一 : 仅以一滴泪悼念那美好而凄婉的过往
我相信,每一个转角都有一许回望流连的眼神,每一条林荫小道都有几许孤单零落的记忆,每一个暗角都有几个孤寂蜷缩的惊魂在颤抖。
什么样的故事能使我冷若冰霜?什么样的结局能使我心神震撼?是什么样的前世因,才能结得此般的今世果?
被艳阳普照的心灵是否能够一如的平静?
冰冷失色的眼神是在等待清月的浇灌?
眼前的一切似乎都在按照既定的规律、流程在运行着,但看似无比寻常的事物中却可能暗藏着无数的妥协与无奈;曾几何时,我也曾深深的觉得等待与被等待,都是一件美好而幸福的事,可与风诉相思,使耳畔留长情;可随着时间的流走,眼帘已掠过了春秋,在风尘中翻飞的事物便都蜕去了外衣,清晰明了的停驻在眼前——总是逃不过的结局。
仅以一滴泪悼念那美好而凄婉的过往……( 文章阅读网:www.61k.com )
二 : Maktub Locker:美丽而又危险的勒索软件分析
Maktub Locker是一款勒索软件,GUI界面设计的很漂亮,并且有着一些有趣的特征。勒索软件的原始名字来源于阿拉伯语言”maktub”,意思是 “这是写好的”或者”这是命运”。作者很可能想通过这样的引用来描述勒索软件的行为,暗示这是不可避免的,就像命运一样。(www.61k.com)
0×01分析样本74add6536cdcfb8b77d10a1e7be6b9ef
b24952857ff5cb26b2e97331800fa142 <- 主要分析这个样本
38eff2f7c6c8810a055ca14628a378e7 – payload (C.dll)
特别感谢 MalwareHunterTeam 和 Yonathan Klijnsma 提供的样本
0×02 行为分析勒索软件通过邮件钓鱼活动,伪装成一个服务更新的文档文件。这次文档的主题很完整:附件的名字类似于( “TOS-update-[…].scr”, “20160321_tos.scr”),而且图标也类似于文档图标:
勒索软件使用的一个欺骗技巧是释放一个真正的文档,而且是一个TOS的更新说明,.rtf格式:
当用户正在忙于阅读文档时,恶意程序就开始在后台运行,同时加密受害人的文件。
加密进程
Maktub Locker不需要从CnC服务器上下载密钥,数据可以在线下加密。加密文件的扩展名是随机的,在运行时生成,模式为:[a-z]{4,6}
比较新奇有趣的是,加密后的文件比原始文件更小。似乎勒索软件不仅仅加密而且还压缩。
原始文件和大小:
加密后的文件:
压缩文件的原因之一可能是加速文件加密过程。
不同的样本加密后的文件内容是不同的。然而,相同的文件加密后的文件是相同的。我们可以得出结论,程序运行一次随机密钥只会生成一次。之后,每个文件都会使用这个相同的密钥加密。
加密完成之后,就会弹出如下窗口:
提供给受害人指定格式的key:82个,每个单元5个字符(单元格式:[A-Z0-9]{5})。样本文件再次运行时,key也会重新生成。
样本的信息也可以在一个HTML文件(_DECRYPT_INFO_[$EXTENSION].html)中找到。这个文件在每个目录中都会被释放。
为受害人准备的网址
Maktub Locker和其他勒索软件一样,都会提供一个TOR网址。和勒索软件描述的一样,网址只提供英文版的。为了让受害人能够访问到网站,需要在一个文档输入框内输入上述82单元块内的key:
之后就会重新连接到主站。和其他勒索软件对比,Maktub Locker的网站设计的很好看,而且网站说明用辞很文明礼貌:
在demo中可以选择解密两个文件:
解密价格最低1.4BTC,并且随着时间的推移,价格也不断攀升。作者也会提示,如果太久不付款可能会导致文件永不恢复:
0×03内部构造Maktub Locker是通过crypter/FUD编写的,因此代码不可读。并且,由于FUD的功能,将会导致样本的检测变得更加困难,同时检测率在刚开始的一段时间内很低。
解压
执行FUD的起始代码。首先我们会看到大量的无用API的调用和随机字符串:
扩展:maktub locker / maktub / footlocker
这段代码用于绕过检测恶意病毒行为的工具。随后将会被新的代码重写。然而,这里依旧不是恶意代码,而是其他的绕过检测技术的代码。下面是解压TOS更新服务的代码(首先解压文件然后释放到%TEMP%文件夹中):
