楼主: 晚风ono
收起左侧

[病毒样本] 极度危险的样本!秒杀系列!

  [复制链接]
www-tekeze
发表于 2018-10-11 11:26:51 | 显示全部楼层
马云波波波 发表于 2018-10-11 11:20
硬盘炸弹好像也可以穿透SD影子吧?

那个就是硬盘逻辑锁,太古老了。。。SD关机时会回写MBR,凭这就轻松吃掉了。。
Jerry.Lin
发表于 2018-10-11 11:27:51 | 显示全部楼层
  1. VirusTotal Smart Scanner 1.08

  2. ======================================================================================
  3. Scan Time:                    2018-10-11-11-27-39
  4. Scan Duration:                13 seconds
  5. Scan Target:                  C:\Users\zhong\Downloads\Compressed\VIRUS TEST\卡饭\cf逻辑方框透视
  6. Number of Scan Files:         6
  7. Number of Infected Files:     2

  8. engine_threshold_slider       : 80
  9. upload_check                  : True
  10. log_check                     : True
  11. menu_check                    : True
  12. menu_file_check               : True
  13. scan_pe_check                 : True
  14. grayware_check                : True
  15. black_check                   : True
  16. white_check                   : True
  17. crawler_check                 : True
  18. ======================================================================================

  19. Threat(s):
  20. Trojan.Spy                      sha256: 88bd4b76e7af9b3ebe3e83c81dac42577073a9519b4d3343f8cf8f611647a202    Path: C:\Users\zhong\Downloads\Compressed\VIRUS TEST\卡饭\cf逻辑方框透视\cf逻辑方框透视.exe
  21. Trojan.Spy                      sha256: 540318cc795a9dbc4f7b321ee9ed5aa7d1241d6c2446cc90d2ad51bd1dbfa8d0    Path: C:\Users\zhong\Downloads\Compressed\VIRUS TEST\卡饭\cf逻辑方框透视\过362清理工具箱.exe
复制代码
sky101808
发表于 2018-10-11 11:29:23 | 显示全部楼层
实机测试被锁了有人会解锁码(PE重建MBR,破解密码已经试过),进系统后出现界面类XP系统的密码窗口,感觉像是软件锁,哪位大神给会解锁,实在不行我只能破坏性解锁了
马云波波波
头像被屏蔽
发表于 2018-10-11 11:45:19 | 显示全部楼层
www-tekeze 发表于 2018-10-11 11:26
那个就是硬盘逻辑锁,太古老了。。。SD关机时会回写MBR,凭这就轻松吃掉了。。

现在的系统还能运行起来吗?
wowocock
发表于 2018-10-11 11:50:12 | 显示全部楼层
www-tekeze 发表于 2018-10-11 11:26
那个就是硬盘逻辑锁,太古老了。。。SD关机时会回写MBR,凭这就轻松吃掉了。。

看了下SD,不禁止驱动加载,所以应该可以穿它写MBR,虽然他做了很多文件,磁盘过滤,磁盘微端口HOOK,及线程回写保护==,但对于能加载进内核的程序来说,都不是事,都可以写MBR,而且木马可以在写完MBR后,内核直接IO暴力重启,他根本就无法再去回写保护MBR了。
wowocock
发表于 2018-10-11 11:51:48 | 显示全部楼层
sky101808 发表于 2018-10-11 11:29
实机测试被锁了有人会解锁码(PE重建MBR,破解密码已经试过),进系统后出现界面类XP系统的密码窗口,感觉 ...

用我前面的  fixransommbr  可以恢复MBR,不过那个SYSKEY创建的密码登录窗口,不好处理,需要进WINPE下用 c:\windows\system32\config\regback下的所有备份还原到上层目录,然后重启才行。

评分

参与人数 1人气 +1 收起 理由
歌德塔大蜘蛛 + 1 感谢解答: )

查看全部评分

hao1234566
发表于 2018-10-11 12:10:39 | 显示全部楼层
那我是uefi是不是就不怕mbr病毒了?
sky101808
发表于 2018-10-11 12:39:05 | 显示全部楼层
wowocock 发表于 2018-10-11 11:51
用我前面的  fixransommbr  可以恢复MBR,不过那个SYSKEY创建的密码登录窗口,不好处理,需要进WINPE下用 ...

谢谢,哈哈,很好,很好,很好啊!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
www-tekeze
发表于 2018-10-11 13:21:22 | 显示全部楼层
马云波波波 发表于 2018-10-11 11:45
现在的系统还能运行起来吗?

那是利用MS-DOS上的一个bug,形成一个死循环,无法读取真实的分区表信息,现在的Uefi+GPT不会受影响,但MBR的还是会中招,破解教程网上也早就有了。。。https://www.52pojie.cn/thread-301587-1-1.html
www-tekeze
发表于 2018-10-11 13:30:27 | 显示全部楼层
wowocock 发表于 2018-10-11 11:50
看了下SD,不禁止驱动加载,所以应该可以穿它写MBR,虽然他做了很多文件,磁盘过滤,磁盘微端口HOOK,及线 ...

SD是不禁止加驱,否则很多软件就没法用了,SD也就没市场了。。。暴力重启 (急救箱就有) 让SD来不及回写,这个是直接思路,网上也早说过了,但影子软件的基本原理是重定向,那病毒能写入到真实的0柱面、0磁头、1扇区么?

另外,那个“out令牌”有点让人不明觉厉,从字面理解,out是不是具备某种独占性、排他性? 强行写入真实的MBR区域,会不会导致蓝屏? 那写入当然也就失败了。。。

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 09:41 , Processed in 0.113863 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表