當前位置:
首頁 > 新聞 > WannaCry勒索病毒詳細解讀

WannaCry勒索病毒詳細解讀

2017年5月12日,WannaCry蠕蟲通過MS17-010漏洞在全球範圍大爆發,感染了大量的計算機,該蠕蟲感染計算機後會向計算機中植入敲詐者病毒,導致電腦大量文件被加密。騰訊電腦管家對其進行詳細分析,分析綱要如下:



一、病毒概況

二、病毒詳細分析


1、mssecsvc.exe行為


2、tasksche.exe行為(敲詐者)


3、解密程序


4、文件列表及作用

三、Wanacry加解密過程深入分析


1、文件加密


2、文件刪除及擦寫邏輯


3、文件擦寫方案


4、詳細加密流程

5、解密過程


6、分析及調試驗證


四、變種及關聯樣本


五、安全建議


六、比特幣支付以及解密流程

七、比特幣和洋蔥網路


一、病毒概況


WannaCry病毒利用前陣子泄漏的方程式工具包中的「永恆之藍」漏洞工具,進行網路埠掃描攻擊,目標機器被成功攻陷後會從攻擊機下載WannaCry病毒進行感染,並作為攻擊機再次掃描互聯網和區域網其他機器,形成蠕蟲感染,大範圍超快速擴散。


病毒母體為mssecsvc.exe,運行後會掃描隨機ip的互聯網機器,嘗試感染,也會掃描區域網相同網段的機器進行感染傳播。此外,會釋放敲詐者程序tasksche.exe,對磁碟文件進行加密勒索。


病毒加密使用AES加密文件,並使用非對稱加密演算法RSA 2048加密隨機密鑰,每個文件使用一個隨機密鑰,理論上不可破解。




二、病毒詳細分析


1、mssecsvc.exe行為


1)開關

病毒在網路上設置了一個開關,當本地計算機能夠成功訪問http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com時,退出進程,不再進行傳播感染。目前該域名已被安全公司接管。




2)蠕蟲行為


通過創建服務啟動,每次開機都會自啟動。




從病毒自身讀取MS17_010漏洞利用代碼,playload分為x86和x64兩個版本。



創建兩個線程,分別掃描內網和外網的IP,開始進程蠕蟲傳播感染。




對公網隨機ip地址445埠進行掃描感染。




對於區域網,則直接掃描當前計算機所在的網段進行感染。



感染過程,嘗試連接445埠。




如果連接成功,則對該地址嘗試進行漏洞攻擊感染。




3)釋放敲詐者




2、tasksche.exe行為(敲詐者)


解壓釋放大量敲詐者模塊及配置文件,解壓密碼為WNcry@2ol7




首先關閉指定進程,避免某些重要文件因被佔用而無法感染。




遍歷磁碟文件,避開含有以下字元的目錄。

ProgramData
Intel
WINDOWS
Program Files
Program Files (x86)

AppDataLocalTemp

Local SettingsTemp


This folder protects against ransomware. Modifying it will reduce protection




同時,也避免感染病毒釋放出來的說明文檔。




病毒加密流程圖:




遍歷磁碟文件,加密以下178種擴展名文件:



.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der


程序中內置兩個RSA 2048公鑰,用於加密,其中一個含有配對的私鑰,用於演示能夠解密的文件,另一個則是真正的加密用的密鑰,程序中沒有相配對的私鑰。




病毒隨機生成一個256位元組的密鑰,並拷貝一份用RSA2048加密,RSA公鑰內置於程序中。




構造文件頭,文件頭中包含有標誌、密鑰大小、RSA加密過的密鑰、文件大小等信息。




使用CBC模式AES加密文件內容,並將文件內容寫入到構造好的文件頭後,保存成擴展名為.WNCRY的文件,並用隨機數填充原始文件後再刪除,防止數據恢復。




完成所有文件加密後釋放說明文檔,彈出勒索界面,需支付價值數百美元不等的比特幣到指定的比特幣錢包地址,三個比特幣錢包地址硬編碼於程序中。



115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn


12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw


13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94




3、解密程序


病毒解密程序中內置了其中一個公鑰的配對私鑰,可以用於解密使用該公鑰加密的幾個文件,用於向用戶「證明」程序能夠解密文件,誘導用戶支付比特幣。






此後,程序判斷本地是否存在「00000000.dky」文件,該文件為真實解密所需私鑰文件。若存在,則通過解密測試文件來檢測密鑰文件是否正確。




若正確,則解密。若錯誤或不存在,病毒將程判斷解壓後的Tor目錄下是否存在taskhsvc.exe。若不存在,則生成該文件,並且調用CreateProcessA拉起該進程:




