收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 换汤不换药MBR锁之密码升级版(附分析过程)
返回列表 发新帖
查看: 5202|回复: 9
收起左侧

[病毒样本] 换汤不换药MBR锁之密码升级版(附分析过程)

[复制链接]
学雷锋做人
发表于 2017-2-17 00:28:33 | 显示全部楼层 |阅读模式
本帖最后由 学雷锋做人 于 2017-2-17 00:32 编辑

旧版帖子回顾:http://bbs.kafan.cn/thread-2077251-1-1.html
样本来源:吾爱破解求助帖(http://www.52pojie.cn/thread-580966-1-1.html
样本链接:https://share.weiyun.com/ba7fdfb07e6f3ad73f3575d4a376fb80作者本人分享,压缩密码:123
样本密码:原帖中16楼,也可以看下面分析
样本说明:首先没有加壳,因为作者觉得没必要,赌分析的人得不到密码,但是他错了,不过吾爱还真有人没有分析出密码,比如帖子中的9楼得出无密码的结论,还有人评分表示同意......,幸好还是有人分析了出来,比如帖子中的16楼,但是他说的是什么鬼?请看下面一步一步说明

分析过程:
样本提取步骤上一个帖子已经发过了,此处省略,释放修改MBR的文件名称变为:游戏助手.exe
载入OD后如果直接搜索ASCII,先不说有没有显示出密码,还要从这么多字符串中区别中密码,这个方法对此样本是肯定不行的

肯定要下断点跑,在上一个帖子中知道此处应该显示作者信息和密码的,但是为何没有显示出密码?这也是吾爱原帖中9楼所遇到的问题

实际上这是作者的障眼法,用了特殊字符导致堆栈无法显示出来,正确密码如图


复制出来再看看,那么这些字符在锁机界面中如何输入?

其实这只需要转码,输入方式就是吾爱原帖中16楼所说的按住Alt键在小键盘上依次输入后松开就行










本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2经验 +20 人气 +1 收起 理由
Virus4 + 1 这个密码原来是这样...学习了...
屁颠屁颠 + 20 版区有你更精彩: )

查看全部评分

回复

举报

adbyby
发表于 2017-2-17 00:29:46 | 显示全部楼层
偶尔也坐一次沙发

评分

参与人数 1经验 -10 收起 理由
扬帆起航 -10 抱歉,与版区讨论氛围不符

查看全部评分

回复

举报

心醉咖啡
发表于 2017-2-17 00:43:44 | 显示全部楼层
360

[mw_shl_code=css,true]360杀毒实时防护日志

时间                    防护说明                                                                  处理结果                                                        文件
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
2017-02-17 00:42:01     恶意软件(HEUR/QVM07.1.3A77.Malware.Gen)MD5:80afc55d0bc84419c512d6b2e11a67de已删除此文件,如果您发现误删,可从隔离区恢复此文件。        f:\浏览器下载\yg游戏助手\家庭版多功能辅助.exe
2017-02-17 00:42:01     感染型病毒(Win32/Trojan.97a)MD5:d2822ee2f160ba6aea78eca2bf430b92           已删除此文件,如果您发现误删,可从隔离区恢复此文件。        f:\浏览器下载\yg游戏助手\网吧辅助.exe
2017-02-17 00:42:00     恶意软件(Virus.Win32.Ramnit.X)MD5:75233fca8a349303864905d46ea0c631        文件中感染的病毒代码已经清除,您可放心使用。                f:\浏览器下载\yg游戏助手\内存辅助.exe
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------[/mw_shl_code]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

XZ8SM7Sx0bVkoUV
发表于 2017-2-17 09:47:00 | 显示全部楼层
火绒

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

Eset小粉絲
发表于 2017-2-17 10:50:16 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

skyboybone
发表于 2017-2-17 10:54:53 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

a445441
发表于 2017-2-17 11:12:24 | 显示全部楼层
微点MISS 一个内存辅助
回复

举报

dongwenqi
发表于 2017-2-17 12:37:43 | 显示全部楼层
该样本已经可以被检测出,请将数据库更新到最新后试一下。
内存辅助.exe - Virus.Win32.Nimnul.a
家庭版多功能辅助.exe - Trojan-Dropper.Win32.Flystud.d
网吧辅助.exe - not-a-virus:RiskTool.Win32.Inject.nn
回复

举报

轩夏
发表于 2017-2-17 16:25:02 | 显示全部楼层
MSE 断网
Infected: Virus:Win32/Ramnit.A                                                                           
Infected: Ransom:Win32/Molock.A!bit
回复

举报

猪猪猫2016
发表于 2017-2-24 12:06:23 | 显示全部楼层
非常不错,赞一个,

评分

参与人数 1经验 -10 收起 理由
扬帆起航 -10 抱歉,与版区讨论氛围不符

查看全部评分

回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-4-20 02:47 , Processed in 0.127230 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表