分析一个强壳锁机软件过程
对一个锁机的分析以及破解教程
文件名称 : 蜡笔小新辅助.exe
文件大小 : 3571712 byte :
文件类型 : application/x-dosexec
MD5 : 849f08859ed9304a5cdad56822d72b48
SHA1 : 6d8cf89d35a8c3993ebe6fbbb42ddb7ff65d78b3
壳类:VMP2.07
样本类型:MBR锁机
行为:运行目录生成一个名为ExtraDll.dll的文件 检测是否存在PowerRemind.exe影子系统 直接运行会修改MBR
硬盘锁:所谓知己知彼,百战百胜,要修复一个问题,如果知道他是怎么导致的~那么修复会变的更为简单,硬盘锁一般是通过可执行文件安装的!此类病毒通过修改系统启动过程中的关键位置,导致系统启动失败.如果要修复硬盘锁,最简单的方法就是修复那个被修改的部分 硬盘锁原理: 此类锁机是通过篡改硬盘的0磁道0柱面1扇区的那部分数据,我们一般称这一扇区叫做MBR(主引导扇区),这部分又启动引导代码与分区表组成,引导代码用于将电脑正确的引导到硬盘的系统盘区的启动代码处,分区表这里实际上只有4个,也叫主分区表,扩展分区不在此列,这里不详细讨论,只是简单说明一下原理.
0x00 起因
今天有个朋友加了我的群 然后说电脑被锁了
那么抱着乐于助人快乐人生的思想我就让他发给我 让我试试
他说他发给过别人 但是别人好像不接…..难道因为VMP壳????
本着对锁机没什么好感的心态试了试 嘻嘻
0x01
运行看行为或者锁机的界面
好家伙
查壳看看
….VMP 要丢回收站了吗?
不。这是不可能的事情~
丢进OD吧
Show time~
0x02
硬盘锁的话 下一个bp WriteFile 的断点 看看是否能找到写入的数据呢
(注意:动态分析的话,由于样本有虚拟机检测,VMP壳嘛,作者都喜欢把保护拉满,我尝试在VMX文件加入了代码就过了这个检测,毕竟壳的版本不高)
断点断下后 貌似找不到任何对于破解密码有用的数据 但是也发现了其他的东西 发现好像在运行目录写入了一个名为ExtraDll.dll的一个文件(暂且先不管这个) 如果我再次F9运行的话就锁机了 所以只能找别的方法
我们右键这个WriteFile 看看是哪里调用了这个东西
这个时候的我非常高兴,因为VMP已经解密了 :) 所以我可以去401000看看(其实解密的方法有很多…..)
hhhh生活也是如此 在你哭的时候给你一块糖,然后你满怀期待的时候又给你一巴掌
这个时候 需要用到插件了
一般都输入10000即可 然后点击Execution
花指令已经去除了 接下来就搜一下字符串吧
很明显程序运行的时候检测了是否存在影子系统的进程,好毒啊~
对红色箭头的四个地方下断
接下来就是运行程序 运行后 断下了一个
但是堆栈窗口并没有给我们想要的东西
再一次尝试运行
往下找到这里 下面的是 锁机码 上面的应该就是 锁机密码了
那么就保存好快照运行一下吧
