收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 请求分析(吾爱破解上的锁机
123下一页
返回列表 发新帖
查看: 4029|回复: 28
收起左侧

[病毒样本] 请求分析(吾爱破解上的锁机

[复制链接]
测试者
头像被屏蔽
发表于 2021-3-14 14:21:08 | 显示全部楼层 |阅读模式
https://www.52pojie.cn/thread-1361627-1-1.html这是帖子原地址
要不是我没时间我就去分析一下了
希望有人能够成功逆向下
回复

举报

偷电狂魔
头像被屏蔽
发表于 2021-3-15 11:10:34 | 显示全部楼层
本帖最后由 偷电狂魔 于 2021-3-15 11:22 编辑
Kinhold 发表于 2021-3-14 15:39
源帖已被关

得登录才能访问,给没吾爱破解账号的搬运一下



原帖的附件(2021年3月15日11:14搬运):https://lumingfei999.lanzous.com/i0efJmyakvc

楼主可以置一下顶



回复

举报

测试者
头像被屏蔽
 楼主| 发表于 2021-3-14 15:10:48 | 显示全部楼层
我自己弄了出来
首先呢,这是个加了壳的
会检测360,估计是过不了360吧
具体的行为就是各种反调试反检测
隐藏桌面图标、禁用资源管理器按钮
禁用注册表编辑器还有一大堆服务
检测六个进程360主防(360tray.exe)、江民杀毒主防(KVXP.kxp)、mcafree主防(Mcshield.exe)、瑞星主防(Rav.exe)、卡巴斯基主防(kavsvc.exe)、瑞星主程序(Ravmon.exe)
会用taskkill杀六个进程,其中包括360主防(360tray.exe)、江民杀毒主防(KVXP.kxp)、mcafree主防(Mcshield.exe)、瑞星主防(Rav.exe)、卡巴斯基主防(kavsvc.exe)、瑞星主程序(Ravmon.exe)
会安装消息钩子
thread_identifier :2760callback_function :0x004fea2fmodule_address :0x00000000hook_identifier :4294967295和thread_identifier :2760callback_function :0x004fb633module_address :0x00000000hook_identifier :5

还有一些网站,谁知道干嘛的
http://www.KPHKEQDI.cn
http://www.NQEYJLV.cn
http://www.CSYCZYLP.cn
http://www.XMJBUUDH.cn
http://www.ORWZULIM.cn
http://www.VUBDORTM.cn
http://www.DKPHAESI.cn
http://www.HCVLXZQ.cn
http://www.TPQOQYS.cn
http://www.XITLNC.cn
http://www.LEKRVTHW.cn
http://www.LOHVACZC.cn
http://www.AZETZ.cn
http://www.WWYSSS.cn
http://www.ZRGYHQ.cn
http://www.CGJHXFES.cn
http://www.ISFSIIO.cn
http://www.HUDSBQGK.cn
http://www.KEUDMK.cn
http://dywt.com.cn
http://www.NJTZYQD.cn
http://www.LXNWTXF.cn
http://www.RDRBT.cn
http://www.PCNAJPK.cn
http://www.FUGRRQ.cn
http://www.JXSULOK.cn
http://www.OMBBNYPO.cn
http://www.CAOWQWV.cn
http://www.PGFVATSZ.cn
http://www.PNNYZWY.cn
http://www.LCWVI.cn
http://www.RFEQRW.cn
http://www.NOCMW.cn
http://www.TONBBTVZ.cn
http://www.CXEVHRU.cn
http://www.JPAANIWH.cn
http://www.WSAUGGY.cn
http://www.DFXAQ.cn
http://www.DGJTDWAM.cn
http://www.FYZITU.cn
http://www.HPSEJXFZ.cn
http://www.SEHDDIVZ.cn
http://1515lu.com/
http://www.EDQIKOH.cn
http://www.GWXLF.cn
http://www.JLSNBEFY.cn
http://www.WQTNQCPV.cn
http://www.CZFRVFC.cn
http://www.AJPYDJFQ.cn
http://www.OBMLOPZ.cn
还有加载模块资源
module_handle :0x00400000resource_handle :0x006b4b48pointer :0x006b9884
大致就是这些
回复

举报

zay365
头像被屏蔽
发表于 2021-3-14 15:34:54 | 显示全部楼层
没发现有改MBR的行为啊
回复

举报

Kinhold
发表于 2021-3-14 15:39:35 | 显示全部楼层
源帖已被关



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

zay365
头像被屏蔽
发表于 2021-3-14 15:52:17 | 显示全部楼层
Kinhold 发表于 2021-3-14 15:39
源帖已被关

要登录才能访问
回复

举报

zay365
头像被屏蔽
发表于 2021-3-14 15:53:34 | 显示全部楼层
文件:https://wwa.lanzous.com/iwo2fmxctyf
回复

举报

hsks
发表于 2021-3-14 16:02:49 | 显示全部楼层
火绒报MBRlocker

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

心醉咖啡
发表于 2021-3-14 16:04:42 | 显示全部楼层
火绒
  1. 病毒库时间:2021-03-13 16:39
  2. 开始时间:2021-03-14 16:04
  3. 总计用时:00:00:01
  4. 扫描对象:1
  5. 扫描文件:1
  6. 发现风险:1
  7. 已处理风险:1
  8. 病毒详情:
  9. 风险路径:E:\浏览器下载\纯白最垃圾\纯白最垃圾.exe, 病毒名:Ransom/MBRLocker.b, 病毒ID:f319a75c600dbae0, 处理结果:已处理,删除文件
复制代码
回复

举报

a233
发表于 2021-3-14 16:07:34 | 显示全部楼层
Windows Defender
Trojan:Win32/Ymacco.AA4D
回复

举报

很温和
发表于 2021-3-14 16:13:17 | 显示全部楼层
BEST
Trojan.GenericKD.36436930
等会补上分析
回复

举报

下一页 »
123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-4-25 18:48 , Processed in 0.125980 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表