該程序主要為tor匿名代理工具,該工具啟動後會監聽本地9050埠,病毒通過本地代理通信實現與伺服器連接。


在點擊「Check Payment」按鈕後,由服務端判斷是否下發解密所需私鑰。若私鑰下發,則會在本地生成解密所需要的dky文件。




而後,程序便可利用該dky文件進行解密。不過,到目前為止,未曾有解密成功的案例。


4、文件列表及作用



b.wnry: 中招敲詐者後桌面壁紙


c.wnry: 配置文件,包含洋蔥域名、比特幣地址、tor下載地址等


r.wnry: 提示文件,包含中招提示信息


s.wnry: zip文件,包含Tor客戶端


t.wnry: 解密後得到加密程序所需的dll文件


u.wnry: 解密程序(敲詐者主界面)


f.wnry: 可免支付解密的文件列表


WNCYRT: 加密過程中生成的,有的被隨機擦寫過、有的是原文件、有的只對文件頭進行了處理


WNCRY: 加密後的文件


三、Wanacry加解密過程深入分析


勒索軟體一個核心重點是其加解密過程,接下來我們對加解密和擦寫邏輯進行詳細分析。


1、文件加密



1)文件是使用AES進行加密的。


2)加密文件所使用的AES密鑰(AESKEY)是隨機生成的,即每個文件所使用的密鑰都是不同的。


3)AESKEY通過RSA加密後,保存在加密後文件的文件頭中。


4)敲詐者會根據文件類型、大小、路徑等來判斷文件對用戶的重要性,進而選擇對重要文件的先行進行加密並擦寫原文件,對認為不太重要的文件,僅作刪除處理。


2、文件刪除及擦寫邏輯



1)對於桌面、文檔、所有人桌面、所有人文檔四個文件夾下小於200M的文件,均進行加密後擦寫原文件。


2)對於其他目錄下小於200M的文件,不會進行擦寫,而是直接刪除,或者移動到back目錄(C盤下的「%TEMP%」文件夾,以及其他盤符根目錄下的「$RECYCLE」文件夾)中。


3)移動到back後,的文件重命名為%d.WNCRYT,加密程序每30秒調用taskdl.exe對back目錄下的這些文件定時刪除。


4)對於大於200M的文件,在原文件的基礎上將文件頭部64KB移動到尾部,並生成加密文件頭,保存為「WNCRYT」文件。而後,創建「WNCRY」文件,將文件頭寫入,進而按照原文件大小,對該「WNCRY」文件進行填充。


3、文件擦寫方案



1)先重寫尾部1k。


2)判斷大小後重寫尾部4k。


3)從文件頭開始每256k填充一次。


4)填寫的內容為隨機數或0x55。


4、詳細加密流程


總結密鑰及加密關係大致如下:




1)程序加密過程中,動態載入的dll里含有兩個公鑰(KEYBLOB格式),這裡分別記為PK1和PK2。


其中PK2用於加密部分文件的AESKEY,並將該部分加密文件的路徑存放在f.wnry中,這些文件是可以直接解密的(DK2也存在與可執行文件中)。


而PK1用於加密DK3(見後文介紹)。




2)解密程序u.wnry(即界面程序@WanaDecryptor@.exe)中包含有一個私鑰(KEYBLOB格式),該私鑰與PK2配對,記為DK2。該DK2用於解密f.wnry中記錄的文件。




3)程序在每次運行時,會隨機生成一組公私鑰,用於。記為PK3、DK3。其中PK3保存在本地,主要用於加密各文件加密時隨機生成的AESKEY。而DK3則由PK1加密後保存在本地,文件名為00000000.eky。


