搜索
楼主: jqj0901
收起左侧

[病毒样本] 新型锁机一只,能日UEFI

  [复制链接]
yjwfdc
发表于 2019-1-23 20:36:02 | 显示全部楼层
www-tekeze 发表于 2019-1-23 19:44
按楼主说的是破坏DBR,是这个原因吧? 否则你的速度卫士也拦截不了R0级修改。。

还没回家,待会 ...

uefi才破坏DBR.
jqj0901
 楼主| 发表于 2019-1-24 02:43:42 | 显示全部楼层
风之咩~ 发表于 2019-1-23 18:12
实测DG和分区助手都是找回分区无压力啊
然后修复一下启动就完事了

MBR分区是第一次加载锁芯代码的时候加密的DBR,锁住后如果直接进PE的话是可以找回的
jqj0901
 楼主| 发表于 2019-1-24 03:20:49 | 显示全部楼层
本帖最后由 jqj0901 于 2019-1-24 06:06 编辑
风之咩~ 发表于 2019-1-23 18:12
实测DG和分区助手都是找回分区无压力啊
然后修复一下启动就完事了

发现bug,有的GPT分区表解析会出错..好吧是我的错已修复,链接一楼
jqj0901
 楼主| 发表于 2019-1-24 09:31:12 | 显示全部楼层
www-tekeze 发表于 2019-1-23 19:44
按楼主说的是破坏DBR,是这个原因吧? 否则你的速度卫士也拦截不了R0级修改。。

还没回家,待会 ...

准确的来说是R3级别,我用了某种特殊的方法绕过了那些无耻的APIHOOK
不过一般杀软是不会拦截破坏DBR这个操作的只拦截修改MBR的话那就会发生很惨的后果
本来输入密码还能恢复的,拦截了修改MBR之后就真的不能恢复了
hez2010
发表于 2019-1-24 09:42:13 | 显示全部楼层
WD KILL


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
那逝去的风
发表于 2019-1-24 09:59:21 | 显示全部楼层
只有这里能回帖么~~~
www-tekeze
发表于 2019-1-24 10:32:30 | 显示全部楼层
jqj0901 发表于 2019-1-24 09:31
准确的来说是R3级别,我用了某种特殊的方法绕过了那些无耻的APIHOOK
不过一般杀软是不会拦截破坏DB ...

特殊方法? 比较猥琐呗,但还是骗不了智量哈。。

实际我也不相信你进入了R0,因为没看到注册服务/加驱这类动作,否则会被火绒拦截! 但能绕过火绒而且拦截MBR反而造成无法修复,我还是得承认你这个样本有技术含量,加油! 再放几个样本出来玩。。
www-tekeze
发表于 2019-1-24 10:43:23 | 显示全部楼层
www-tekeze 发表于 2019-1-24 10:32
特殊方法? 比较猥琐呗,但还是骗不了智量哈。。

实际我也不相信你进入了R0,因为没看到注册服 ...

总共3个样本,加VMP的火绒昨天已入库,别外两个锁芯被行为特征码命中,而智量Heur就能清空!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
wowocock
发表于 2019-1-24 11:13:39 | 显示全部楼层
www-tekeze 发表于 2019-1-24 10:32
特殊方法? 比较猥琐呗,但还是骗不了智量哈。。

实际我也不相信你进入了R0,因为没看到注册服 ...

应该还是R3通过WRITEFILE 写入MBR的,所以360防御应该没问题。即使没拉黑,不知道为啥火绒不行。
之所以破坏了UEFI是因为他覆盖了硬盘前3个扇区,而后面2个扇区是UEFI的分区信息。不过因为没有破坏磁盘最后的UEFI备份分区扇区,所以可以修复UEFI的分区。他这个还算是勒索,不过比那些垃圾好不少。分析下他的MBR,可以进WINPE下,把MBR 偏移E0 2字节改为9090,偏移F1,2字节改为9090然后重启,随便输字符,按回车即可。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
血樱
发表于 2019-1-24 12:07:43 | 显示全部楼层
www-tekeze 发表于 2019-1-23 10:40
加壳肯定容易被报。。。红伞,Killed 。

加壳加签名的话会报不
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-9-22 14:25 , Processed in 0.043562 second(s), 6 queries , MemCache On.

快速回复 返回顶部 返回列表