好久以前就有人反馈说用了xx外挂以后, 机器被锁定了. 这种一般都是小打小闹, 大多是利用net user xxxxx指令来改改密码什么的, 基本没有任何影响. 后来分析了很多xiaoba出品的病毒, 这个病毒也是伪装成外挂程序来诱导用户来运行程序, 基本上都是利用第三方的一个模块来把一段shellcode写入到磁盘引导里面, 调用的时候直接输入要打印到屏幕上的的字和解锁密码就可以完成了.
之前都是直接在磁盘引导里面查看密码, 然后给他们提供解密的密钥, 只要这个程序不是撕票型的勒索者, 就肯定有备份的地方, 这次刚好又来了一个, 我就想好好分析一下这个程序, 看看手动能不能直接恢复用户磁盘引导, 刚好也很久没有分析16位的程序了, 顺便拿来练练手, 想当年也是看着王爽的<汇编语言>入门的.
经过测试, 这个程序碰到杀软是直接就能报毒的, 真的是不知道那些用免费外挂的人是怎么想的, 免费的外挂也敢运行. 这些免费外挂基本都是有病毒的, 低调一点的一般都是抓个肉鸡然后要么偷偷后台刷流量要么偷偷挖矿, 高调一点的就是把计算机加密了, 然后直接要钱, 顺便再打印几句骂人的话, 你说要不要爆炸?
文件名: 无双.exe
Md5: 0CFA3940AEECFF67D76B447A5E9711FB
附件: 0.bin (这个是备份下来的磁盘引导, 有兴趣的可以自己看看)
运行流程:
IDA里面分析dump出来的磁盘引导:
经过上面的分析, 弄清楚原理以后, 直接用磁盘编辑工具把第三个扇区备份一下, 然后恢复到第一个扇区里面, 重启以后计算机恢复正常.
再啰嗦几句:
1. 16位汇编确实生疏了, 查了很多资料, 感谢以下链接.
(1) DEBUG命令详解: https://blog.csdn.net/csshuke/article/details/52933219
(2)
DOS主引导扇区分析:
https://blog.csdn.net/czhny/article/details/6363942
(3) int 13h 参数大全: blog.sina.com.cn/s/blog_5028978101008wk2.html
(4) 键盘I/O中断调用: https://blog.csdn.net/qingkongyeyue/article/details/68490194
(5) 汇编--INT 10H功能: https://www.cnblogs.com/magic-cube/archive/2011/10/19/2217676.html
2. 不要总是想着免费的, 有毒! 真有毒! 免费的ghost系统里面bootkit病毒, 免费的激活工具里面有后台刷量的病毒, 免费的外挂有勒索者病毒.
3. 装个杀软, 虽然免费杀软偶尔弹弹广告, 推推软件啥的, 但是防毒上面还是不错的, 毕竟杀软那些人也要吃饭, 他们要是喝西北风了, 免费杀软就没有了, 杀软报毒的软件, 尽量不要运行, 不要嫌麻烦.
[培训]内核驱动高级班,冲击BAT一流互联网大厂工
作,每周日13:00-18:00直播授课