文件名称 : 蜡笔小新辅助.exe  

文件大小 : 3571712 byte :  

文件类型 : application/x-dosexec  

MD5 : 849f08859ed9304a5cdad56822d72b48  

SHA1 : 6d8cf89d35a8c3993ebe6fbbb42ddb7ff65d78b3  

壳类：VMP2.07

样本类型：MBR锁机

行为：运行目录生成一个名为ExtraDll.dll的文件 检测是否存在PowerRemind.exe影子系统 直接运行会修改MBR 

硬盘锁：所谓知己知彼,百战百胜,要修复一个问题,如果知道他是怎么导致的~那么修复会变的更为简单,硬盘锁一般是通过可执行文件安装的!此类病毒通过修改系统启动过程中的关键位置,导致系统启动失败.如果要修复硬盘锁,最简单的方法就是修复那个被修改的部分
硬盘锁原理：
此类锁机是通过篡改硬盘的0磁道0柱面1扇区的那部分数据,我们一般称这一扇区叫做MBR(主引导扇区),这部分又启动引导代码与分区表组成,引导代码用于将电脑正确的引导到硬盘的系统盘区的启动代码处,分区表这里实际上只有4个,也叫主分区表,扩展分区不在此列,这里不详细讨论,只是简单说明一下原理. 

今天有个朋友加了我的群 然后说电脑被锁了

运行看行为或者锁机的界面

....VMP 要丢回收站了吗？

不。这是不可能的事情~

丢进OD吧

Show time~

0x02

硬盘锁的话 下一个bp WriteFile 的断点 看看是否能找到写入的数据呢

（注意：动态分析的话，由于样本有虚拟机检测，VMP壳嘛，作者都喜欢把保护拉满，我尝试在VMX文件加入了代码就过了这个检测，毕竟壳的版本不高）

一般都输入10000即可 然后点击Execution

花指令已经去除了 接下来就搜一下字符串吧

很明显程序运行的时候检测了是否存在影子系统的进程，好毒啊~

对红色箭头的四个地方下断  

接下来就是运行程序 运行后 断下了一个

但是堆栈窗口并没有给我们想要的东西

再一次尝试运行

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！