上回已經(jīng)分析了基本。現(xiàn)在針對關(guān)鍵call進行一個分析。
對wannacry的簡單分析 by cqr2287
http://www.liuyangsem.com/article/1238.html
(出處: 吾愛破解論壇)

首先下段，斷下后單步跟蹤。
 

 
此處采用nop，因為下面是關(guān)鍵，跳過關(guān)鍵肯定不對。
 
首先使用sprintf把%08x推入緩沖區(qū)，然后用fopen檢測是否存在。
 
而此時%08x是00000000，故是00000000.dky。
 
一樣的道理。
 
這里改為nop。因為我本地沒有這個文件。
上文便是對%08x的分析。下面的內(nèi)容就跟上一篇文章的第四部分一樣了。我就直接寫步驟，不解釋了。
 
此處為jmp


我一會嘗試看看能不能寫出補丁