关于某锁机样本的分析 - 〖系统安全〗

z3960

级别: 茶馆馆主

发帖: 770867

飞翔币: 207694

威望: 215657

飞扬币: 2511641

信誉值: 8

只看楼主更多操作 0 发表于: 2022-12-01

一、下载好了压缩包，施放文件后，例行查壳。

发现是VMP壳，楼主就开始怀疑人生了。VMP壳，对于楼主这样的小白来说，显然是很有威慑力的，那接下来该怎么办呢？OD载入尝试无果后，楼主只能放弃OD查找代码的途径。二、利用行为监控软件监控软件行为。因为是VMP壳，所以楼主心里还是有些忐忑，因为VMP壳本来是有反调试反虚拟机功能的，楼主只能抱着试一试的态度去开始我的分析。结果还好，程序照常运行。

软件行为只有短短几条，在这几个行为中发现不了任何的可疑情况。无非是创建、修改、运行、结束。等等，创建、运行？！这可是一个很大的突破口啊。注意一下软件的行为：1、创建文件：C:DOCUME~1ADMINI~1LOCALS~1Tempbt0202.bat2、调用地址：0x004d9280] 运行命令：cmd.exe /c C:DOCUME~1ADMINI~1LOCALS~1Tempbt0202.bat3、删除文件：C:DOCUME~1ADMINI~1LOCALS~1Tempbt0202.bat看来这个bt0202.bat很有问题啊，所以从这里下手。三、追寻临时文件根据目录找到了软件创建的这个临时的bat，很有可能它就是锁机的罪魁祸首。

将软件复制到了桌面，发现这个软件竟然是隐藏属性，那么它的可疑性就大大增加了。可是，用记事本打开之后出现了乱码，楼主又开始怀疑人生了。为什么bat文件用记事本打开是乱码呢？其实原因很简单，因为这个bat被加密了？什么，被加密了。bat文件还能够被加密吗？楼主很准确地告诉你，是能的。既然知道了这个文件被加密了，又要从这个文件下手，恩，怎么办呢？楼主索性从网上寻找到了一个bat解密软件，这下，这个文件无所隐形了。PS：地址：http://www.jb51.net/softs/58660.html#download根据软件提示，楼主很轻松地将这个bat文件解密了，还在桌面上生成了一个解密后的文件。

四、最终，无处隐藏打开这个解密后的文件，哈哈

，真是拨开云雾见天山啊。果然，代码全部都浮现出来了，此时，各位小伙伴们，拿着这个代码，难倒还搞不清楚这个锁机的全过程了吗？！哈哈哈！到此，分析的全过程已经结束了，至于那些不小心被锁的同学我只想说，楼主也无能为力。因为楼主没有学过多久的bat，只会一些简单的指令，至于这个随机码锁机的代码，我还真是看不懂。破解不了的童鞋还是默默地去做一个PE启动U盘吧。希望这个分析过程能够帮到大家！

觉得好就评分吧！再次感谢！！！

本帖最近评分记录：共 1 条评分飞扬币 +50