吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 7494|回复: 11
收起左侧

[PC样本分析] 小白如何自己判断是不是MBR锁或用户锁病毒(高级壳无法识别)

  [复制链接]
guyao 发表于 2020-2-19 19:16
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
首先,先来认识一下这两个我们接下来要使用的网页分析系统
  • 腾讯哈勃分析系统 habo.qq.com
  • 微步云沙箱 s.threatbook.cn
这里拿出一个,来做实验
既然是小白级教程 那么就要简单明了
微步云相比之下比腾讯哈勃更加高级一些,但还是推荐两个引擎都看一下
首先说哈勃
hb1.png
这里写的十分清楚,修改引导,就是我们常说的硬盘锁
单解硬盘锁,我后续会出一个用PE里的Diskgenius恢复硬盘引导的教程
hb3.png
这个更简单,是我们常说的用户锁
用PE里的破解用户密码即可破解,当然,你要是win10用户发现不能破解密码的话,那就尝试用哈勃看一下自己的这个密码是多少
再来说微步云 更加专业,但是小白不容易看
7B6AADE8-CC68-4947-A0C1-4693976184C5.png C55276A1-711C-450e-8D90-75CA7E2E8657.png A632EDB2-4598-45b8-A302-664CBBF02BEE.png
带有第一项的,就必有病毒了,但第二第三项不一定是,也可以作为一个判断的小标准

如果你已经中了,该怎么自救呢???
  • 如果你什么都不会,去电脑店吧孩子
  • 如果你会那么一点,欢迎你到我们的52破解论坛发帖求救,注意,要样本+图片,不然我们是无法给你提供帮助的
  • 如果你是入门水平并对看代码有初步了解,那么你可以进行自救
(1)使用pe进行自救
(2)使用微步云或哈勃进行自救
  用户锁使用哈勃进行自救,看修改用户密码的那张图片,一般第二行有密码,需要自己进行判断
  MBR锁/硬盘锁 使用微步云进行自救,点开我发送的第一张图片的文字,会出现一堆乱码,不要慌,往下拉看第二栏
  找到前面写有NtWriteFile字样的,往里面看
  一般你会看到这些 file_handle :0x00000188      filepath :\Device\Harddisk0\DR0      buffer :é&#140;è&#142;&#216;&#142;D&#142;à&#188;&#189;í|&#187;í|è°&#137;á         &#184;&#187; 2í&#184;&#184; &#142;&#216;1é1&#219;1àí<t<t           ′&#136;&#136;g&#129;&#195;Aé&#229;&#255;&#129;&#235;I1à&#137;éù              &#255;&#140;è&#142;à1&#219;&#190;ú|.&#138;ù|μ>&#138;&&#138;$8àu            1&#129;&#195;Fa&#239;1à&#184;~&#142;à1&#219;′2&#128;°&#182;μ±í1          &#219;2&#128;′°&#182;μ±íé&#187;&#184;&#129;&#195;8°X&#136;.&#139;ù|        1à&#137;&#129;&#195;a&#248;éE&#255;&#184;&#255;&#255;P&#184;P&#203;QS>&#138;&#128;ù             tC@éó&#255;Y[&#195; &#182;&#209;?5&#158;&#198;#¤ìX·e jiesuo+        qqxxxxxxxxxx(一般这里就是你能看         到开机时的红字部分了)Please enter t       he unlock passwordUa
找到[&#195; 开头的
到最后就是你的密码了
例如 64DCF7F3-B546-4e9f-B9CF-EF47D297CAFC.png 到e为止
(3)你是个大佬,那么还来看我的帖子是给我检查错误嘛?
感谢大家可以观看我的帖子,这是篇新人贴,希望可以给我多多指出意见!

谢谢

免费评分

参与人数 6吾爱币 +9 热心值 +6 收起 理由
Hmily + 5 + 1 用心讨论,共获提升!
余吉 + 1 其实有密码都不能过MBR的锁的..
ls0928 + 1 + 1 我很赞同!
ltf5521 + 1 + 1 谢谢@Thanks!
huiji + 1 + 1 用心讨论,共获提升!
万神fake + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| guyao 发表于 2020-3-1 16:09

有的字符可能是发不出来被论坛转码了,去百度一下html特殊符号表就能查了,实际上那些带#xxx的在我举得那个例子里面就有
 楼主| guyao 发表于 2020-3-1 16:03
染指流年 发表于 2020-2-24 21:41
还有个网页分析你没说  魔盾:https://www.maldun.com/submit/submit_file/

是的,我认为日常使用这两个已经足够了
 楼主| guyao 发表于 2020-2-19 19:17
hhihsw 发表于 2020-2-20 12:10
本人比较小白。。想问一下需要上传检查的文件是哪一个??
chentim 发表于 2020-2-20 20:46
没看懂啥意思
游泳的猪 发表于 2020-2-22 12:52
没有点技术的小白表示看不懂这些暗语。
YangHaishuai 发表于 2020-2-24 13:27
论坛,有类似的解决方案吧?
染指流年 发表于 2020-2-24 21:41
还有个网页分析你没说  魔盾:https://www.maldun.com/submit/submit_file/
运维穷屌丝 发表于 2020-2-25 07:42
感谢吾爱有你!
 楼主| guyao 发表于 2020-3-1 16:02
hhihsw 发表于 2020-2-20 12:10
本人比较小白。。想问一下需要上传检查的文件是哪一个??

把发给你的文件本体上传上去就可以了
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 09:41

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表