前言

這篇來列出會用到甚麼工具和逆向分析的環境

環境

• 受害者(動態分析用)
  其實就是滲透時的Bob主機
  系統 : Windows7 x64
• 監控機(靜態分析)
  系統 : Windows10 x64

Virus Sample

這裡使用最一開始的版本的Wannacry(有Kill Switch的)

• HA256 hash: 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c
• SHA1 hash: e889544aff85ffaf8b0d0da705105dee7c97fe26
• MD5 hash: db349b97c37d22f5ea1d1841e3c89eb4

工具

如以下，還會再更新

靜態分析

IDA Pro - 反編譯工具
PE-bear - 用於檢查PE文件結構的靜態分析工具
PE Viewer - 分析PE文件結構的工具
CFF Explorer - 分析PE文件的工具，提供靜態信息，如匯出表和依賴庫
upx - 壓縮和解壓PE文件的工具，常用來靜態分析壓縮過的可執行文件

動態分析

OllyDbg - 動態調試器，用於跟踪和分析程序在運行時的行為
Process Hacker - 進程監控工具，用來檢測和分析正在運行的進程及其行為
Wireshark - 網絡流量監控工具，動態分析惡意軟件的網絡活動
Regshot - 註冊表比較工具，記錄執行前後的註冊表變化

後記

下篇會先來靜態分析病毒，再進行動態分析