关于某锁机样本的分析
本帖最后由 Android_army 于 2016-7-31 20:32 编辑原贴地址:http://www.52pojie.cn/thread-523141-1-1.html另楼主发现原样本链接失效,所以重新制作了一个链接。
链接: http://pan.baidu.com/s/1eSt2xiU 密码: 573h
因为在原贴发过相应的回复,但是很零乱,所以特地统一起来并分享一下分析的过程。
static/image/hrline/2.gif
一、下载好了压缩包,施放文件后,例行查壳。发现是VMP壳,楼主就开始怀疑人生了。VMP壳,对于楼主这样的小白来说,显然是很有威慑力的,那接下来该怎么办呢?
OD载入尝试无果后,楼主只能放弃OD查找代码的途径。
二、利用行为监控软件监控软件行为。
因为是VMP壳,所以楼主心里还是有些忐忑,因为VMP壳本来是有反调试反虚拟机功能的,楼主只能抱着试一试的态度去开始我的分析。结果还好,程序照常运行。
软件行为只有短短几条,在这几个行为中发现不了任何的可疑情况。无非是创建、修改、运行、结束。等等,创建、运行?!这可是一个很大的突破口啊。
注意一下软件的行为:
1、创建文件:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\bt0202.bat
2、调用地址:0x004d9280] 运行命令:cmd.exe /c C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\bt0202.bat
3、删除文件:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\bt0202.bat
看来这个bt0202.bat很有问题啊,所以从这里下手。
三、追寻临时文件
根据目录找到了软件创建的这个临时的bat,很有可能它就是锁机的罪魁祸首。
将软件复制到了桌面,发现这个软件竟然是隐藏属性,那么它的可疑性就大大增加了。可是,用记事本打开之后出现了乱码,楼主又开始怀疑人生了。为什么bat文件用记事本打开是乱码呢?其实原因很简单,因为这个bat被加密了?什么,被加密了。bat文件还能够被加密吗?楼主很准确地告诉你,是能的。既然知道了这个文件被加密了,又要从这个文件下手,恩,怎么办呢?
楼主索性从网上寻找到了一个bat解密软件,这下,这个文件无所隐形了。
PS:地址:http://www.jb51.net/softs/58660.html#download
根据软件提示,楼主很轻松地将这个bat文件解密了,还在桌面上生成了一个解密后的文件。
四、最终,无处隐藏
打开这个解密后的文件,哈哈,真是拨开云雾见天山啊。果然,代码全部都浮现出来了,此时,各位小伙伴们,拿着这个代码,难倒还搞不清楚这个锁机的全过程了吗?!哈哈哈!
到此,分析的全过程已经结束了,至于那些不小心被锁的同学我只想说,楼主也无能为力。因为楼主没有学过多久的bat,只会一些简单的指令,至于这个随机码锁机的代码,我还真是看不懂。破解不了的童鞋还是默默地去做一个PE启动U盘吧。
希望这个分析过程能够帮到大家!
觉得好就评分吧!再次感谢!!!
因广大小伙伴的要求,特地放出行为监控软件,有好东西就要一起分享。嗯嗯嗯。
不是什么加密,就是改变了下文件编码,用office打开就看到了,无需解密工具。。
Android_army 发表于 2016-8-4 12:11
这个就是随机加密的bat啊。我只是提供一个思路,想要自己破解莫非就做伸手党?
啥叫伸手党? 解密后 看不懂{:301_971:} 支持一下 请问楼主的行为监控软件是叫什么呢~ onmiuncai 发表于 2016-7-31 19:34
请问楼主的行为监控软件是叫什么呢~
来自木大的API,明天我会分享给大家的。要先去征求作者的同意。 Android_army 发表于 2016-7-31 19:34
来自木大的API,明天我会分享给大家的。要先去征求作者的同意。
感谢~~{:17_1073:} 感谢分享 Android_army 发表于 2016-7-31 19:34
来自木大的API,明天我会分享给大家的。要先去征求作者的同意。
请尽快,我就需要那个 感谢分享
支持一下,希望能公布那个行为监测软件 其实那个bat就是把每个字符转换成16进制的了,但是为什么这样的bat文件也能运行呢?加了vmp的壳后感觉好难看懂流程