勒索软件分析_目标文件扫描行为分析

BlackBasta首先通过 FindFirstVolumeW 与 FindNextVolumeW 实现系统中第一个卷的搜索和其余卷的遍历，之后通过 GetVolumePathNamesForVolumeNameW 检索指定卷的驱动器号和挂载的文件夹路径列表，然后通过 GetVolumeInformationW 获取关于指定卷的信息，具体代码如下所示。

• FindFirstVolumeW vs. FindNextVolumeW：FindFirstVolumeW函数是Windows API中的一个函数，用于搜索计算机上的第一个卷的相关信息。它会打开一个卷搜索句柄，并返回与第一个找到的卷相关的信息。这个函数通常与FindNextVolume函数一起使用，后者用于搜索其他的卷。通过使用FindFirstVolumeW函数，我们可以枚举计算机上的所有卷，获取它们的名称以及其他属性信息。
• GetVolumePathNamesForVolumeNameW：该函数用于检索指定卷的驱动器号和挂载的文件夹路径列表。它的功能是通过传入卷名，获取该卷对应的驱动器号以及挂载点的路径列表。这个函数的返回值是一个布尔类型，指示操作是否成功。当函数成功执行后，它会通过传入的缓冲区指针，返回驱动器号和挂载点路径的列表。返回的路径列表是以Null字符('\0')作为分隔符的字符串数组，以表示列表的结束。
• GetVolumeInformationW：该函数的作用是获取关于指定卷的信息。这个Windows API函数可以用于检索指定卷的文件系统、卷标、序列号、每个簇的字节数、总簇数、可用簇数等信息。通过调用GetVolumeInformationW函数，可以让程序获取有关特定卷的重要信息，这在文件系统管理和数据操作中非常有用。

_DWO