锁机软件. 分析篇

Godsteal · 发表于 2018-8-29 13:58

本帖最后由 Godsteal 于 2018-8-29 14:02 编辑

求助--在线等电脑被人锁了求大神分析https://www.52pojie.cn/thread-789216-1-1.html

简单分析
——————————————————————————————————————————————————
1：通过该用户的描述.我们得知它调试源码的时候中招了,

2：下载附件后我们发现以下文件

TIM截图20180829132321.png

既然是调试源码中招.我们就从源码查起

易语言源码（打开后发现启动窗口创建完毕下代码）

代码中我们发现, 除了屏蔽系统键 () 我们未知

其它就是判断文件是否存在, 和写注册项设置启动项

模块反编译篇
——————————————————————————————————————————————————

接上, 在源码中我们发现它有调用一个模块文件, 就是压缩包内的反编译.ec

我们通过模块反编译查看下内容

复制到易语言上面, 查看正是上面源码中调用的一个子程序（屏蔽系统键）

运行 (“net user 序列号：” ＋匿名局部变量_5 ＋ “ ” ＋到文本 (到数值 (匿名局部变量_5) × 5 － 666666) ＋ “ /add”, 假, #隐藏窗口)

设置随机用户名

设置随机密码

当然它的随机密码, 里面就是取随机数 X 5 - 666666

序号 X 5 - 666666 = 所谓的密码

验证以上内容
——————————————————————————————————————————————————
TIM截图20180829131228.png

运行该程序后桌面弹出这个界面, 让你输入密码,

如果你运行到这还是有机会的, 可以切换出任务管理器我们结束掉它的后台运行就可以

然后清理掉开机启动项, 就OK

当然我们不管这. 点击10次后关机重启了

我们要算出 Admin 的密码必须使用最后一个序号也就是图中的

1030122

上面我们知道了它的方法, 序号 X 5 - 666666

1030122 X 5 - 666666 = 4483944

完成后记得清理启动项. ！

——————————————————————————————————————————————————

Godsteal · 发表于 2018-8-29 14:06

如果看不懂代码的运行别人发的代码还是要谨慎调试的, 这个就是典型的模块后门, 这款源码在网络上面传播很长时间了, 有多少人中招, 不过他们中招都是因为自己的好奇心, 去下载这个源码然后然后去瞎搞, 导致自己被坑, 哎数据无价, 这些都是小把戏, 如果遇到给文件加密然后来格盘的, 那就恐怖了, 没事还是别在自己的工作电脑上面运行, 下个虚拟机如何！

夜游人 · 发表于 2018-8-29 14:10

前排支持一下

迷惘的执著 · 发表于 2018-8-29 14:47

支持一下技术贴

落魄狂人 · 发表于 2018-8-29 14:48

以为是手机最后是锁电脑方法基本一样

唯爱学习 · 发表于 2018-8-29 14:54

支持一下技术贴

雨倾、风止 · 发表于 2018-8-29 15:08

辛苦了，感谢分享，

dingyin1351567 · 发表于 2018-8-29 15:12

虽然看不太懂，但还是佩服大神分享。

ouyang131421 · 发表于 2018-8-29 15:22

支持技术贴！！！

lds114 · 发表于 2018-8-29 15:32

支持，暂时用不了太危险

帐号		自动登录	找回密码
密码			注册[Register]

[PC样本分析] 锁机软件. 分析篇

免费评分