新型锁机一只,能日UEFI

yjwfdc

www-tekeze 发表于 2019-1-23 19:44
按楼主说的是破坏DBR，是这个原因吧？ 否则你的速度卫士也拦截不了R0级修改。。

还没回家，待会 ...

uefi才破坏DBR.

jqj0901

风之咩~ 发表于 2019-1-23 18:12
实测DG和分区助手都是找回分区无压力啊
然后修复一下启动就完事了

MBR分区是第一次加载锁芯代码的时候加密的DBR,锁住后如果直接进PE的话是可以找回的

jqj0901

风之咩~ 发表于 2019-1-23 18:12
实测DG和分区助手都是找回分区无压力啊
然后修复一下启动就完事了

发现bug,有的GPT分区表解析会出错..好吧是我的错已修复,链接一楼

jqj0901

www-tekeze 发表于 2019-1-23 19:44
按楼主说的是破坏DBR，是这个原因吧？ 否则你的速度卫士也拦截不了R0级修改。。

还没回家，待会 ...

准确的来说是R3级别,我用了某种特殊的方法绕过了那些无耻的APIHOOK
不过一般杀软是不会拦截破坏DBR这个操作的只拦截修改MBR的话那就会发生很惨的后果
本来输入密码还能恢复的，拦截了修改MBR之后就真的不能恢复了

hez2010

WD KILL

那逝去的风

只有这里能回帖么~~~

www-tekeze

jqj0901 发表于 2019-1-24 09:31
准确的来说是R3级别,我用了某种特殊的方法绕过了那些无耻的APIHOOK
不过一般杀软是不会拦截破坏DB ...

特殊方法？ 比较猥琐呗，但还是骗不了智量哈。。

实际我也不相信你进入了R0，因为没看到注册服务/加驱这类动作，否则会被火绒拦截！ 但能绕过火绒而且拦截MBR反而造成无法修复，我还是得承认你这个样本有技术含量，加油！ 再放几个样本出来玩。。

www-tekeze

www-tekeze 发表于 2019-1-24 10:32
特殊方法？ 比较猥琐呗，但还是骗不了智量哈。。

实际我也不相信你进入了R0，因为没看到注册服 ...

总共3个样本，加VMP的火绒昨天已入库，别外两个锁芯被行为特征码命中，而智量Heur就能清空！

wowocock

www-tekeze 发表于 2019-1-24 10:32
特殊方法？ 比较猥琐呗，但还是骗不了智量哈。。

实际我也不相信你进入了R0，因为没看到注册服 ...

应该还是R3通过WRITEFILE 写入MBR的，所以360防御应该没问题。即使没拉黑，不知道为啥火绒不行。
之所以破坏了UEFI是因为他覆盖了硬盘前3个扇区，而后面2个扇区是UEFI的分区信息。不过因为没有破坏磁盘最后的UEFI备份分区扇区，所以可以修复UEFI的分区。他这个还算是勒索，不过比那些垃圾好不少。分析下他的MBR，可以进WINPE下，把MBR 偏移E0 2字节改为9090，偏移F1，2字节改为9090然后重启，随便输字符，按回车即可。

血樱

www-tekeze 发表于 2019-1-23 10:40
加壳肯定容易被报。。。红伞，Killed 。

加壳加签名的话会报不