VMP 2.07加壳MBR锁机分析 - 〖系统安全〗

z3960

级别: FLY版主

发帖: 786294

飞翔币: 209891

威望: 215717

飞扬币: 2613068

信誉值: 8

只看楼主更多操作 0 发表于: 2023-03-06

基本信息报告名称：VMP 2.07加壳锁机分析作者：Virus4 样本类型： MBR锁机

样本文件大小： 1.36MB 样本文件MD5 校验值：bf287fff2f626175bd54c65d2cbf7174 样本文件SHA1 校验值：579d61a0cb0b549e470e3520ad43693412ebbf26 壳信息： VMP 2.07

简介新手一枚，第一次接触强壳，即便是不脱壳分析，我也弄了好久...可能没什么技术含量..想想新人多发发帖子，便还是发上来了。如有错误不足还请指正见谅。被感染系统症状XP下直接运行会被修改MBR，win7（Vista）以上需要UAC权限。运行后重启症状。

锁机病毒随机生产5位序列号，通过极简单的算法得出6位密码。详细分析vmp 2.07应该算是很久以前的壳了，带壳分析起来并不是特别困难。首先直接 Ctrl+G 输入VirtualProtect

在图中红框处F2下断，并Shift+F9运行。

直至堆栈中出现ReadOnly，停止并取消断点。此时Alt+M查看区段。

在.data段处F2下断点，Shift+F9运行。此时代码段应已解密完毕，Ctrl+G到00401000处。向下翻动可以看到相关字符串以及算法部分。

在算法上面找个地方F4运行到该处，此时程序已经不会跑飞。

程序在红框中的call处生成6位序列号。在算法（太简单感觉根本叫不上算法...）部分可以看到序列号化作浮点数以后首先乘以6

再加123456

最后得出最终密码。所谓的算法就是解密密码=序列号×6+123456预防及修复措施此类病毒其实大多数杀软都能进行查杀，多以外挂进行伪装，诱导用户关闭杀软。本样本双后缀名，诱导隐藏后缀名的用户双击而已。Vista以上系统更是需要UAC权限才能修改MBR。如果不幸中了该类病毒，可以通过Winhex等工具查看磁盘头来获取密码。也可以通过 DiskGenius等工具对MBR进行修复。总结随着系统安全权限的不断完善。病毒的发展似乎从技术型越发成长为盈利型。目前各式锁机勒索病毒无论在移动还是PC终端上都十分流行。不过一般都有挽救的余地。作者是小白一枚，帖子技术含量不高，还请各位大佬见教，不知是否有资格在这区里发上一帖。如有违规，版主麻烦处理下。更新加一下样本，太大，上传到百度云了。链接: http://pan.baidu.com/s/1o86srTw 密码: b1zb密码：52pojie