-
-
[原创]MBR修改敲诈者分析
-
发表于: 2014-5-30 13:44
-
昨天网友在QQ群里共享文件夹中上传了一个文件名字叫 敲敲敲.exe 。出于好奇的心态,我下载了它,并有恃无恐的运行了它,接下来恐怖的事情发生了,电脑重启,然后显示一片漆黑,上面留下一串QQ号
看来我是中病毒了,没办法,为了进入系统,我只好分析它,看看这家伙到底做了什么? 我拿起利刃IDA,打开文件开始分析它,应该从哪里分析呢? 既然会显示出QQ号码,那我猜肯定有字符串在 IDA 中使用 shift+F12 来到Strings Window
果然,发现两处可疑的地方。看到字符串“\\.\\physicaldrive0kernel32” 当时第一反映是修改MBR。再然后我只能希望作者会有对MBR做一次备份,用OD对程序下CreateFileA
返回的句柄值是 90
再对ReadFile下断点 ,读取0x200字节到 内存0x001655E8
内存0x001655E8 处保存的是MBR的内容(MBR 是以0x55AA结尾)
往下继续跟,申请内存,然后使用memcpy将 内存0x001655E8 拷贝 0x200字节到0x16D8A8 处,做了一次备份
接下来以写的方式打开\\.\\physicaldrive0kernel32 ,然后使用SetFilePointer 指文件指针引到第3个扇区( 偏移0x400 ) ,来看作者是有备份的
接下来就是写1扇区了如下图,是被修改后的MBR
病毒MBR的分析:
1.调用int16 中断 让用户输入密码
2.调用int13 中断 对原MBR的恢复
密码是:2Ax6a8F6R33M154JJJL956V
如果密码正确,则从第3扇区读取原先的MBR进行修复
到此主程序分析完毕。。。。
pwd:virus
virus.zip
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
 虚拟机
|
|
|
 ,还以为你真机有恃无恐的运行 
|
|
|
|
|
|
|
|
|
|
|
|
偶下载下来玩了一下,确实显示了QQ号
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
二狗,
|
|
|
|
|
|
|
|
|
|
|
|
|