真正的恶意代码在另一个模块当中,解压到一个动态分配的内存中:
可以看到2个线程入口:0×10001230。他们都属于恶意代码的模块。Dump下数据,可以看到一个新的PE文件:
这个PE文件动态分配在一个连续的内存区域,在一个虚拟节区被使用。
不幸的是,dump下来的并不是一个独立的payload,文件头是无效的:
这是为了防止payload被自动dump的工具dump下来的技术。然而,如果我们在正确的时刻解压,在文件头被重写前,我们可以恢复payload。显示的是一个DLL文件(upx加壳):
加密文件的代码是在一个叫做”one”的函数中。
DLL文件是被UPX加壳的,因此可以容易的脱壳,脱壳后的DLL文件的布局如下(脱壳后的DLL:38eff2f7c6c8810a055ca14628a378e7 ):
但是依旧看不到有效字符串。导入表看起来也是毫不相关的(我们找不到类似Windows Crypto API的函数名)。这是由于导入表被动态的解析了。程序刚开始执行时,函数”one”自动加载导入表,解密文件名:
之后,通过动态加载的句柄访问。
执行流程
恶意软件首先将所有的文件进行列表。同时解压内置的配置与限制的路径列表并攻击可执行文件。每个处理路径首先核对这个列表。
下面你可以看到,选择要加密的代码的片段打开文件。通过句柄调用函数CreateFileA,动态加载到EAX寄存器:
随后,新的文件创建,添加一个扩展名:
起初,这两个文件共存于系统– 新创建的文件大小为0 。当加密的内容填充后,原始文件被删除。
加密过程完成之后,该恶意软件创建并弹出对话框。
下面是与勒索相关的GUI:
哪些文件被袭击
有选择行的攻击不同的国家。本例中,在加密文件前,程序会检测区域语言设置列表,如果发现是俄罗斯语言(俄罗斯语言的值是:0×419=1049),那么程序将自动退出:
扩展:maktub locker / maktub / footlocker
加密的文件也是预先定义的文件目录:
"\\internet explorer\\;\\history\\;\\mozilla\\;\\chrome\\;\\temp\\;\\program files\\;\\program files (x86)\\;\\microsoft\\;\\chache\\;\\chaches\\;\\appdata\\;"
内置的配置还指定了哪些扩展攻击
像其他勒索软件,它的攻击不仅在本地磁盘,而且包括安装到虚拟环境的网络共享以及外部硬盘驱动器的磁盘。
加密过程
Maktub Locker使用windowsCrypto API。但是,当我们从分析结果得出结论是,它不为每个文件都生成随机密钥。让我们来看看它使用什么样的技术来获得key…
本次为用户生成的kye是:
X25HE-J53ZU-QERDZ-ZNUJ3-SERJ6-J617E-UUASZ-AFG2G-83B08-2SHC1-AUYFZ-GJHF2-W7321-144TM
VKFKR-6TKRV-STG4B-CE5MZ-TAH4W-MP541-GD3SB-HE43J-ZF4TK-ZNZTG-R7ZBZ-AKM2U-T6TYN-53J7H
MU6J6-BTSJC-FQVQR-EH755-C1WCJ-7SNPT-MHFBS-Q638V-MASEB-R16HW-P84P2-7EEX8-KXAHB-D10F7
GF071-U37K3-GJ5Q5-WD0PD-2EG16-KMC5R-RPCBX-R8EV3-ZPXQV-TDVXM-SEEFX-XK23J-FCH4Z-RNBPN
XE6X5-4W8CT-WJQJU-071T5-DSUZW-JGSZA-KFKZ6-4DU0S-80H1H-CEP2J-PDSKA-UXBR8-8C1BB-SDQNC
1C8F7-HPZ2G-Q5JVN-F6WXH-PMUSR-8G4HT-RNYVW-DZNQ3-Y8KZJ-NYC1G-SPR3T-U5GD5
让我们研究一下这个密钥和用于加密文件之间的关系。到目前为止,我们知道,它必须在本地生成。
首先,它初始化的两个加密文本 – 两者均具有相同的设置,使用提供程序类型:
