪币： 44229 活跃值： (19950) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 527 关注私信	kanxue 8 5 楼 basketwill 这个是老东西了，老技术了论坛欢迎基础的东西，这也是给新人一个学习的机会 2017-5-22 09:38 0
syxdotar 雪币： 1112 活跃值： (184) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 91 粉丝 0 关注私信	syxdotar 6 楼支持 2017-5-22 09:40 0
kanxue 雪币： 44229 活跃值： (19950) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 527 关注私信	kanxue 8 7 楼 joker陈感觉可以精华了。哈哈如果再加上一些文字解说，就可以精华了。 2017-5-22 09:40 0
supersoar 雪币： 583 活跃值： (147) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 189 粉丝 0 关注私信	supersoar 8 楼 basketwill 这个是老东西了，老技术了问题是老技术也没几个人愿意分享出来啊。。。。论坛我搜过没几个相关话题。 2017-5-22 19:04 0
Rookietp 雪币： 1042 活跃值： (470) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 9 楼注释很完整~感觉可以得精华。 2017-5-22 23:39 0
newine 雪币： 1849 活跃值： (57) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 121 粉丝 0 关注私信	newine 10 楼像这种，想搜的时候都找不到，感谢分享，减少学习时间成本。 2017-5-23 16:03 0
lynnux 雪币： 3330 活跃值： (1662) 能力值： ( LV6，RANK：93 ) 在线值：发帖 25 回帖 382 粉丝 15 关注私信	lynnux 11 楼 kanxue 如果再加上一些文字解说，就可以精华了。用老外的代码却一点都不提出处，https://github.com/fancycode/MemoryModule 2017-5-23 16:21 0
kanxue 雪币： 44229 活跃值： (19950) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 527 关注私信	kanxue 8 12 楼 lynnux 用老外的代码却一点都不提出处，https://github.com/fancycode/MemoryModule 这个观点同意，大家引用别人的资料，参考资料里提一下。 2017-5-23 16:24 0
ixiaohuo 雪币： 1380 活跃值： (116) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 36 粉丝 3 关注私信	ixiaohuo 1 13 楼 lynnux 用老外的代码却一点都不提出处，https://github.com/fancycode/MemoryModule 这个我忘了，的确是用的老外的资料，谢谢提醒 2017-5-23 18:32 0
rlive 雪币： 26 活跃值： (79) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 39 粉丝 0 关注私信	rlive 14 楼注入弹个hello world框，都算精华了。 2017-5-24 10:35 0
叁毛雪币： 17 活跃值： (308) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 213 粉丝 2 关注私信	叁毛 1 15 楼很好，拼最后，大家都是拼谁对基础理解更透，细节更清楚。技术本身没有过时的。 2017-5-24 11:19 0
ugvjewxf 雪币： 615 活跃值： (530) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 352 粉丝 11 关注私信	ugvjewxf 16 楼这样我们便无法查到它的加载模块与函数地址。好处就是这个，学习下，不错，感谢楼主分享出来 2017-5-26 06:23 0
PPTV 雪币： 9560 活跃值： (2391) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 153 粉丝 0 关注私信	PPTV 17 楼跟着病毒学技术---学习WannaCry自己实现LoadLibrary 2017-5-26 23:15 0
yirucandy 雪币： 6394 活跃值： (2207) 能力值： ( LV12，RANK：320 ) 在线值：发帖 23 回帖 96 粉丝 96 关注私信	yirucandy 6 18 楼不错鼓励一下 2017-9-1 20:52 0
聖blue 雪币： 6818 活跃值： (153) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 358 粉丝 1 关注私信	聖blue 19 楼不错！！！！！！！ 2017-9-1 21:48 0
匿名编程雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	匿名编程 20 楼研究学习 2017-9-4 09:11 0
冰雄雪币： 1484 活跃值： (1135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 224 粉丝 52 关注私信	冰雄 21 楼不错的东西。病毒代表技术的水平高低 2017-9-5 09:07 0
拍拖雪币： 1790 活跃值： (3524) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 259 粉丝 9 关注私信	拍拖 2 22 楼 MemoryModule的实现有些问题，在加载VMPROTECT3.0以前加壳的DLL（启用内存保护功能）会报文件被修改从而DLLMAIN初始化失败。 2017-9-5 18:03 0
换个刀锋雪币： 29 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 32 粉丝 0 关注私信	换个刀锋 23 楼好东西，学到很多 2017-12-7 13:54 0
niuzuoquan 雪币： 310 活跃值： (2227) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 520 粉丝 2 关注私信	niuzuoquan 24 楼 mark 2017-12-7 17:29 0
ielts 雪币： 965 活跃值： (89) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 254 粉丝 1 关注私信	ielts 25 楼支持 2017-12-9 11:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

