victormeloasm/WannaCryAnalysis
GitHub: victormeloasm/WannaCryAnalysis
WannaCry 核心加载器的完整静态逆向工程分析包,提供重构代码、函数映射、载荷分析、IOC 和 YARA 规则。
Stars: 0 | Forks: 0
# WannaCry 核心加载器 — 静态逆向工程包
WannaCry 核心加载器样本的静态逆向工程包:
```
ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
```
由 **Victor Duarte Melo (Fr0ggy_)** 准备发布至 GitHub。
## 核心亮点
- PE32 x86 GUI 加载器,Visual C++ 6 时代的工具链。
- 无常规加壳工具特征;高熵值由加密的内嵌存档引起。
- 文件偏移量 `0x100F0` 处存在自定义 PE resource `XIA/2058/1033`。
- 加密 ZIP 密码:`WNcry@2ol7`。
- 基于主机名确定性地生成的服务/目录名。
- 自启动服务以及直接进程回退机制。
- 通过注册表项 `Software\WanaCrypt0r` 下的 `wd` 值实现工作目录持久化。
- `c.wnry` 钱包修补与 Tor endpoint 配置。
- 使用 RSA + Rijndael/AES 对 `t.wnry` 进行解密。
- 采用 MemoryModule 风格的手动映射,并将控制权移交至 `TaskStart(NULL, NULL)`。
## 仓库结构
```
docs/
ANALYSIS.md Full technical report
FUNCTION_MAP.md Ghidra address-to-name map
IOCS.md Hashes, paths, mutex, registry, wallets, onions
OPEN_QUESTIONS.md Follow-on reverse-engineering plan
REPRODUCIBILITY.md Static extraction and analysis commands
RESOURCE_MAP.md Payload hierarchy
src/
wannacry_loader_reconstructed.c Readable, non-buildable reconstruction
ghidra_decompile_renamed.c Full decompile with analysis names
function_map.csv Machine-readable naming map
evidence/
ghidra_original_decompile.c
static_triage_dump.txt
archive listings, hashes and file-type reports
analysis.json
rules/
wannacry_core_loader.yar
scripts/
static_extract.sh
find_tor_references.sh
SECURITY.md
```
## 从这里开始
阅读 [`docs/ANALYSIS.md`](docs/ANALYSIS.md),然后在重命名 Ghidra 项目时配合使用 [`src/function_map.csv`](src/function_map.csv)。
## 范围与进度
本包是针对目前已分析的**外部/核心加载器阶段**的完整分析记录。它并未声称内部的 `TaskStart` payload 或每个提取出的组件都已被完全逆向。这些目标在 [`docs/OPEN_QUESTIONS.md`](docs/OPEN_QUESTIONS.md) 中列出。
## 归属与来源
可读的 C 语言文件是逆向分析的重构结果,而非泄露或恢复的原始源代码。完整的重命名文件基于 Ghidra 反编译器的输出,并保留了地址后缀以便于追溯。
## WannaCry RSA-2048 加密算法中至今未被因式分解的原始公钥
26123980013155777793031337501688741863556532323816881626009872764213943978830372369298745272107333491919979895551436446220495533663024981161377892687914117532302570329647019112176534720651117256801411742197324830722539439650245623068689071167081245212411745804951454355551349296400353993896307013284931255473966616296997761267631564027466132577388695503058851957815822327617059395372980339907417500762180956457279140884347295861354075966152765961880456593864985253139057448614627648063600788944423630125534233130663774435212807217673968388513794847561116924433094159182718434994527519403127020407480127542614440056693
标签:DAST, DNS信息、DNS暴力破解, DNS 反向解析, Ghidra, YARA规则, 云资产清单, 威胁情报, 客户端加密, 应用安全, 开发者工具, 恶意软件分析, 逆向工程