吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 11819|回复: 42
收起左侧

[PC样本分析] 流氓硬盘逻辑锁—病毒分析解密

  [复制链接]
Hou 发表于 2020-3-8 14:40
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 Hou 于 2021-9-17 14:16 编辑

其实99%的硬盘逻辑锁都可以使用该方法进行解密取得密码,分析病毒样本请在虚拟机进行并使用快照备份以便快速恢复
请勿按照本教程在实体机分析!否则你的电脑会有被锁风险!
0.png
先给个干货吧:
这个锁机病毒工作流程—>添加注册表自启动—>为administrator帐号增加开机密码(密码:123)—>硬盘逻辑锁(密码:ID值+212)—>关机
由此可见该病毒的死循环有意向受害者多次进行勒索,相当流氓!不多说盘他!

1.直接拉进OD看,没壳这就好办了
1.png

2.那就直接中文搜看看有什么关键字
2.png
哇,一搜都出来了!Software\Microsoft\Windows\CurrentVersion\Run?svchose.exe?net user administrator 123?qq2110167494?shutodwn -r?
这不就是病毒的工作流程了吗,那我们继续分析吧.

3.我们分别在两个qq文本和关机命令shutodwn -r 下断,看看有什么结果
3.png
第一个qq文本断下来时,堆栈出现了两个可疑的数值(4897,4685),我们暂时记录下来

4.第二个QQ文本断下来并没有什么信息,我们跳过,来到下一个断点关机命令shutodwn -r,按上述的工作流程,此时我们的电脑已经被锁了,但是关机命令CALL并未有执行
4.png
此时我们又看到堆栈有一条可疑信息,直接跟过去看,又发现了两个数字,是不是似曾相识?没错这就是锁机ID和锁机密码了
但是密码后面为什么有这么多AAAAAA?这应该是C语言的内存回收和分配机制导致的,这些AAAA没有什么作用
基本分析已经完结了,下面我们重新运行进一步分析

=====================================================================

我们知道病毒制作者会通过随机密码来阻止我们分析密码,但是密码是怎样生成的?就是通过这个ID。
我们怎么计算密码?逆向算法?不不不,这太难了,我们只需把他的ID固定他就会自动计算密码了。
我们回去看第一张图ID是17412,我们这次就固定这个ID值查看密码吧。

1.我们在程序起点00401C0下断,这个起点奇奇怪怪的,不像易语言程序,我们一直F8单步分析,看看这个ID是在哪里生成的
5.png
2.我们单步来到004011FB,寄存器都出现了一个数值,这是上面的CALL产生的,没错了,就这是ID生成的CALL
6.png
我们在仔细看看,堆栈和ESI有一个可疑的十六进制数值2D1A,他的十进制就是11546,这不就是这次锁机的ID吗?
这里解释下,我们看到的文本型"11546"其实只是给我们锁机时显示的文本,实际的ID值是整数型在OD里会以16进制显示,所以我们三个地方都要修改。

3.我们需要的是ID是17412,十六进制是4404,我们这三处地方进行更改
7.png

4.然后我们在文本shutodwn -r下断点并运行,查看ID和密码是否正确
8.png
嗯,没错了,ID是17412,密码是17624
细心的人已经发现了,我们分析这两次的ID跟密码都非常接近
第一次ID4685,密码4897
我们将密码和ID相减,结果都是相差212,所以推断密码就是ID值+212

5.我们完成一下作者心愿,把机锁一下测试密码吧
11.png
密码完全正确,我们到达了登录界面,还记得前面吗,net user administrator 123

6.我们输入密码123,来到熟悉的界面
12.png
嗯....呕心东西,注册表自启动,手速慢的孩子到安全模式删除吧,手速快的直接把注册表启动项删掉就可以了。
位置在这里
13.png

好了教程到这里基本结束了,如果有认真单步追踪的同学,可能你会发现这个地方的内存被覆盖了。
14.png

硬盘逻辑锁病毒样本密码1.zip (29.12 KB, 下载次数: 53)
密码:1

免费评分

参与人数 16吾爱币 +22 热心值 +12 收起 理由
Hmily + 7 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
qyd0801 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
挥汗如雨 + 2 + 1 热心回复!
麟之游 + 1 我很赞同!
QJ520 + 1 + 1 我很赞同!
mgz9057 + 1 我很赞同!
liuyi110 + 1 + 1 用心讨论,共获提升!
dahu1221 + 1 + 1 我很赞同!
流无意啦 + 1 我很赞同!
久违丨文爷 + 1 + 1 用心讨论,共获提升!
天凉°好个秋 + 1 + 1 我很赞同!
blue2503 + 1 + 1 谢谢@Thanks!
那一夜谁懂22 + 1 我很赞同!
Codeman + 1 + 1 用心讨论,共获提升!
壹2叁 + 1 热心回复!
执笔写墨白 + 1 + 1 我很赞同!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

prospect2005 发表于 2020-3-8 18:12
只是锁系统,并没有锁数据?用PE进去删文件也可以的
 楼主| Hou 发表于 2020-3-9 11:23
huzpsb 发表于 2020-3-9 08:39
怀疑不是那个原因..你看看是不是虚拟机名称什么的...
我以前还好奇为什么我分析病毒里面有我的名字....

他的字符串是连贯的,不会是虚拟机的信息,在其他机器测试了一下 结果是一样的
QQ截图20200309112038.png
 楼主| Hou 发表于 2020-3-8 14:44
NB2665597272 发表于 2020-3-8 15:04
分析的较为完整  挺清晰的
雨落惊鸿, 发表于 2020-3-8 15:09
感谢分享
咿呀咿呀呦 发表于 2020-3-8 15:09
学习了,鄙视逻辑锁种人
壹2叁 发表于 2020-3-8 15:11
学习到了,感谢楼主
海上明日 发表于 2020-3-8 15:25
诶?何以看出是咱们论坛的人嘞
余吉 发表于 2020-3-8 15:38
这种硬盘逻辑锁不能用密码解锁吧?
 楼主| Hou 发表于 2020-3-8 15:57
海上明日 发表于 2020-3-8 15:25
诶?何以看出是咱们论坛的人嘞

最后一图内存区域出现了52pojie字样,或许是调用了我们论坛里的某些代码或者模块
 楼主| Hou 发表于 2020-3-8 15:59
余吉 发表于 2020-3-8 15:38
这种硬盘逻辑锁不能用密码解锁吧?

硬盘逻辑锁都是可以使用密码解开的,除非作者设置的是随机密码或者是破坏性的锁
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-28 01:16

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表