ixiaohuo

发帖

回帖

RANK

关注

私信

他的文章

[求助]Beyond Compare无法使用 3086

关于我们

联系我们

企业服务

看雪公众号

最新回复 (35) 1 2 ▶
joker陈雪币： 10725 活跃值： (2725) 能力值： ( LV5，RANK：71 ) 在线值：发帖 18 回帖 339 粉丝 4 关注私信	joker陈 2 楼感觉可以精华了。哈哈 2017-5-22 08:05 0
basketwill 雪币： 1991 活跃值： (1506) 能力值： ( LV8，RANK：120 ) 在线值：发帖 27 回帖 166 粉丝 61 关注私信	basketwill 1 3 楼这个是老东西了，老技术了 2017-5-22 09:13 0
ixiaohuo 雪币： 1380 活跃值： (116) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 36 粉丝 3 关注私信	ixiaohuo 1 4 楼 basketwill 这个是老东西了，老技术了的确，但是不是说老技术就没有利用价值了。这不是最近那个病毒还在用么？给不会的人分享一下么 2017-5-22 09:28 0
kanxue 雪币： 44229 活跃值： (19950) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 527 关注私信	kanxue 8 5 楼 basketwill 这个是老东西了，老技术了论坛欢迎基础的东西，这也是给新人一个学习的机会 2017-5-22 09:38 0
syxdotar 雪币： 1112 活跃值： (184) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 91 粉丝 0 关注私信	syxdotar 6 楼支持 2017-5-22 09:40 0
kanxue 雪币： 44229 活跃值： (19950) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 527 关注私信	kanxue 8 7 楼 joker陈感觉可以精华了。哈哈如果再加上一些文字解说，就可以精华了。 2017-5-22 09:40 0
supersoar 雪币： 583 活跃值： (147) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 189 粉丝 0 关注私信	supersoar 8 楼 basketwill 这个是老东西了，老技术了问题是老技术也没几个人愿意分享出来啊。。。。论坛我搜过没几个相关话题。 2017-5-22 19:04 0
Rookietp 雪币： 1042 活跃值： (470) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 9 楼注释很完整~感觉可以得精华。 2017-5-22 23:39 0
newine 雪币： 1849 活跃值： (57) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 121 粉丝 0 关注私信	newine 10 楼像这种，想搜的时候都找不到，感谢分享，减少学习时间成本。 2017-5-23 16:03 0
lynnux 雪币： 3330 活跃值： (1662) 能力值： ( LV6，RANK：93 ) 在线值：发帖 25 回帖 382 粉丝 15 关注私信	lynnux 11 楼 kanxue 如果再加上一些文字解说，就可以精华了。用老外的代码却一点都不提出处，https://github.com/fancycode/MemoryModule 2017-5-23 16:21 0
kanxue 雪币： 44229 活跃值： (19950) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 527 关注私信	kanxue 8 12 楼 lynnux 用老外的代码却一点都不提出处，https://github.com/fancycode/MemoryModule 这个观点同意，大家引用别人的资料，参考资料里提一下。 2017-5-23 16:24 0
ixiaohuo 雪币： 1380 活跃值： (116) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 36 粉丝 3 关注私信	ixiaohuo 1 13 楼 lynnux 用老外的代码却一点都不提出处，https://github.com/fancycode/MemoryModule 这个我忘了，的确是用的老外的资料，谢谢提醒 2017-5-23 18:32 0
rlive 雪币： 26 活跃值： (79) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 39 粉丝 0 关注私信	rlive 14 楼注入弹个hello world框，都算精华了。 2017-5-24 10:35 0
叁毛雪币： 17 活跃值： (308) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 213 粉丝 2 关注私信	叁毛 1 15 楼很好，拼最后，大家都是拼谁对基础理解更透，细节更清楚。技术本身没有过时的。 2017-5-24 11:19 0
ugvjewxf 雪币： 615 活跃值： (530) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 352 粉丝 11 关注私信	ugvjewxf 16 楼这样我们便无法查到它的加载模块与函数地址。好处就是这个，学习下，不错，感谢楼主分享出来 2017-5-26 06:23 0
PPTV 雪币： 9560 活跃值： (2391) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 153 粉丝 0 关注私信	PPTV 17 楼跟着病毒学技术---学习WannaCry自己实现LoadLibrary 2017-5-26 23:15 0
yirucandy 雪币： 6394 活跃值： (2207) 能力值： ( LV12，RANK：320 ) 在线值：发帖 23 回帖 96 粉丝 96 关注私信	yirucandy 6 18 楼不错鼓励一下 2017-9-1 20:52 0
聖blue 雪币： 6818 活跃值： (153) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 358 粉丝 1 关注私信	聖blue 19 楼不错！！！！！！！ 2017-9-1 21:48 0
匿名编程雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	匿名编程 20 楼研究学习 2017-9-4 09:11 0
冰雄雪币： 1484 活跃值： (1135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 224 粉丝 52 关注私信	冰雄 21 楼不错的东西。病毒代表技术的水平高低 2017-9-5 09:07 0
拍拖雪币： 1790 活跃值： (3524) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 259 粉丝 9 关注私信	拍拖 2 22 楼 MemoryModule的实现有些问题，在加载VMPROTECT3.0以前加壳的DLL（启用内存保护功能）会报文件被修改从而DLLMAIN初始化失败。 2017-9-5 18:03 0
换个刀锋雪币： 29 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 32 粉丝 0 关注私信	换个刀锋 23 楼好东西，学到很多 2017-12-7 13:54 0
niuzuoquan 雪币： 310 活跃值： (2227) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 520 粉丝 2 关注私信	niuzuoquan 24 楼 mark 2017-12-7 17:29 0
ielts 雪币： 965 活跃值： (89) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 254 粉丝 1 关注私信	ielts 25 楼支持 2017-12-9 11:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复