FamilyDecoders
在工作或是业余分析中,使用的IDAPython解密脚本
winsoft 家族
家族命名方式根据AhnLab-V3引擎, 统计hash winsoft.hashes
目前分析了几千个样本,统计有以下几种加密方式
- 直接明文存储
- 使用加密算法,数据起始位置固定
- 使用加密算法,数据起始位置加密
- 使用加密算法,数据起始位置需要一定偏移,并且位置加密
该家族中有各种各样的混淆,但是我目前分析的有一个共同的特点就是,如果使用了加密算法, 那么基本它使用到的所有数据都是使用一个解密函数去解密,这就造成了该解密函数被大量调用, 所以该加密算法是很容易定位的,并且加密算法的核心部分基本不变
Npkon家族
家族命名方式根据AhnLab-V3引擎,解密直接通过**flare-emu**模拟执行解密