CryptoWall勒索病毒分析

前几天给的样本，分析完之后，感觉还是比较经典的，且网上并没有相关分析，所以跟大家分析一下我的思路用PEID查看，并没有加壳，但是竟然有附加数据用LoadPe查看导入表信息，明显很奇怪用火绒剑分析进行行为分析，发现创建了一个跟自己同名的子进程载入Od,在这个call里程序就跑飞了跟踪进入，一脸懵*全都是这样的代码，既然创建了进程，于是直接下API断点CreateProcessW  CreateProcessA栈回溯发现地址很小，明显是申请的堆空间，且这个进程是被挂起来的，经验告诉我，既然是挂起，肯定是要修改OEP,活者是写入一段shellcode等操作继续下 WriteProcessMemory断点和我想的不太一样，虽然写入了内存，但是发现是把所有的区段都给改了，包括PE头，多次写入，不用想这块内存肯 ………………………………