已经发表于freebuf: ( http://www.freebuf.com/column/134855.html)
《Rootkits: Subverting the Windows Kernel》,中文版名叫《Rootkits:-windows内核的安全防护》第一次以出版物的形式讲解,在wannacry里我们可以多次看到资源释放文件。
ZipReleaseWay(0, “WNcry@2ol7″),这个函数就是释放资源里的文件,进入函数内部
FindResource(hMoudle = 0,0×80=2058,”XIA”),从exe的资源节中查找类型为”XIA”的资源,资源id为2058,使用pe工具我们可以看到
MemoryModule,外国人最早开放的代码,大致的原理就是读取本地文件,解析pe文件各个节段,使用VirtualAlloc、VirtualProtect函数分配以及设置节属性,根据内存头地址修复重定向数据以及解析加载导入表,解析导出表,最后根据pe文件的入口点执行入口点函数实现加载模块。
GetProcAddress获取函数的入口地址。
WTSEnumerateSessions了当前所有的Seesion用户id,然后使用OpenTokenPrivilige函数给相应的进程赋予相对应用户id的用户Token权限,提权后的程序会得到相应用户对该电脑的相应级别的操作,比如管理权限可以在相应的系统目录下创建文件、读写删除文件、读写修改注册表等等。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!