社区应用 最新帖子 精华区 社区服务 会员列表 统计排行
  • 3675阅读
  • 4回复

[分享]VMP 2.07加壳MBR锁机分析

楼层直达
z3960 
级别: 茶馆馆主
发帖
770868
飞翔币
207694
威望
215657
飞扬币
2511641
信誉值
8

基本信息报告名称:VMP 2.07加壳锁机分析作者:Virus4                                                                                                   样本类型:   MBR锁机                                                   样本文件大小: 1.36MB  样本文件MD5 校验值:bf287fff2f626175bd54c65d2cbf7174                          样本文件SHA1 校验值:579d61a0cb0b549e470e3520ad43693412ebbf26                             壳信息:    VMP 2.07                                                     简介新手一枚,第一次接触强壳,即便是不脱壳分析,我也弄了好久...可能没什么技术含量..想想新人多发发帖子,便还是发上来了。如有错误不足还请指正见谅。被感染系统症状XP下直接运行会被修改MBR,win7(Vista)以上需要UAC权限。运行后重启症状。锁机病毒随机生产5位序列号,通过极简单的算法得出6位密码。详细分析vmp 2.07应该算是很久以前的壳了,带壳分析起来并不是特别困难。首先直接 Ctrl+G 输入VirtualProtect在图中红框处F2下断,并Shift+F9运行。直至堆栈中出现ReadOnly,停止并取消断点。此时Alt+M查看区段。在.data段处F2下断点,Shift+F9运行。此时代码段应已解密完毕,Ctrl+G到00401000处。向下翻动可以看到相关字符串以及算法部分。在算法上面找个地方F4运行到该处,此时程序已经不会跑飞。程序在红框中的call处生成6位序列号。在算法(太简单感觉根本叫不上算法...)部分可以看到序列号化作浮点数以后首先乘以6再加123456最后得出最终密码。所谓的算法就是解密密码=序列号×6+123456预防及修复措施此类病毒其实大多数杀软都能进行查杀,多以外挂进行伪装,诱导用户关闭杀软。本样本双后缀名,诱导隐藏后缀名的用户双击而已。Vista以上系统更是需要UAC权限才能修改MBR。如果不幸中了该类病毒,可以通过Winhex等工具查看磁盘头来获取密码。也可以通过 DiskGenius等工具对MBR进行修复。总结随着系统安全权限的不断完善。病毒的发展似乎从技术型越发成长为盈利型。目前各式锁机勒索病毒无论在移动还是PC终端上都十分流行。不过一般都有挽救的余地。作者是小白一枚,帖子技术含量不高,还请各位大佬见教,不知是否有资格在这区里发上一帖。如有违规,版主麻烦处理下。更新加一下样本,太大,上传到百度云了。链接: http://pan.baidu.com/s/1o86srTw 密码: b1zb密码:52pojie
我不喜欢说话却每天说最多的话,我不喜欢笑却总笑个不停,身边的每个人都说我的生活好快乐,于是我也就认为自己真的快乐。可是为什么我会在一大群朋友中突然地就沉默,为什么在人群中看到个相似的背影就难过,看见秋天树木疯狂地掉叶子我就忘记了说话,看见天色渐晚路上暖黄色的灯火就忘记了自己原来的方向。
级别: 超级版主
发帖
830487
飞翔币
224550
威望
224618
飞扬币
2422816
信誉值
0

只看该作者 1 发表于: 2023-03-08
来看一下
级别: 超级版主
发帖
830487
飞翔币
224550
威望
224618
飞扬币
2422816
信誉值
0

只看该作者 2 发表于: 2023-03-08
不错,了解了
srwam 
级别: 超级版主
发帖
628924
飞翔币
2060
威望
25207
飞扬币
2833341
信誉值
0

只看该作者 3 发表于: 2023-03-08
来看看
srwam 
级别: 超级版主
发帖
628924
飞翔币
2060
威望
25207
飞扬币
2833341
信誉值
0

只看该作者 4 发表于: 2023-03-08
了解一下