官方bilibiliWindows破解入门Android逆向入门
【网络诊断修复工具】切换到窄版

吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

吾爱破解 - 52pojie.cn»网站 【 病毒分析 】 『病毒分析区』 硬盘MBR病毒分析
1234567下一页
返回列表 发新帖
查看: 17768|回复: 56
收起左侧

[PC样本分析] 硬盘MBR病毒分析

  [复制链接]
七宗罪丶
七宗罪丶 发表于 2017-7-30 00:40
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
原贴地址: http://www.52pojie.cn/thread-630056-1-1.html


比较简单 就直接贴图稍作说明. 说下MRB病毒的分析原理


硬盘内核驱动程序将硬盘作为一个文件,文件名为:"\\.\\physicaldrive0" 通过使用 CreateFile, ReadFile, WriteFile 这几个API来进行分析.

首先,因为程序被老版本的金盾加密了,这里需要先patch机器码 .
QQ截图20170730002046.png
QQ截图20170730005309.png

patch机器码之后 ,在CreateProcessW下断点
QQ截图20170730002135.png

继续F9, 程序会在CreateProcessW断下,这里我们可以看到被加密的源程序所在目录
QQ截图20170730002155.png

C:\Program Files\drmsoft401fe\飞车通杀助手.exe
QQ截图20170730002222.png



现在将源程序拖入OD分析  WriteFile下断点
QQ截图20170730002348.png
QQ截图20170730002301.png


F9运行断下  在堆栈 或者在字符串搜索 都可以看到密码


密码为:        d___b


PS:没有一定动手能力的朋友,尽量虚拟机操作..


提取后文件.zip (591.78 KB, 下载次数: 143) (解压密码:52pojie)


点评

baiwan
明天去试试。。。  发表于 2017-8-2 22:21

免费评分

参与人数 23威望 +1 吾爱币 +33 热心值 +24 收起 理由
照小月 + 4 + 4 用心讨论,共获提升!
kotori_ + 1 用心讨论,共获提升!
空城落花丶 + 1 + 1 用心讨论,共获提升!
Ocean333 + 1 谢谢@Thanks!
ducd + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
Hacher许 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
Neo_0 + 1 + 1 已答复!
Hmily + 1 + 10 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
littleyellow + 1 + 1 用心讨论,共获提升!
丿刹那间的永恒 + 1 + 1 我很赞同!
WAITME66 + 1 + 1 我很赞同!
rainOvO + 1 + 1 谢谢@Thanks!
Eternity-Myth + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
B1aN + 1 + 1 谢谢@Thanks!
A6叶箫 + 1 热心回复!
plasd + 1 + 1 谢谢@Thanks!
zxdpim + 1 鼓励转贴优秀软件安全工具和文档!
Antic + 1 + 1 谢谢@Thanks!
wentwent + 1 + 1 谢谢@Thanks!
守护神艾丽莎 + 1 + 1 热心回复!
KaQqi + 1 已答复!
Cmilyci + 1 + 1 我很赞同!
Mainos + 2 + 1 谢谢作者!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。
回复

举报

iboxpay
iboxpay 发表于 2017-10-25 11:17
我正在到处查资料,我的电脑到底是怎么了,一两年了。不管怎么的重新安装系统,还是不见好,就是那种时好时坏的,我之前一直都没有在意,直到刚才看楼准的帖子之后。才恍然大悟,原来问题出现在磁盘上面。真心感谢啦,如何方便的话,我想加下您的微信,有关这个病毒来历的问题。
【吾爱破解论坛总版规】 - [让你充分了解吾爱破解论坛行为规则]
回复 支持

举报

七宗罪丶
 楼主| 七宗罪丶 发表于 2017-12-16 17:36
吾爱破解论坛没有任何官方QQ群,禁止留联系方式,禁止任何商业交易。
BY℡殇 发表于 2017-12-16 01:00
压缩包被加了密码,不知道还能不能记起来,记起来了请楼主帮忙看看密码,在此先谢过了

压缩包密码只可以暴力破解,百度上有工具的。
如何升级?如何获得积分?积分对应解释说明!
回复 支持

举报

fendou
fendou 发表于 2017-7-30 01:00
《站点帮助文档》有什么问题来这里看看吧,这里有你想知道的内容!
好厉害了
呼吁大家发布原创作品添加吾爱破解论坛标识!
回复 支持

举报

Rody
Rody 发表于 2017-7-30 01:06
小白表示看不懂
如何快速判断一个文件是否为病毒!
回复 支持

举报

丿Me丶男主角
丿Me丶男主角 发表于 2017-7-30 01:28
很厉害, 受教了哥们
回复 支持

举报

emma2010
emma2010 发表于 2017-7-30 08:26
很厉害!!!
回复 支持

举报

qqqmyj
qqqmyj 发表于 2017-7-30 09:10
感谢分析!
回复 支持

举报

微风吹过。
微风吹过。 发表于 2017-7-30 09:19
厉害了我的哥·······
回复 支持

举报

wentwent
wentwent 发表于 2017-7-30 10:15
学习了 谢谢分享
回复 支持

举报

imtom123
imtom123 发表于 2017-7-30 10:45
学习了 谢谢楼主
回复 支持

举报

lcxiqhl
lcxiqhl 发表于 2017-7-30 10:49
很厉害, 受教了         
回复 支持

举报

下一页 »
1234567下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52pojie.cn

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 11:40

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表