5、解密過程


1)f.wnry中記錄的文件,主要使用DK2完成解密。


2)其餘文件若需要解密,則需點擊check payment後,通過Tor將本地00000000.eky、00000000.res文件信息上傳到服務端,由服務端使用作者自己保存的DK1解密後,下發得到DK3,本地保存為00000000.dky。


3)得到DK3後,即可完成對磁碟中其餘文件的解密。


6、分析及調試驗證


將tasksche.exe拖到ida里可以發現,其加解密用到的是系統自帶API,通過GetProcAddress來獲取地址動態調用的。




於是,就可以以此為突破口來進行分析。


1)密鑰分發過程


a. 導入密鑰DK2,存放於00154830




b. 解密t.wnry




解密得到的t.wnry實則為一個DLL文件,該文件負責文件加密操作。


c. DLL線程導入PK1,存放於0016BE18




d. 生成PK3、DK3




e. 導出PK3




導出後,會調用writefile在本地生成00000000.pky。




f. 使用PK1加密DK3




由上圖可以匹配PK3和DK3。加密後,會調用writefile在本地生成00000000.eky。


至此,驗證了密鑰生成關係。


2)文件加密


a. 導入PK3,放到0016D950




b. 導入PK2,放到0016E510




c. 生成AESKEY,並使用PK3加密


生成隨機AESKEY:




使用PK3加密:




d. 使用PK2加密




使用PK2加密後的文件,會寫入f.wnry中:




選擇使用PK2還是PK3,是隨機的:




3)文件刪除和擦寫條件


調試時發現,敲詐者會對一些特定的文件再加密後對原文件進行擦寫(填充隨機數,為了防止數據回復)。操作首先找到擦寫文件的邏輯,可以知道要擦寫文件,有兩個必要條件:


條件1:傳入的this+902即back目錄必須不為空。




條件2:傳入給上層函數的參數a4,需要等於4。




往上層函數追溯,發現,該參數來自於函數10002940。


分別有3和4,兩個參數:




而再往上層,該參數取決於函數10002E70。


通過分析,得知該函數邏輯如下,會對文件列表做四部處理:



第一步:對文件類型為類型一(見後文)進行處理,做大小判斷,大於200M返回3,小於1k返回1,其餘大小則返回4。類型二的文件,均返回1。


第二步:對剩餘文件中,所有類型一的文件均返回1。而對其他類型文件,做大小判斷,大於200M的文件返回3,大於1k小於200M的文件返回4,小於1k的文件返回1。


第三步:對剩餘文件,返回4。


第四步:對wncryt文件,返回2,wncyr、exe、dll文件,返回1。


至於為什麼要這麼做,可能是考慮擦寫效率問題,為了儘可能多的加密、擦寫文件,耗時的文件、小於1k不重要的文件最後處理。其中,返回為1的,不做處理;返回為2的,做刪除處理;返回為3的:生成加密文件頭,而後做文件頭轉移處理,創建為「WNCRYT」文件,而後生成假的加密文件「WNCRY」,往裡填充隨機數;返回為4的,做完整文件加密處理。


其中判斷文件類型的代碼在:




類型一:


doc、docx、xls、xlsx、ppt、pptx、pst、msg、、vsd、vsdx、txt、csv、rtf、123、wks、wk1、pdf、dwg、onetoc2、snt、jpeg、jpg


類型二:


docb、docm、dot、dotm、dotx、xlsm、xlsb、xlw、xlt、xlm、xlc、xltx、xltm、pptm、pot、pps、ppsm、ppsx、ppam、potx、potm、edb、hwp、602、sxi、sti、sldx、sldm、sldm、vdi、vmdk、vmx、gpg、aes、arc、paq、bz2、tbk、bak、tar、tgz、gz、7z、rar、zip、backup、iso、vcd、bmp、png、gif、raw、cgm、tif、tiff、nef、psd、ai、svg、djvu、m4u、m3u、mid、wma、flv、3g2、mkv、3gp、mp4、mov、avi、asf、mpeg、vob、mpg、wmv、fla、swf、wav、mp3、sh、class、jar、java、rb、asp、php、jsp、brd、sch、dch、dip、pl、vb、vbs、ps1、bat、cmd、js、asm、h、pas、cpp、c、cs、suo、sln、ldf、mdf、ibd、myi、myd、frm、odb、dbf、db、mdb、accdb、sql、sqlitedb、sqlite3、asc、lay6、lay、mml、sxm、otg、odg、uop、std、sxd、otp、odp、wb2、slk、dif、stc、sxc、ots、ods、3dm、max、3ds、uot、stw、sxw、ott、odt、pem、p12、csr、crt、key、pfx、der


