网站 › 『病毒分析区』 › 小白如何自己判断是不是MBR锁或用户锁病毒（高级壳无法识别）

guyao 发表于 2020-2-19 19:16

小白如何自己判断是不是MBR锁或用户锁病毒（高级壳无法识别）

首先，先来认识一下这两个我们接下来要使用的网页分析系统

[*]腾讯哈勃分析系统 habo.qq.com
[*]微步云沙箱 s.threatbook.cn
这里拿出一个，来做实验
既然是小白级教程 那么就要简单明了
微步云相比之下比腾讯哈勃更加高级一些，但还是推荐两个引擎都看一下
首先说哈勃

这里写的十分清楚，修改引导，就是我们常说的硬盘锁
单解硬盘锁，我后续会出一个用PE里的Diskgenius恢复硬盘引导的教程

这个更简单，是我们常说的用户锁
用PE里的破解用户密码即可破解，当然，你要是win10用户发现不能破解密码的话，那就尝试用哈勃看一下自己的这个密码是多少
再来说微步云 更加专业，但是小白不容易看

带有第一项的，就必有病毒了，但第二第三项不一定是，也可以作为一个判断的小标准

如果你已经中了，该怎么自救呢？？？

[*]如果你什么都不会，去电脑店吧孩子
[*]如果你会那么一点，欢迎你到我们的52破解论坛发帖求救，注意，要样本+图片，不然我们是无法给你提供帮助的
[*]如果你是入门水平并对看代码有初步了解，那么你可以进行自救
（1）使用pe进行自救
（2）使用微步云或哈勃进行自救
用户锁使用哈勃进行自救，看修改用户密码的那张图片，一般第二行有密码，需要自己进行判断
MBR锁/硬盘锁 使用微步云进行自救，点开我发送的第一张图片的文字，会出现一堆乱码，不要慌，往下拉看第二栏
找到前面写有NtWriteFile字样的，往里面看
一般你会看到这些 file_handle :0x00000188      filepath :\Device\Harddisk0\DR0      buffer :éŒèŽØŽDŽà¼
½í|»í|è°‰á         ¸
»2í¸¸ ŽØ1é1Û1àí<t<t         ′ˆˆg
ÃAéåÿëI1à‰éù            ÿŒèŽà1Û¾ú|.Šù|μ>Š&Š$8àu            1ÃFaï1à¸~Žà1Û′2€°
¶μ±í1          Û2€′°
¶μ±
í黸Ã8°Xˆ.‹ù|      1à‰ÃaøéEÿ¸ÿÿP¸PËQS>Š€ù             tC@éóÿY[Ã¶Ñ?5žÆ#¤ìX·e jiesuo+      qqxxxxxxxxxx（一般这里就是你能看         到开机时的红字部分了）Please enter t       he unlock passwordUa
找到[Ã 开头的
到最后就是你的密码了
例如到e为止
（3）你是个大佬，那么还来看我的帖子是给我检查错误嘛？
感谢大家可以观看我的帖子，这是篇新人贴，希望可以给我多多指出意见！
谢谢

guyao 发表于 2020-3-1 16:09

chentim 发表于 2020-2-20 20:46
没看懂啥意思

有的字符可能是发不出来被论坛转码了，去百度一下html特殊符号表就能查了，实际上那些带#xxx的在我举得那个例子里面就有

guyao 发表于 2020-3-1 16:03

染指流年 发表于 2020-2-24 21:41
还有个网页分析你没说魔盾：https://www.maldun.com/submit/submit_file/

是的，我认为日常使用这两个已经足够了

guyao 发表于 2020-2-19 19:17

编辑的时候还没有这些emm

hhihsw 发表于 2020-2-20 12:10

本人比较小白。。想问一下需要上传检查的文件是哪一个？？

chentim 发表于 2020-2-20 20:46

没看懂啥意思

游泳的猪 发表于 2020-2-22 12:52

没有点技术的小白表示看不懂这些暗语。{:301_993:}

YangHaishuai 发表于 2020-2-24 13:27

论坛，有类似的解决方案吧？

染指流年 发表于 2020-2-24 21:41

还有个网页分析你没说魔盾：https://www.maldun.com/submit/submit_file/

运维穷屌丝 发表于 2020-2-25 07:42

感谢吾爱有你！

guyao 发表于 2020-3-1 16:02

hhihsw 发表于 2020-2-20 12:10
本人比较小白。。想问一下需要上传检查的文件是哪一个？？

把发给你的文件本体上传上去就可以了

查看完整版本: 小白如何自己判断是不是MBR锁或用户锁病毒（高级壳无法识别）