首页
社区
课程
招聘
[原创] 纵情文件修复器 修复文件功能逆向重现
发表于: 2020-7-11 21:32 4081

[原创] 纵情文件修复器 修复文件功能逆向重现

2020-7-11 21:32
4081

“纵情文件修复”是国内出现的一种新型敲诈者病毒,它感染计算机中的文档、图片、视频等重要资料,在文件名前加入“windows-文件发生意外问题-可修复(严禁修改)-错误代码×××”的字样,致使文件无法正常打开。

图片描述

受害者被病毒要求下载名为“纵情文件修复器”的软件,并可以试用免费修复一个文件,但如果想批量恢复文件,需要通过微信、QQ等方式向病毒作者发送“用户ID”,并支付费用,换回解密工具的注册码。

图片描述

以上是我抄的
相关链接:
https://bbs.360.cn/thread-14825461-1-1.html

进入正题,开始分析

此工具解密后生成解密后的文件后会删除原加密的文件,所以我们在DeleteFileW下断点,栈回溯后分析到了解密文件CALL

图片描述

CALL的地址是01239E00 ,我们用01239E00 - 01230000(OD里主模块的基址) + 400000
用IDA加载该软件,跳转到地址409E00

图片描述

在这些有var,arg的语句上按Q键转换格式,如下图所示

图片描述

最后用VS创建一个c++控制台项目
把IDA的代码复制进去,写成内联汇编的格式

如图所示:

图片描述

注:__declspec(naked)是用来告诉编译器函数代码的汇编语言为自己的所写,不需要编译器添加任何汇编代码,通俗说可生成纯汇编。

如果call内还有其他call,就需要继续扣更底层call的代码,注意一定要仔细,不要删错,否则找个错误可能就要半天(不要问我怎么知道的 图片描述

最后搞完差不多接近五千行左右的汇编代码

图片描述

代码和软件在附件里送给大家,有兴趣的可以去研究研究


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 1
支持
分享
最新回复 (5)
雪    币: 3545
活跃值: (4684)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
你这个叫逆向 膜拜大佬 
好歹我是受过教育的...
2020-7-12 03:26
1
雪    币: 3545
活跃值: (4684)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
开头 DeleteFile 还算正常 突然画风一转 
2020-7-12 03:27
1
雪    币: 4359
活跃值: (4338)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4

感觉出于研究精神应该把算法还原出来.   目前的提取不如不提,直接用远线程注入或者直接加载EXE直接CALL.

最后于 2020-7-12 11:44 被Mxixihaha编辑 ,原因:
2020-7-12 11:43
0
雪    币: 282
活跃值: (4151)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
直接抄汇编代码可还好
2020-9-15 13:16
0
雪    币: 364
活跃值: (1721)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
6
直接看IDA,比你的好
2020-9-15 14:24
0
游客
登录 | 注册 方可回帖
返回
//