如此,第二個條件已理清楚,剩下第一個,在分析時發現:程序運行後,首先對桌面、文檔、所有人桌面、所有人文檔四個文件夾進行處理。




而對這幾個文件夾處理的時候,back目錄為空。對其他目錄進行處理的時候,會進行判定:




a. 處理C盤其他目錄時,back目錄為%temp%


b. 處理其他盤符時,back目錄為各盤符下的回收站目錄,若回收站不存在,則創建


由此,可以得到整體邏輯如下:


a. 對於桌面、文檔、所有人桌面、所有人文檔四個文件夾下的文件,文件類型為類型一、類型二的文件,大小小於200M的,均進行加密後擦寫原文件,大於200M的文件不做加密也不做擦寫操作,僅作轉移文件頭處理,後生成隨機數填充的WNCRY文件。


b. 對於其他目錄下文件:由於back目錄不為空,不會對原文件進行擦寫,而是直接刪除,或者移動到back目錄中。移動到back後,的文件命名為%d.WNCRYT,程序taskdl.ext會對back目錄下的這些文件定時刪除。同樣,大於200M的文件不做加密也不做擦寫操作,僅作轉移文件頭處理。


4)文件擦寫方式


擦寫方式主要是對加密後的原文件進行重寫。根據代碼可知,其主要填充數據有兩種:隨機數、0x55。




而擦寫過程為:



a. 先重寫尾部1k


b. 判斷大小後重寫尾部4k


c. 從文件頭開始每256k填充一次


5)解密通信


敲詐者會在Tor目錄下釋放並拉起taskhsvc.exe,該工具啟動後會監聽本地9050埠,病毒通過本地代理連接實現與Tor伺服器的通信。




在點擊「Check Payment」按鈕後,上傳本地res和eky文件。




若私鑰下發,則會在本地生成解密所需要的dky文件。




有精力可以再分析一下和Tor通信的協議,說不定,能有些啥出來呢~






6)RES文件解析


解密同時需要res文件和eky,就來分析一下res文件格式。通過分析,可得其格式大致如下:




紅色框為八位元組隨機生成,應該是用於唯一性判定;藍色框中為敲詐者首次運行時間,即首個文件加密時間;橘色框中為最後一個文件加密時間;紫色框中為加密文件總數;褐色框中記錄的是加密文件總大小。


有這些信息後,作者應該可以初步對非正常用戶進行排除。當然,具體如何判定,還不得而知。


四、變種及關聯樣本




WannCry變種情況:騰訊電腦管家從MD5維度監控到數百個變種,其中很多是因為網路傳輸過程中尾部數據損壞導致,還有一部分變種多為在原始樣本上做修改,如:Patch、加殼、偽造簽名、再打包等方式,還沒有監測到真正源碼級變化的變種。


相關樣本:



1、永恆之藍漏洞傳播的其他樣本:Onion敲詐者、挖礦樣本和UIWIX樣本。


2、Onion敲詐者針對伺服器,對EXE,DLL,PHP等文件都進行加密,勒索金額較高,6個比特幣。


3、挖礦樣本是一個「門羅幣」的挖礦程序,中毒後會通過IP策略阻止其他攻擊者對中毒機器的攻擊。


4、UIWIX技術難度更高,文件不落地在內存中執行,這兩個相關樣本都不具備蠕蟲功能。


中毒情況:雖然不斷出現變種,整體接觸樣本和中毒用戶數量呈現明顯下降趨勢,電腦管家能夠及時查殺和防禦。


典型變種詳細情況


































































時間

變種

描述

當前危害

感染數量

5月12日

WannaCry原始樣本

域名開關地址:iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。 比特幣錢包地址: 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

域名開關已經打開,對於能聯網的機器不具備感染和傳播能力。

數萬

5月13日

「想妹妹」變種

主要通過加殼實現在傀儡進程notepad.exe中執行病毒代碼,逃避殺軟檢測。

傳播能力弱

較少

域名開關修改變種

開關域名改為:ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com

域名開關已經打開,對於能聯網的機器不具備感染和傳播能力。

較少

5月14日

Excel文件圖標變種

把圖標改為excel文件圖標,增加欺騙性。

傳播能力弱

較少

Patch域名開關變種

Patch域名開關併產生傳播的變種樣本

具有一定的傳播能力

較少

5月15日

「黑吃黑」變種

出現「黑吃黑」版變種,修改3個比特幣收款帳號,並修改開關域名,而且受害者支付的比特幣被黑,無法獲取解密私鑰, 域名開關:ayylmaoTJHSSTasdfasdfasdfasdfasdfasdfasdf.com 比特幣錢包地址: 15nzzRpAsbgd1mmoqQRtiXxN49f4LcmTh4 18ucAGbkgCkU61F6yPMD19dZRUBBHyDGRV 1M9sgF4zhpusQA82rtTbrcZGKD5oBrSW5t

域名開關已經打開,對於能聯網的機器不具備感染和傳播能力。

較少

虛假簽名變種

出現通過添加虛假數字簽名來嘗試免殺的樣本

傳播能力較弱

較少

域名開關patch變種

再次出現多個修改開關域名的變種樣本,使得樣本可以在聯網情況下進行感染傳播

具有一定的傳播能力

較少

5月16日

偽裝知名安裝包變種

出現偽裝成知名軟體安裝包的樣本,增加欺騙性

具有一定的傳播能力

較少


其他關聯樣本


































時間

名稱

描述

當前危害

感染數量

最早4月份

發現挖礦木馬通過「永恆之藍」漏洞傳播

該挖礦木馬廣度較大,黑客通過批量掃描445埠植入該木馬,木馬本身不具有自動傳播功能,此外木馬運行後會通過策略關閉445埠,阻止「永恆之藍」類似攻擊手法的木馬進入系統

沒有自傳播能力,用永恆之藍漏洞傳播

數萬

最早4月份

ONION敲詐者通過「永恆之藍」漏洞傳播

敲詐者ONION經分析,也是通過「永恆之藍」漏洞進行傳播,黑客通過批量掃描445埠進行傳播感染的,本身沒有蠕蟲傳播能力,該木馬最早於4月18號出現,是利用該漏洞傳播最早的木馬之一

沒有自傳播能力,用永恆之藍漏洞傳播

較少

5月9號

UIWIX敲詐者通過「永恆之藍」漏洞傳播

敲詐者UIWIX經分析,也是通過「永恆之藍」漏洞進行傳播,該木馬全程無文件落地,較難以防禦和查殺,不過該木馬也是黑客通過批量掃描445埠進行傳播感染的,本身沒有蠕蟲傳播能力

沒有自傳播能力,用永恆之藍漏洞傳播

較少


五、安全建議


騰訊電腦管家管家提供以下安全建議:



1、關閉445、139等埠,方法詳見:http://mp.weixin.qq.com/s/7kArJcKJGIZtBH1tKjQ-uA


2、下載並更新補丁,及時修復漏洞(目前微軟已經緊急發布XP、Win8、Windows server2003等系統補丁,已經支持所有主流系統,請立即更新);


3、安裝騰訊電腦管家,管家會自動開啟主動防禦進行攔截查殺;


4、對於已經中毒的用戶,可以使用電腦管家文件恢復工具進行恢復,也可以使用電腦管家提供的解密工具嘗試解密,地址(http://t.cn/RaEHKZq)。


5、建議用戶使用微雲,10G免費空間日常備份。


六、比特幣支付以及解密流程



1、 中毒後用戶電腦裡面文檔會被加密為後綴為.wncry的文件。




2、彈出提示框提示用戶付款比特幣地址。




3、購買比特幣往這個比特幣錢包付款以後,通過病毒的洋蔥網路的匿名通信通道把付款的錢包地址發給病毒作者。




4、作者如果匿名網路在線,點擊「check payment」會收到回復的確認消息,這個時候用於解密的密鑰會通過匿名網路發送回來。




5、然後選擇解密就可以解密文件了。






6、解密完成後是仍然有可能重新中毒的,病毒並沒有標籤解密過的機器。


七、比特幣和洋蔥網路


1、 比特幣介紹


1)比特幣


比特幣(BitCoin)的概念最初由中本聰在2009年提出,根據中本聰的思路設計發布的開源軟體以及建構其上的P2P網路。比特幣是一種P2P形式的數字貨幣。點對點的傳輸意味著一個去中心化的支付系統。