获得32位随机数,使用函数CryptGenRandom:
创建随机数的MD5(使用 CryptCreateHash, CryptHashData)。
接着使用函数CryptderiveKey,将MD5值转化为256bit的AESkey(AlgID=0×6610->CALG_AES_256)。
导入RSA公钥(2048bit)。这个Key硬编码在二进制文件中。
32byte随机数(基于AES key),通过RSA加密buffer:
输出使用预定义的字符集转化为受害人使用的可视化ID:
这就是为什么,当使用者提交他/她的个人ID,该攻击者,使用适当的私钥,可以解密原始数据,轻松地恢复随机AES密钥。
此操作后,将先前生成的AES密钥被用于加密的文件。
首先,文件内容由专用函数压缩:
之后buffer中保存着AES加密后的数据,使用CryptEncrypt
扩展:maktub locker / maktub / footlocker
加密后的数据保存在一个生成的后缀名的文件中。
0×04结论Maktub Locker显然是由专业人士开发的。从完整的产品的复杂性可以看出,它是一个团队的不同专业领域成员的合作成果,甚至包括包装业务的网站,这一切都是精心打磨。我们不知道是否crypter / FUD是由同一团队设计 – 它也可能是在黑市上被纳为可用的商业解决方案。但是,防御其的唯一途径 – 核心DLL也被模糊处理了,并且可以这肯定是由经验非常丰富的人编写的。
扩展:maktub locker / maktub / footlocker
三 : 顾城,一个美丽、凄婉和恐怖的故事
顾城和谢烨
有人说,顾城是中国现代文学史上最值得探究的话题之一,他的一生有梦想、有爱情、有背叛、有凶杀,在他死去后21年的今天,许多关于他的故事仍然是一个无解的谜。
被公认为中国朦胧诗代表人物之一的顾城,由于他美丽纯净的爱情诗,生前死后都被[www.61k.com]称为“童话诗人”——中国唯一的一个童话诗人。
但是他的一生却绝不仅仅是美丽和纯净,据报道,1993年10月8日,在新西兰激流岛上,37岁的顾城举起斧头砍死了准备离开他去德国开始新生活的妻子谢烨,然后自尽,美丽的童话变成了一个恐怖的故事。
顾城死去整整21年,他美丽的诗歌和他震惊了一代人的恐怖故事,直到今天还在流传,他死前居住的新西兰激流岛,甚至成为了游人寻访的旅游点。
在一家中国著名的旅游网站上这么写着:从奥克兰轮渡站2号码头坐30分钟轮渡抵达Waiheke岛(激流岛)后,开车沿着RockyBay方向走,找到FairviewCres后,就能找到顾城的小屋了。
顾城自己说:“我爱美,酷爱一种纯净的美,新生的美……我生活,我写作,我寻找美并表现美,是我的目的。”
他的著名诗《一代人》中的那句“黑夜给了我黑色的眼睛/我却用它寻找光明”,成为中国朦胧诗中最经典的句子,被人们经久不息的咏颂。
著名诗人杨炼的妻子、作家友友在接受BBC中文网记者的采访时说,顾城的诗直到今天还有相当大的影响力,她现在还在许多不同的中国媒体上看到顾城的诗。
友友说,顾城的爱情诗很精彩,因为只要有人类,美丽的爱情诗就一直会有生命力,所以人们今天还在读他的童话般的爱情诗。
顾城和妻子谢烨的爱情故事,最早一直是美丽动人的,1979年顾城和谢烨在火车上认识、相恋、结婚、生子。1988年顾城应奥克兰大学邀请去新西兰讲学,之后在激流岛定居。
杨炼在1970年代就认识顾城,是他带顾城去的《今天》;而顾城追求谢烨时,杨炼还给他出过主意。在友友的记忆中,顾城、谢烨还有他们的儿子小木耳,一家三口永远形影不离。
在奥克兰的日子里,顾城曾经对友友说,谢烨对他就像空气和水,离开谢烨他是不能生活的。在友友眼里,顾城一定是极其爱谢烨,因为他对她无限服从,谢烨在家里至高无上,几乎像一个女王。
而谢烨对于顾城在诗歌方面的才华则是无限崇拜,友友还记得,在他们生命的最后几年,每当朋友聚会时顾城一开口说话,谢烨就拿出一个录音机录下他的每一句话,她一定觉得顾城所有的话都很有价值。
但生活是柴米油盐,无论顾城多么有才华,至少在新西兰的日子,他们一家的生活相当窘困。
友友记得,1989年4月的一天,住在激流岛上的顾城突然给在奥克兰大学讲学的杨炼打了一个电话,他在电话里兴高采烈的说:“我们的好日子来了!”
