-
UID:17777
-
- 注册时间2007-05-02
- 最后登录2024-04-25
- 在线时间18416小时
-
- 发帖770867
- 搜Ta的帖子
- 精华0
- 飞翔币207694
- 威望215657
- 飞扬币2511641
- 信誉值8
-
访问TA的空间加好友用道具
- 发帖
- 770867
- 飞翔币
- 207694
- 威望
- 215657
- 飞扬币
- 2511641
- 信誉值
- 8
|
[font=-apple-system, BlinkMacSystemFont, "]起因:https://www.52pojie.cn/thread-1315062-1-1.html[font=-apple-system, BlinkMacSystemFont, "]样本:https://fzw.lanzoux.com/iXIk5issncj[font=-apple-system, BlinkMacSystemFont, "]这个病毒不是修改mbr的,是修改开机密码的。[font=-apple-system, BlinkMacSystemFont, "]这个样本带有upx壳,所以直接查看文本和搜索关键字,都得不到有效信息。[font=-apple-system, BlinkMacSystemFont, "]需要先脱壳[font=-apple-system, BlinkMacSystemFont, "]后才能继续查看文本。[font=-apple-system, BlinkMacSystemFont, "]upx是一种压缩壳,不侧重加密,所以脱壳非常简单。upx.exe -d或者简单ESP定律走两步即可。 [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]对于更加复杂的壳,不会脱壳怎么办?我们就用到了下断点方法。无论程序如何加密,在内存中运行肯定是解密后的明文,不然cpu无法执行。[font=-apple-system, BlinkMacSystemFont, "]修改开机密码一般需要用到:[font=-apple-system, BlinkMacSystemFont, "]net user 用户名 新密码[font=-apple-system, BlinkMacSystemFont, "]这条cmd命令,后台要创建net.exe进程,所以我们对createprocess下一个断点。 [font=-apple-system, BlinkMacSystemFont, "] [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]然后在调试--执行。[font=-apple-system, BlinkMacSystemFont, "]会首先卡一下,此时是程序弹出一个提示 [font=-apple-system, BlinkMacSystemFont, "] [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]我们点确定,然后点“注入多功能辅助……”[font=-apple-system, BlinkMacSystemFont, "]此时再返回OD中,可以看看到:[font=-apple-system, BlinkMacSystemFont, "]1.修改账户名Administrator的密码是shutdown [font=-apple-system, BlinkMacSystemFont, "] [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]2.增加一个账户名Admin,其密码为shutdown [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]3.把账户Admin提升到管理员权限组 [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]然后释放了一个新的文件,来传播自己的广告 [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]最后来一个10秒倒计时关机 [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]继续执行,就是自动关机。 [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]重启系统后,果然出现了密码输入框。输入shutdown,进入系统。 [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]但是此时桌面是一片空白。因为这个时候是Admin账户,是病毒自己新建的账户,当然是空白的。[font=-apple-system, BlinkMacSystemFont, "]如果我们注销当前用户,再进入,仍然显示的是Admin账户[font=-apple-system, BlinkMacSystemFont, "]所以我们在Admin桌面执行cmd命令: [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]顺便直接把Administrator账户改成自己喜欢的新密码吧,比如[font=-apple-system, BlinkMacSystemFont, "]net user Administrator 1[font=-apple-system, BlinkMacSystemFont, "]也可以通过控制面板或者其它方式把密码清空。 [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]再注销Admin,熟悉的Administrator就回来了。
|