與大多數貨幣不同,比特幣不依靠特定貨幣機構發行,它依據特定演算法,通過大量的計算產生,比特幣經濟使用整個P2P網路中眾多節點構成的分布式資料庫來確認並記錄所有的交易行為,並使用密碼學的設計來確保貨幣流通各個環節安全性。P2P的去中心化特性與演算法本身可以確保無法通過大量製造比特幣來人為操控幣值。基於密碼學的設計可以使比特幣只能被真實的擁有者轉移或支付。這同樣確保了貨幣所有權與流通交易的匿名性。比特幣與其他虛擬貨幣最大的不同,是其總數量非常有限,具有極強的稀缺性。該貨幣系統曾在4年內只有不超過1050萬個,之後的總數量將被永久限制在2100萬個。


2)貨幣特點


a. 完全去處中心化,沒有發行機構,也就不可能操縱發行數量。其發行與流通,是通過開源的p2p演算法實現。


b. 匿名、免稅、免監管。


c. 健壯性。比特幣完全依賴p2p網路,無發行中心,所以外部無法關閉它。


d. 無國界、跨境。跨國匯款,會經過層層外匯管制機構,而且交易記錄會被多方記錄在案。但如果用比特幣交易,直接輸入數字地址,點一下滑鼠,等待p2p網路確認交易後,大量資金就過去了。不經過任何管控機構,也不會留下任何跨境交易記錄。


(參考資料:http://baike.baidu-com/item/%E6%AF%94%E7%89%B9%E5%B8%81/4143690)


2、洋蔥網路介紹


洋蔥網路是一種在計算機網路上進行匿名通信的技術。通信數據先進行多層加密然後在由若干個被稱為洋蔥路由器組成的通信線路上被傳送。每個洋蔥路由器去掉一個加密層,以此得到下一條路由信息,然後將數據繼續發往下一個洋蔥路由器,不斷重複,直到數據到達目的地。這就防止了那些知道數據發送端以及接收端的中間人竊得數據內容。


* 本文作者:騰訊電腦管家(企業帳號),轉載請註明來自FreeBuf.COM


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 FreeBuf 的精彩文章:

新型勒索病毒軟體GruxEr來襲:深度分析如何傳播、加密及如何刪除
Facebook:AI正在長大,對抗暴力視頻直播仍需人海戰術?
利用HSTS嗅探瀏覽器歷史紀錄的三個漏洞
Joomla!3.7.0 SQL注入攻擊漏洞分析
Uber平台現身份認證漏洞,利用漏洞可重置任意賬戶密碼

TAG:FreeBuf |

您可能感興趣

詳細解讀Python數據挖掘
《Nature Genetics》解讀腫瘤利器,預測癌症進化
專業解讀 Business Analytics項目
mybaits sqlSession 源碼解讀
親子閱讀/英語啟蒙:The Very Lonely Firefly解讀
解讀目標檢測新範式:Segmentations is All You Need
ICO白皮書解讀——Basecoin
Kaggle Carvana 圖像分割比賽冠軍模型 TernausNet 解讀
無節操解讀系列之Blockchain
深度解讀 郭總詳談PoA network
解讀葡萄牙人鑽石Portuguese Diamond
全面解讀Liquidity.Network
disruptor 源碼解讀
【大牌解讀】鑽石之王Harry Winston 到底吸引了多少位時尚Icon?
無線電競最為致命:金士頓 HyperX Cloud Flight 耳機詳細解讀
NIPS2018最佳論文解讀:Neural Ordinary Differential Equations
權威解讀!iPhone比Android手機更安全?
高端存儲已死?——Dell EMC PowerMax細節解讀
深度解讀Chaumet Bee my Love愛·巢 & Liens 緣系?一生
深入解讀Google Lens