靜態分析流程

因為我還比較沒有分析的經驗，故我會照著這張流程圖去做靜態分析

(Source : https://www.researchgate.net/figure/Static-malware-analysis-workflow_fig3_322376539)
而這篇內容主要會是前三個步驟

1. Input Malware Sample 準備樣本

病毒名 : WannaCry
HA1 hash: e889544aff85ffaf8b0d0da705105dee7c97fe26
MD5 hash: db349b97c37d22f5ea1d1841e3c89eb4

2. Finger Printing 病毒特徵識別

這裡我使用網站Virustotal來分析

從分數來看，得知是個蠻危險的惡意程式
且可以看到說原本程式名叫做lhdfrgui.exe
經過查詢可猜測目的是為了偽裝成dfrgui.exe這個合法工具(Windows磁碟重組工具)

分數底下是各個防毒軟體對於這個病毒的評斷

可從中得知這個病毒是來源於WannaCry家族的
且是支木馬加蠕蟲的勒索軟體

有些防毒軟體還給了CVE編號，可以查詢看看
CVE-2016-0147
得知就是當時Windows的SMBv1漏洞(永恆之藍exploit)

所以這個應該就是WannaCry這個病毒沒錯惹

3. Packer Detection 檢查是否有加殼

使用工具來檢查是否有加殼

1. PEiD
   

2. Die
   

看起來是沒有被加殼的

總結

這是一隻原本叫做lhdfrgui.exe的木馬加蠕蟲的勒索軟體
會偽裝成dfrgui.exe合法工具
且根據資訊得知就是WannaCry這個勒索軟體
沒有被加殼

參考資料

靜態分析流程