硬盘MBR病毒分析
原贴地址: http://www.52pojie.cn/thread-630056-1-1.html比较简单 就直接贴图稍作说明. 说下MRB病毒的分析原理
硬盘内核驱动程序将硬盘作为一个文件,文件名为:"\\.\\physicaldrive0" 通过使用 CreateFile, ReadFile, WriteFile 这几个API来进行分析.
首先,因为程序被老版本的金盾加密了,这里需要先patch机器码 .
patch机器码之后 ,在CreateProcessW下断点
继续F9, 程序会在CreateProcessW断下,这里我们可以看到被加密的源程序所在目录
C:\Program Files\drmsoft401fe\飞车通杀助手.exe
现在将源程序拖入OD分析WriteFile下断点
F9运行断下在堆栈 或者在字符串搜索 都可以看到密码
密码为: d___b
PS:没有一定动手能力的朋友,尽量虚拟机操作..
(解压密码:52pojie)
我正在到处查资料,我的电脑到底是怎么了,一两年了。不管怎么的重新安装系统,还是不见好,就是那种时好时坏的,我之前一直都没有在意,直到刚才看楼准的帖子之后。才恍然大悟,原来问题出现在磁盘上面。真心感谢啦,如何方便的话,我想加下您的微信,有关这个病毒来历的问题。 BY℡殇 发表于 2017-12-16 01:00
压缩包被加了密码,不知道还能不能记起来,记起来了请楼主帮忙看看密码,在此先谢过了
压缩包密码只可以暴力破解,百度上有工具的。 好厉害了 小白表示看不懂 很厉害, 受教了哥们 很厉害!!! 感谢分析! 厉害了我的哥······· 学习了 谢谢分享 学习了 谢谢楼主 很厉害, 受教了