极度危险的样本！秒杀系列！

www-tekeze

马云波波波 发表于 2018-10-11 11:20
硬盘炸弹好像也可以穿透SD影子吧？

那个就是硬盘逻辑锁，太古老了。。。SD关机时会回写MBR，凭这就轻松吃掉了。。

Jerry.Lin

1. VirusTotal Smart Scanner 1.08
   
2. 
   
3. ======================================================================================
   
4. Scan Time:                    2018-10-11-11-27-39
   
5. Scan Duration:                13 seconds
   
6. Scan Target:                  C:\Users\zhong\Downloads\Compressed\VIRUS TEST\卡饭\cf逻辑方框透视
   
7. Number of Scan Files:         6
   
8. Number of Infected Files:     2
   
9. 
   
10. engine_threshold_slider       : 80
    
11. upload_check                  : True
    
12. log_check                     : True
    
13. menu_check                    : True
    
14. menu_file_check               : True
    
15. scan_pe_check                 : True
    
16. grayware_check                : True
    
17. black_check                   : True
    
18. white_check                   : True
    
19. crawler_check                 : True
    
20. ======================================================================================
    
21. 
    
22. Threat(s):
    
23. Trojan.Spy                      sha256: 88bd4b76e7af9b3ebe3e83c81dac42577073a9519b4d3343f8cf8f611647a202    Path: C:\Users\zhong\Downloads\Compressed\VIRUS TEST\卡饭\cf逻辑方框透视\cf逻辑方框透视.exe
    
24. Trojan.Spy                      sha256: 540318cc795a9dbc4f7b321ee9ed5aa7d1241d6c2446cc90d2ad51bd1dbfa8d0    Path: C:\Users\zhong\Downloads\Compressed\VIRUS TEST\卡饭\cf逻辑方框透视\过362清理工具箱.exe
    

复制代码

sky101808

实机测试被锁了有人会解锁码（PE重建MBR，破解密码已经试过），进系统后出现界面类XP系统的密码窗口，感觉像是软件锁，哪位大神给会解锁，实在不行我只能破坏性解锁了

马云波波波

www-tekeze 发表于 2018-10-11 11:26
那个就是硬盘逻辑锁，太古老了。。。SD关机时会回写MBR，凭这就轻松吃掉了。。

现在的系统还能运行起来吗？

wowocock

www-tekeze 发表于 2018-10-11 11:26
那个就是硬盘逻辑锁，太古老了。。。SD关机时会回写MBR，凭这就轻松吃掉了。。

看了下SD,不禁止驱动加载，所以应该可以穿它写MBR，虽然他做了很多文件，磁盘过滤，磁盘微端口HOOK，及线程回写保护==，但对于能加载进内核的程序来说，都不是事，都可以写MBR,而且木马可以在写完MBR后，内核直接IO暴力重启，他根本就无法再去回写保护MBR了。

wowocock

sky101808 发表于 2018-10-11 11:29
实机测试被锁了有人会解锁码（PE重建MBR，破解密码已经试过），进系统后出现界面类XP系统的密码窗口，感觉 ...

用我前面的  fixransommbr  可以恢复MBR，不过那个SYSKEY创建的密码登录窗口，不好处理，需要进WINPE下用 c:\windows\system32\config\regback下的所有备份还原到上层目录，然后重启才行。

hao1234566

那我是uefi是不是就不怕mbr病毒了？

sky101808

wowocock 发表于 2018-10-11 11:51
用我前面的  fixransommbr  可以恢复MBR，不过那个SYSKEY创建的密码登录窗口，不好处理，需要进WINPE下用 ...

谢谢，哈哈，很好，很好，很好啊！

www-tekeze

马云波波波 发表于 2018-10-11 11:45
现在的系统还能运行起来吗？

那是利用MS-DOS上的一个bug，形成一个死循环，无法读取真实的分区表信息，现在的Uefi+GPT不会受影响，但MBR的还是会中招，破解教程网上也早就有了。。。https://www.52pojie.cn/thread-301587-1-1.html

www-tekeze

wowocock 发表于 2018-10-11 11:50
看了下SD,不禁止驱动加载，所以应该可以穿它写MBR，虽然他做了很多文件，磁盘过滤，磁盘微端口HOOK，及线 ...

SD是不禁止加驱，否则很多软件就没法用了，SD也就没市场了。。。暴力重启 (急救箱就有) 让SD来不及回写，这个是直接思路，网上也早说过了，但影子软件的基本原理是重定向，那病毒能写入到真实的0柱面、0磁头、1扇区么？

另外，那个“out令牌”有点让人不明觉厉，从字面理解，out是不是具备某种独占性、排他性？ 强行写入真实的MBR区域，会不会导致蓝屏？ 那写入当然也就失败了。。。