OSSLab Geek Lab - 網紅的藏寶箱
Home OSSLab Geek Lab

Search


By OSSLab Geek Lab

2017-05-19 09:03:26 有 205 人按讚
  • Share this:


https://github.com/aguinet/wannakey
這是法國人adrien guinet公開的 WannaCry 貨真價實"提取密鑰質數"程式
先來理解WannaCry 是用2048 bit RSA key
RSA key基本原理是 以二個超大質數 相乘
此質數一但破取得 RSA密鑰 就可解密檔案

這程式原理
是利用 wcry.exe進程 。Windows API CryptDestroyKey和CryptReleaseContext在釋放之前不會從記憶體中刪除質數。

就可取得RSA密鑰.

這不是勒索病毒作者的錯誤,他們呼叫Windows Crypto API沒問題。
這是因為在Windows XP ,7 ,2003 ,Vista CryptReleaseContext不清理RSA 質數。
而在Windows 10下,CryptReleaseContext會清理記憶體(因此無法用這種方法取得RSA密鑰質數)。

另外使用此程式 OS當然不要關機.. wcry.exe進程不可關閉.

此程式取得出得質數後 ,還需要Windows Crypto API.來合成 解密用的RSA private key
#OSSLab
#滿天假技術
#滿地假專家
#WannaCry

Tags:

About author
我們的理念是,做個 Reverse engineering Lab 要公開跟分享真實有效的 IT 技術與原理,才能驗證技術是否正確。 並且嘗試各種不同技術、知識、發想概念的組合來測試能否得到更佳的結果
這是個IT實驗室在Storage 、Information security、 Networking 、Embedded 造業(Karma)與解業的故事及心得
10814 followers 9738 likes "http://www.osslab.com.tw/"
View all posts