首页
论坛
专栏
课程
1

[原创] 分析了个简单的病毒, 熟悉一下16位汇编

逻辑错误 2018-8-1 19:22 2687

        好久以前就有人反馈说用了xx外挂以后, 机器被锁定了. 这种一般都是小打小闹, 大多是利用net user xxxxx指令来改改密码什么的, 基本没有任何影响. 后来分析了很多xiaoba出品的病毒, 这个病毒也是伪装成外挂程序来诱导用户来运行程序, 基本上都是利用第三方的一个模块来把一段shellcode写入到磁盘引导里面, 调用的时候直接输入要打印到屏幕上的的字和解锁密码就可以完成了.


        之前都是直接在磁盘引导里面查看密码, 然后给他们提供解密的密钥, 只要这个程序不是撕票型的勒索者, 就肯定有备份的地方, 这次刚好又来了一个, 我就想好好分析一下这个程序, 看看手动能不能直接恢复用户磁盘引导, 刚好也很久没有分析16位的程序了, 顺便拿来练练手, 想当年也是看着王爽的<汇编语言>入门的.


        经过测试, 这个程序碰到杀软是直接就能报毒的, 真的是不知道那些用免费外挂的人是怎么想的, 免费的外挂也敢运行. 这些免费外挂基本都是有病毒的, 低调一点的一般都是抓个肉鸡然后要么偷偷后台刷流量要么偷偷挖矿, 高调一点的就是把计算机加密了, 然后直接要钱, 顺便再打印几句骂人的话, 你说要不要爆炸?


文件名: 无双.exe

Md5: 0CFA3940AEECFF67D76B447A5E9711FB

附件: 0.bin (这个是备份下来的磁盘引导, 有兴趣的可以自己看看)


运行流程:

 


IDA里面分析dump出来的磁盘引导:

 


经过上面的分析, 弄清楚原理以后, 直接用磁盘编辑工具把第三个扇区备份一下, 然后恢复到第一个扇区里面, 重启以后计算机恢复正常.


再啰嗦几句:

1. 16位汇编确实生疏了, 查了很多资料, 感谢以下链接.

    (1)  DEBUG命令详解: https://blog.csdn.net/csshuke/article/details/52933219

    (2)  DOS主引导扇区分析:  https://blog.csdn.net/czhny/article/details/6363942

    (3)  int 13h 参数大全: blog.sina.com.cn/s/blog_5028978101008wk2.html

    (4)  键盘I/O中断调用: https://blog.csdn.net/qingkongyeyue/article/details/68490194

    (5)  汇编--INT 10H功能: https://www.cnblogs.com/magic-cube/archive/2011/10/19/2217676.html

2. 不要总是想着免费的, 有毒! 真有毒! 免费的ghost系统里面bootkit病毒, 免费的激活工具里面有后台刷量的病毒, 免费的外挂有勒索者病毒.

3. 装个杀软, 虽然免费杀软偶尔弹弹广告, 推推软件啥的, 但是防毒上面还是不错的, 毕竟杀软那些人也要吃饭, 他们要是喝西北风了, 免费杀软就没有了, 杀软报毒的软件, 尽量不要运行, 不要嫌麻烦.



快讯:看雪智能设备漏洞挖掘公开课招生中!

上传的附件:
最新回复 (16)
wyfe 2018-8-1 21:15
2
思路清晰,学习一下
endlif 2018-8-1 22:55
3
深夜看到好文感觉神清气爽 !!
聖blue 2018-8-1 23:30
4
DeeLMind 2018-8-2 09:31
5
大佬
sudozhange 2018-8-2 09:47
6
好文,之前做操作系统实验的时候,读过引导的代码,但是没有深入研究,学习了
sjh_pediy 2018-8-2 10:52
7
请教一下如何检测bootkit病毒
逻辑错误 2018-8-2 12:40
8
sjh_pediy 请教一下如何检测bootkit病毒
附件里面的内容是在winpe下面用BOOTICE备份出来的, 其他工具很多比如PCHunter也可以检测.
krdn 2018-8-2 13:08
9
厉害了我的哥。。。
hzqst 2018-8-2 13:28
10
现在都是UEFI+GPT的年代了
wowocock 2018-8-2 15:23
11
GPT下搞破坏更容易。
wowocock 2018-8-2 16:16
12
垃圾东西,基本网上一堆 这种垃圾,基本用易语言动态自动生成,各种垃圾密码,特点是备份都是第3个扇区,所以以前就写了个自动修复的,在WINPE下直接运行修复即可。https://bbs.kafan.cn/thread-2117316-1-1.html
逻辑错误 2018-8-2 18:43
13
wowocock 垃圾东西,基本网上一堆 这种垃圾,基本用易语言动态自动生成,各种垃圾密码,特点是备份都是第3个扇区,所以以前就写了个自动修复的,在WINPE下直接运行修复即可。https://bbs.kafan.cn ...
以前拿样本分析过, 能看出来主程序是易语言写的, 而且锁机这一块是调用的第三方模块, 只是这样本加了强壳, 我这点能耐只能摸清整体框架, 细节上还是逆不出来. 后续也准备模仿大佬去写一个自动修复工具. 
LiDogEgg 2018-8-6 18:34
14
老司机你带带我
yllen 2018-8-7 19:23
15
围观。
nohackxu 2018-8-15 09:40
16
可以说是很优秀了,学习学习。
返回