« 返回列表

556阅读
2回复

[分享]硬盘MBR病毒分析

楼层直达

级别: FLY版主

发帖: 786360

飞翔币: 211578

威望: 215717

飞扬币: 2615651

信誉值: 8

2011年生肖兔年纪念勋章

2012年生肖龙年纪念勋章

2013年生肖蛇年纪念勋章

优秀版主勋章

飞扬水王勋章

2014年生肖马年纪念勋章

2015年生肖羊年纪念勋章

2016年生肖猴年纪念勋章

2017年生肖鸡年纪念勋章

2018年生肖狗年纪念勋章

2021年生肖牛年纪念勋章

2022年生肖虎年纪念勋章

2023年生肖兔年纪念勋章

2024年生肖龙年纪念勋章

只看楼主更多操作 0 发表于: 2017-09-29

比较简单就直接贴图稍作说明. 说下MRB病毒的分析原理硬盘内核驱动程序将硬盘作为一个文件，文件名为："\.\physicaldrive0" 通过使用 CreateFile, ReadFile, WriteFile 这几个API来进行分析.首先,因为程序被老版本的金盾加密了,这里需要先patch机器码 .

patch机器码之后 ,在CreateProcessW下断点

继续F9, 程序会在CreateProcessW断下,这里我们可以看到被加密的源程序所在目录

C:Program Filesdrmsoft401fe飞车通杀助手.exe

现在将源程序拖入OD分析 WriteFile下断点

F9运行断下在堆栈或者在字符串搜索都可以看到密码密码为: d___bPS:没有一定动手能力的朋友,尽量虚拟机操作..

提取后文件.zip

分享到 淘江湖新浪 QQ微博 QQ空间开心人人豆瓣网易微博百度鲜果白社会飞信

我不喜欢说话却每天说最多的话，我不喜欢笑却总笑个不停，身边的每个人都说我的生活好快乐，于是我也就认为自己真的快乐。可是为什么我会在一大群朋友中突然地就沉默，为什么在人群中看到个相似的背影就难过，看见秋天树木疯狂地掉叶子我就忘记了说话，看见天色渐晚路上暖黄色的灯火就忘记了自己原来的方向。

级别: 超级版主

发帖: 883800

飞翔币: 253143

威望: 224883

飞扬币: 2706945

信誉值: 0

2012年生肖龙年纪念勋章

2013年生肖蛇年纪念勋章

优秀版主勋章

2014年生肖马年纪念勋章

2015年生肖羊年纪念勋章

2016年生肖猴年纪念勋章

2017年生肖鸡年纪念勋章

2018年生肖狗年纪念勋章

2019年生肖猪年纪念勋章

2020年生肖鼠年纪念勋章

2021年生肖牛年纪念勋章

2022年生肖虎年纪念勋章

2023年生肖兔年纪念勋章

2024年生肖龙年纪念勋章

只看该作者 1 发表于: 2017-09-29

来看一看

快乐每一天

级别: 超级版主

发帖: 883800

飞翔币: 253143

威望: 224883

飞扬币: 2706945

信誉值: 0

2012年生肖龙年纪念勋章

2013年生肖蛇年纪念勋章

优秀版主勋章

2014年生肖马年纪念勋章

2015年生肖羊年纪念勋章

2016年生肖猴年纪念勋章

2017年生肖鸡年纪念勋章

2018年生肖狗年纪念勋章

2019年生肖猪年纪念勋章

2020年生肖鼠年纪念勋章

2021年生肖牛年纪念勋章

2022年生肖虎年纪念勋章

2023年生肖兔年纪念勋章

2024年生肖龙年纪念勋章

只看该作者 2 发表于: 2017-09-29

不错，了解了

快乐每一天

« 返回列表