Thanatos.exe恶意软件分析
此程序源自吾爱动画大赛作品《勒索软件从入门到入狱》
拿到软件先去一些云沙箱做一个简单扫描，结果如下

沙箱检测的的高危行为如下：

可疑和低危行为如下

软件的执行大致流程如下：

软件的pe信息如下：

我们利用沙箱可以看到这些信息，下面利用pe工具和ida看下，通过peid我们可以看到相关的部分pe信息和软件中的加密技术如下

接着直接在ida中看下，由于程序未使用代码混淆等技术，在用ida打开后，我们直接winmain可以看到程序的大概框架如下（简单写了下）：

进入到sub_4035D0函数内具体分析下，我们可以看到




在分析完函数sub_4035D0后，下面我们来看函数sub_402F60这部分主要为系统信息探测和文件夹遍历以及进行加密文件

下面分析下sub_402F60内的sub_402D70函数

sub_401190函数主要操作为白内部操作如下

下面我们看下sub_4028A0函数内部的操作，进入内部可以看到

其中注册表操作为

向下分析可以看到相关的网络请求

进入到sub_401D30函数内部我们可以看到

简单的过了该程序，可能其中有不少错误，望各位大佬斧正。
参考链接：
a4bK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3f1#2x3Y4m8G2K9X3W2W2i4K6u0W2j5$3&6Q4x3V1k6@1K9s2u0W2j5h3c8Q4x3X3b7I4x3o6t1J5z5e0p5I4i4K6u0V1x3g2)9J5k6o6q4Q4x3X3g2Z5N6r3#2D9

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课