原来那个月是奥克兰居民扔大件垃圾的月份,人们可以在街上捡到各种家具和电器,顾城就是打电话来让杨炼帮他捡一个彩色电视机。
在杨炼家住的时候,有一次吃土豆烧肉,友友记得顾城一个劲儿为儿子小木耳夹肉,自己却不吃,但是后来友友无意中撞见他在厨房里悄悄舔那个装肉的盘子,这让友友心里很难受,她知道顾城家的生活一定很艰难。
后来因为英儿住到顾城家里,使本来就不宽裕的顾城一家的生活变得更困窘,他们把已经营养不良非常缺钙的小木耳送到别人家里寄养。
关于谢烨把小木耳送出去的原因有两种说法,一种是因为生活窘困,另一种是因为顾城嫉妒儿子分享了谢烨对他的爱,所以要求谢烨把儿子送走。
有人在网上撰文说,寄养小木耳的那家人住在顾城家对面的山上,每天早晨,思子心切的谢烨一起床,就会跑到阳台上用旗语与小木耳交谈。
友友对送走小木耳的事是这么说的:一方面,从她对顾城一家在她家住的时候的观察,她认为顾城一定非常爱小木耳;但另一方面,谢烨对友友说过许多次,顾城嫉妒才1岁的儿子,儿子也嫉妒父亲。
友友不认识顾城的情人、《诗刊》编辑英儿,顾城和谢烨也从来没有在杨炼和友友面前提起英儿。但是1990年谢烨出面邀请英儿去新西兰,让她和他们夫妇共同生活,却是圈子里许多人都知道的故事。
有人羡慕谢烨和英儿对顾城的爱情,为了爱情,这两个女人不仅分享一个男人的爱,她们还可以收藏起嫉妒,和平共处的生活在那个太过宁静的激流岛上的小屋里。
有人也因此痛恨顾城,指责他的自私,指责他不仅伤害了英儿的感情,更让谢烨付出了生命的代价,而他自己也被这种自私的情感毁灭。
1993年初,迫于生计的顾城带着谢烨去欧洲讲学,把英儿留在激流岛,两个月后,英儿跟着她的英国情人也离开了激流岛。英儿的离开给了顾城巨大的打击,他多次试图自杀,还写了遗书。
其实顾城的自杀情结应该早在英儿离开之前就有,有文章说,在他和谢烨结婚不久,他就让谢烨跟他一起去自杀。他的确自杀过许多次,但是都被谢烨救了过来。
其实谢烨离开顾城的心思也早在1993年10月那个悲剧发生之前就有,一次杨炼和友友在纽约见到顾城和谢烨,谢烨当着面色灰暗的顾城的面对友友说,她要跟顾城离婚。
1993年10月悲剧发生的那天,据说谢烨已经收拾好行装准备离开顾城,离开激流岛,到德国去开始她的新生活,但是她永远没有踏上这一旅程。
顾城的斧头砍伤了她,她在送往医院的路上死去;几小时后,顾城在激流岛上的一颗大树上自缢死去,这是他无数次自杀中的最后一次,这次谢烨不能再救他了。
让一代人风靡的“童话诗人”顾城那美丽凄婉的童话故事,最终以恐怖结尾,震惊了一代人的余波,直到今天还在隐约回荡。
四 : 边城又见茶花女
你在远处,我在近处
你在高处,我在底处
你的容颜
夕阳——余末
你是我在烦乱的孤寂生活中所呼唤的一个人
爱情填空一个无法原谅的事实( 文章阅读网:www.61k.com )
悲剧演义着迷路的小孩再也找不到回家的路
这是她的一切
在原本找到依靠的时候却不得已选择了放手
从她的睛里流出了无声的眼泪
