首页
论坛
专栏
课程

[病毒木马] [原创]分析一个强壳锁机软件过程

2019-1-7 23:47 3248

[病毒木马] [原创]分析一个强壳锁机软件过程

2019-1-7 23:47
3248

对一个锁机的分析以及破解教程

文件名称 : 蜡笔小新辅助.exe  

文件大小 : 3571712 byte :  

文件类型 : application/x-dosexec  

MD5 : 849f08859ed9304a5cdad56822d72b48  

SHA1 : 6d8cf89d35a8c3993ebe6fbbb42ddb7ff65d78b3  

壳类:VMP2.07

样本类型:MBR锁机

行为:运行目录生成一个名为ExtraDll.dll的文件 检测是否存在PowerRemind.exe影子系统 直接运行会修改MBR 


硬盘锁:所谓知己知彼,百战百胜,要修复一个问题,如果知道他是怎么导致的~那么修复会变的更为简单,硬盘锁一般是通过可执行文件安装的!此类病毒通过修改系统启动过程中的关键位置,导致系统启动失败.如果要修复硬盘锁,最简单的方法就是修复那个被修改的部分
硬盘锁原理:
此类锁机是通过篡改硬盘的0磁道0柱面1扇区的那部分数据,我们一般称这一扇区叫做MBR(主引导扇区),这部分又启动引导代码与分区表组成,引导代码用于将电脑正确的引导到硬盘的系统盘区的启动代码处,分区表这里实际上只有4个,也叫主分区表,扩展分区不在此列,这里不详细讨论,只是简单说明一下原理. 

欢迎访问饼干之家

0x00 起因

今天有个朋友加了我的群 然后说电脑被锁了



那么抱着乐于助人快乐人生的思想我就让他发给我 让我试试

他说他发给过别人 但是别人好像不接.....难道因为VMP壳????

本着对锁机没什么好感的心态试了试
嘻嘻



0x01

运行看行为或者锁机的界面


好家伙



查壳看看


....VMP 要丢回收站了吗?

不。这是不可能的事情~

丢进OD吧

Show time~



0x02

硬盘锁的话 下一个bp WriteFile 的断点 看看是否能找到写入的数据呢

(注意:动态分析的话,由于样本有虚拟机检测,VMP壳嘛,作者都喜欢把保护拉满,我尝试在VMX文件加入了代码就过了这个检测,毕竟壳的版本不高)


断点断下后 貌似找不到任何对于破解密码有用的数据 但是也发现了其他的东西
发现好像在运行目录写入了一个名为ExtraDll.dll的一个文件(暂且先不管这个)
如果我再次F9运行的话就锁机了 所以只能找别的方法


我们右键这个WriteFile 看看是哪里调用了这个东西




这个时候的我非常高兴,因为VMP已经解密了 :) 所以我可以去401000看看(其实解密的方法有很多.....)


hhhh生活也是如此 在你哭的时候给你一块糖,然后你满怀期待的时候又给你一巴掌

这个时候 需要用到插件了



一般都输入10000即可 然后点击Execution


花指令已经去除了 接下来就搜一下字符串吧


很明显程序运行的时候检测了是否存在影子系统的进程,好毒啊~


对红色箭头的四个地方下断  


接下来就是运行程序 运行后 断下了一个



但是堆栈窗口并没有给我们想要的东西


再一次尝试运行



往下找到这里 下面的是 锁机码 上面的应该就是 锁机密码了

那么就保存好快照运行一下吧



已经可以看到解锁了鸭


至于算法嘛 嘻嘻 或许这篇文章或有下一篇 或许没有


每天的状态



白了个白 

欢迎访问饼干之家











[公告][征集寄语] 看雪20周年年会 | 感恩有你,一路同行

最后于 2019-1-7 23:47 被CatGames编辑 ,原因:
最新回复 (12)
CatGames 6 2019-1-7 23:53
2
2
祝各位新年快乐 
白菜大哥 2019-1-8 11:00
3
1
这么风趣
不对 2019-1-8 11:06
4
1
我插一句哈,一般这种MBR勒索病毒都会把原始MBR写入第二或者第三扇区,会导致覆盖VBR,然后系统boot不起来,最好的办法是进PE系统,修复MBR后,用DiskGenius寻找一下系统分区,再进行回复系统分区才能进行boot
wowocock 1 2019-1-8 11:06
5
1
简单的东西搞那么复杂,直接进WINPE,把第3扇区的备份MBR写回去即可。或者直接看MBR里就有密码。
Editor 2019-1-8 14:17
6
0
感谢分享哈!
CatGames 6 2019-1-8 15:04
7
0
好的 谢谢
CatGames 6 2019-1-8 15:04
8
0
白菜大哥 这么风趣
CatGames 6 2019-1-8 15:05
9
0
不对 我插一句哈,一般这种MBR勒索病毒都会把原始MBR写入第二或者第三扇区,会导致覆盖VBR,然后系统boot不起来,最好的办法是进PE系统,修复MBR后,用DiskGenius寻找一下系统分区,再进行回 ...
好的 学习了
CatGames 6 2019-1-8 15:05
10
0
Editor 感谢分享哈!
不客气
aaaaaach 2019-3-28 21:54
11
0
大哥,能不能分享下样本啊~~
CatGames 6 2019-3-31 00:55
12
0
aaaaaach 大哥,能不能分享下样本啊~~
么了 没保存 抱歉
风吹鸡蛋壳 2019-4-9 20:39
13
0
mark
游客
登录 | 注册 方可回帖
返回