搜索
楼主: wowocock
收起左侧

[原创工具] 勒索MBR winpe下修复工具

  [复制链接]
落华无痕
发表于 2020-5-3 12:19:01 | 显示全部楼层
给个勒索的mbr,工具修复不了。
mbr.zip (546 Bytes, 下载次数: 8)
wowocock
 楼主| 发表于 2020-5-3 13:58:21 | 显示全部楼层
落华无痕 发表于 2020-5-3 12:19
给个勒索的mbr,工具修复不了。

有没有原始中毒样本,没得话,提取下前64个扇区发给我看看。
落华无痕
发表于 2020-5-3 15:50:20 | 显示全部楼层
本帖最后由 落华无痕 于 2020-5-3 16:13 编辑
wowocock 发表于 2020-5-3 13:58
有没有原始中毒样本,没得话,提取下前64个扇区发给我看看。

不是我电脑,样本也没有了。
对方找回丢失分区,C盘找不回新建了,并重装系统后导出的前64个扇区不知道有没影响。 重新分区后.zip (2.92 KB, 下载次数: 5)
wowocock
 楼主| 发表于 2020-5-3 18:29:44 | 显示全部楼层
落华无痕 发表于 2020-5-3 15:50
不是我电脑,样本也没有了。
对方找回丢失分区,C盘找不回新建了,并重装系统后导出的前64个扇区不知道 ...

4, 版本1003 ,增加对新勒索MBR的修复。 详见 https://bbs.kafan.cn/thread-2141625-1-1.html.,这个勒索我的工具已经修复过了,重启后,按任何键,即可正常登录了。其验证输入的地方都已经被我PATCH掉了。所以按回车即可。
seg000:00D2 checkinputKey:                          ; CODE XREF: seg000:00B4↑j
seg000:00D2                 mov     cx, si
seg000:00D4                 xor     ax, ax
seg000:00D6                 mov     al, cs:8000h
seg000:00DA                 sub     al, 0FAh
seg000:00DC                 xor     al, 74h
seg000:00DE                 cmp     si, ax
seg000:00E0                 nop
seg000:00E1                 nop
seg000:00E2                 xor     si, si
seg000:00E4
seg000:00E4 loc_E4:                                 ; CODE XREF: seg000:00F4↓j
seg000:00E4                 mov     al, [si]
seg000:00E6                 xor     al, 74h
seg000:00E8                 add     al, 0FAh
seg000:00EA                 xor     al, cs:[si-7FFFh]
seg000:00EF                 test    al, al
seg000:00F1                 nop
seg000:00F2                 nop
seg000:00F3                 inc     si
seg000:00F4                 loop    loc_E4
seg000:00F6                 jmp     short loc_103

评分

参与人数 1人气 +3 收起 理由
落华无痕 + 3 很给力!

查看全部评分

落华无痕
发表于 2020-5-3 18:35:26 | 显示全部楼层
wowocock 发表于 2020-5-3 18:29
4, 版本1003 ,增加对新勒索MBR的修复。 详见 https://bbs.kafan.cn/thread-2141625-1-1.html.,这个勒索 ...

难怪,第一次运行看到有修复的提示,第二次没了。

然后看硬盘分区没恢复,以为没效果。。。
wowocock
 楼主| 发表于 2020-5-3 19:00:41 | 显示全部楼层
落华无痕 发表于 2020-5-3 18:35
难怪,第一次运行看到有修复的提示,第二次没了。

然后看硬盘分区没恢复,以为没效果。。。

对,他这个因为加密的地方比较多,包括MBR,VBR,所以最好的方式是绕过其验证,调用其自身的解密代码即可。

评分

参与人数 1人气 +3 收起 理由
Wandering... + 3 niuby

查看全部评分

dearjnana
发表于 2020-5-9 09:18:11 | 显示全部楼层
暂时还没中标,先收藏了,感谢楼主
hanhang
发表于 2020-5-16 08:11:39 | 显示全部楼层
进来支持下! 进来支持下!
babaj
发表于 2020-6-12 17:16:10 | 显示全部楼层
希望用不上!不过也感谢楼主啊
人生坎坷
发表于 2020-6-28 18:29:18 | 显示全部楼层
先收藏了,感谢楼主
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 晋ICP备20004298号-1 ) GMT+8, 2020-9-26 22:46 , Processed in 0.101378 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表