等待的只有死忘
悲剧——冷酷无情——爱于被爱的权力
这一切不是你我所能左右
“除了你的侮辱是你始终爱我的证据外,
我似乎觉得你越是折磨我,
等到你知道真相的那一天,
我在你眼中也就会显得越加崇高”
原谅她时,才发现自己的弱小
爱决定了为其付出快乐
理解你的痛苦
回忆
边城又见茶花女
五 : 凄凉过后的美丽
高考过后的,自己满腹心碎。对于大学已在无心情,就这样自己迷迷糊糊的走进了石河子。
一·漫长的旅途
告别了同窗的送别,带着父母的叮咛,自己一个人踏上了西北的列车。火车缓缓发动,自己的心早已开始前行。我的梦想就这样开始飞翔,怀着对于石河子的种种遐想,上路了!
漫长的旅途,T69上总是夹杂了种种混乱,南来的,北往的,犹如一个小小中国。也许是疆内的大学开学比较集中,这列包含着我希望的列车,甚是拥挤。
列车在前行……梦想在继续……
熙攘的车厢里,却也能给我疲惫的心带来倦意,不久便睡了。然而一觉醒来,就被外面的景象吓住了,一望无际的戈壁,漫天飞舞的黄沙,犹如记忆里发黄的旧照片。我的梦想,就这样开始破灭,心死了……( 文章阅读网:www.61k.com )
经历了漫长的煎熬过后,天山下的一抹绿,带给了我新的希望,我憧憬的新疆没有错!
坐上开往石河子的大巴,道路两旁绿树成荫。我的梦想,此刻着陆,着陆在我将生活四年,乃至一生的城市
二·印象石河子
写下这个小标题的时候,不免有些抄袭张导的《印象丽江》。丽江是美丽的,因而,迷住了张艺谋。石河子是美丽的,深深的吸引了我。
看着发黄的纸页,却是中理不开自己的思绪。石河子是什么?石河子是一首美丽的诗,是艾青亲手写下的诗;石河子一朵瑰丽的奇葩,是王震将军亲手种下的奇葩;石河子是一轴鲜丽的画卷,是周总理亲手开起的永不落幕的画卷。石河子更像一位年轻貌美的姑娘,向世人展现她的青春与活力!
在戈壁明珠中行走,你绝对感受不到戈壁,留给你的永远是光彩夺目的明珠!顺手摘下路旁的海棠果是甜甜的,这就是石河子的味道!
三·伤城不伤
石河子对于最初的我来说,的的确确是一所伤城。因为她,自己走上了异地恋的路;因为她。自己走上了背井离乡的路;因为她,自己走山了与最初的梦想背道而驰的路;因为她,自己……
哪怕是伤城的一抹充满希翼的绿,也会使我有无法言语的伤感。然而一切因为10政治而改变。我在这重新认识了一帮可亲可爱的兄弟姐妹。我们来自五湖四海,跨越千山万水,今天我们在同在石城生活和学习。这一刻,伤,已成为过去;爱,已充满心间。一点泪在心底划过,不是哀伤来过,是爱已充满心间。伤城不伤!
高考的失利,戈壁的漫天黄沙,都给自己带来不尽的凄凉。一粒闪亮的晶体在脸庞划过,留下了永不失去的伤痕。然而凄凉过后,却邂逅了一位美丽公主—石河子!醉心在石河子的美丽中,静谧的享受着松而不殆,慢而不懈的生活
点滴碎片忆石城,小城大爱在心间!
本文标题:美丽而又凄婉的边城-仅以一滴泪悼念那美好而凄婉的过往61阅读| 精彩专题| 最新文章| 热门文章| 苏ICP备13036349号-1