本篇目录导航

# 样本信息

# PEinfo查看

# ida检查导入表

# 尝试简单查加密函数

# 通过其它函数引用找加密函数

# 动态调试加密函数

# 找到开始与结束地址dump

# 修复iat表

# ida分析脱壳后的加密函数

# ida分析API高亮显示

有问题联系作者

 

建议你关注下，毕竟全网技术栈最全公众号，总有涉及到你的领域。 

# 样本信息

ruky勒索病毒

md5：484a2bcb1335ac97ee91194f4c0964bc

# 分析

查看PE信息存在附加节数据

查看节.text高熵值，极大概率存在加密

查看导入表貌似没什么异常

由于我们已知为勒索样本，所以尝试搜索Crypt开头相关的加密函数，没有找到相关API。推测该API需要后续执行解密动态载入

原文始发于微信公众号（安全狗的自我修养）：IDA实战利用syclla修复IAT后使API高亮显示(逆向分析实战6)