-
-
[原创]分析一个强壳锁机软件过程
-
发表于:
2019-1-7 23:47
15462
-
文件名称 : 蜡笔小新辅助.exe
文件大小 : 3571712 byte :
文件类型 : application/x-dosexec
MD5 : 849f08859ed9304a5cdad56822d72b48
SHA1 : 6d8cf89d35a8c3993ebe6fbbb42ddb7ff65d78b3
壳类:VMP2.07
样本类型:MBR锁机
行为:运行目录生成一个名为ExtraDll.dll的文件 检测是否存在PowerRemind.exe影子系统 直接运行会修改MBR
硬盘锁:所谓知己知彼,百战百胜,要修复一个问题,如果知道他是怎么导致的~那么修复会变的更为简单,硬盘锁一般是通过可执行文件安装的!此类病毒通过修改系统启动过程中的关键位置,导致系统启动失败.如果要修复硬盘锁,最简单的方法就是修复那个被修改的部分
硬盘锁原理:
此类锁机是通过篡改硬盘的0磁道0柱面1扇区的那部分数据,我们一般称这一扇区叫做MBR(主引导扇区),这部分又启动引导代码与分区表组成,引导代码用于将电脑正确的引导到硬盘的系统盘区的启动代码处,分区表这里实际上只有4个,也叫主分区表,扩展分区不在此列,这里不详细讨论,只是简单说明一下原理.
今天有个朋友加了我的群 然后说电脑被锁了
运行看行为或者锁机的界面
....VMP 要丢回收站了吗?
不。这是不可能的事情~
丢进OD吧
Show time~
0x02
硬盘锁的话 下一个bp WriteFile 的断点 看看是否能找到写入的数据呢
(注意:动态分析的话,由于样本有虚拟机检测,VMP壳嘛,作者都喜欢把保护拉满,我尝试在VMX文件加入了代码就过了这个检测,毕竟壳的版本不高)
一般都输入10000即可 然后点击Execution
花指令已经去除了 接下来就搜一下字符串吧
很明显程序运行的时候检测了是否存在影子系统的进程,好毒啊~
对红色箭头的四个地方下断
接下来就是运行程序 运行后 断下了一个
但是堆栈窗口并没有给我们想要的东西
再一次尝试运行
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
最后于 2019-1-7 23:47
被UzJu编辑
,原因: