楼主: jqj0901
收起左侧

[病毒样本] 新型锁机一只,能日UEFI

  [复制链接]
KentMB
发表于 2019-1-24 18:31:23 | 显示全部楼层
?????实机没看清楚是exe直接双击了,卡巴也没提示,电脑直接黑屏,但是还能启动也没有锁上。win 10 64位。。。
wowocock
发表于 2019-1-24 18:44:20 | 显示全部楼层
vm001 发表于 2019-1-24 18:30
bugfix (2).exe
更改,保存,重启正常进入系统

下一步可以类似PETYA 的方法,加密MFT表,所有工具全废了。关键还要靠防。
wowocock
发表于 2019-1-24 19:02:06 | 显示全部楼层
本帖最后由 wowocock 于 2019-1-24 19:03 编辑
vm001 发表于 2019-1-24 18:24
目前能拦截dbr的国内好像就360和金山可以

和拦截DBR 没关系,作者都说了,是在执行MBR的时候,再加密DBR的。所以如果关机后,不直接启动,而直接进PE由于DBR没被加密导致很容易被恢复。代码里也看到启动的时候检测DBR的第一个字母是否是正常的EB,如果是的话加密写回去。 2E 80 3E 00 90+                cmp     byte ptr cs:9000h, 0EBh
seg000:007B
seg000:007B                loc_7B:
seg000:007B 75 1F                          jnz     short loc_9C
seg000:007D
seg000:007D                loc_7D:                                 ; CODE XREF: seg000:0073↑j
seg000:007D B9 00 20                       mov     cx, 2000h
seg000:0080 BF 00 90                       mov     di, 9000h
seg000:0083 E8 DA 00                       call    XorBuffer
seg000:0086 BB 00 10                       mov     bx, 1000h
seg000:0089 B4 43                          mov     ah, 43h ; 'C'
seg000:008B BF 00 84                       mov     di, 8400h
seg000:008E 03 FE                          add     di, si
seg000:0090 B9 10 00                       mov     cx, 10h
seg000:0093 E8 D6 00                       call    ExtReadWriteDisk
seg000:0096 83 C6 08                       add     si, 8
seg000:0099 59                             pop     cx
seg000:009A E2 C5                          loop    loc_61
seg000:009C
seg000:009C                loc_9C:                                 ; CODE XREF: seg000:loc_7

评分

参与人数 1人气 +3 收起 理由
vm001 + 3 感谢解答: )

查看全部评分

jqj0901
 楼主| 发表于 2019-1-24 20:27:00 | 显示全部楼层
本帖最后由 jqj0901 于 2019-1-24 20:54 编辑
wowocock 发表于 2019-1-24 19:02
和拦截DBR 没关系,作者都说了,是在执行MBR的时候,再加密DBR的。所以如果关机后,不直接启动,而直接进 ...

GPT分区是exe执行的加密DBR(MBR分区无法R3下加密DBR),不过GPT分区很迷,有的时候可以删掉备份DBR,有的时候删不掉
www-tekeze
发表于 2019-1-24 21:01:52 | 显示全部楼层
wowocock 发表于 2019-1-24 18:44
下一步可以类似PETYA 的方法,加密MFT表,所有工具全废了。关键还要靠防。

老大,NTFS安全性还是比较高,MFT有备份,损坏后可以用工具还原,被加密应该也可以恢复。

查了下,那个工具叫TestDisk。。。http://www.cnblogs.com/franktiger/articles/frank.html
心心相印
发表于 2019-1-24 21:40:23 | 显示全部楼层
eis kill
a8855942
发表于 2019-1-24 22:13:40 | 显示全部楼层

是啊@@@
帝辛
发表于 2019-1-25 11:46:54 | 显示全部楼层

B杀可能是易语言通杀或者杀壳。
SUARP-BIGNUM
发表于 2019-1-26 10:22:11 来自手机 | 显示全部楼层
本帖最后由 SUARP-BIGNUM 于 2019-1-26 12:58 编辑

楼主的锁机好厉害呀,我用OD就可以解开
Crazyman_Army_C
发表于 2019-1-26 22:15:03 | 显示全部楼层
wowocock 发表于 2019-1-24 11:13
应该还是R3通过WRITEFILE 写入MBR的,所以360防御应该没问题。即使没拉黑,不知道为啥火绒不行。
之所以 ...

貌似还有Copy了WriteFile的入口代码,然后转入内存加载
这样杀软才看不见了WriteFile函数
但是很奇怪
如果杀软的MBR防护是MiniFilter过滤的话
应该不会出现这个问题
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 01:59 , Processed in 0.095835 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表