用户
搜索
  • TA的每日心情
    慵懒
    4 天前
  • 签到天数: 205 天

    连续签到: 1 天

    [LV.7]常住居民III

    i春秋签约作家

    Rank: 7Rank: 7Rank: 7

    37

    主题

    791

    帖子

    93

    魔法币
    收听
    3
    粉丝
    12
    注册时间
    2015-11-20

    核心白帽签约作者积极活跃奖

    发表于 2017-6-1 20:04:00 176511
    被感染系统症状

    XP
    下直接运行会被修改MBR,win7(Vista)以上需要UAC权限。运行后重启症状。
    什么是MBR?
    MBR,全称为Master Boot Record,即硬盘的主引导记录
    主引导记录(Master Boot Record,简称MBR) MBR位于整个硬盘的0柱面0磁头1扇区的位置处
    主引导记录(Master Boot Record,缩写:MBR),又叫做主引导扇区Master Boot Sector
    它在硬盘上的三维地址为(柱面,磁头,扇区)=(0,0,1)
    简单来说:MBR不是一个文件,它是一个引导扇区记录了分区的信息
    image001.png
    image003.png
                               这是MBR分区表

    MBR组成
    MBR
    可以分为五个部分(512字节)
    1、引导程序(440字节)
    2、Windows磁盘签名(4个字节)
    3、保留位(2个字节)
    4、硬盘分区表(Disk Partition Table 简称DPT) 64个字节
    5、结束标志 (2个字节)
    试之前先要了解windows系统启动过程
    1
    、开机
    2、BIOS加点自检(Power On Self Test,即POST),此时电源稳定后,CPU从内存地址0fff:0000处开始执行
    3、将硬盘第一个扇区(0磁头0柱面1扇区)读取内存地址0000:7c00处
    4、检测(WORD)0000:7dfe是否等于0xaa55,若不等于则转去尝试其他启动介质,如果没有其他启动介质则显示"NoROM BASIC"
    5、跳转到0000:7c00处执行MBR中的程序

    6、MBR首先将自己复制到0000:0600处,然后继续执行
    7、在主分区表中搜索标志为活动的分区。如果发现没有活动分区或有不止一个活动分区,则显示“
    Invalid partiton table
    8、将活动分区的第一个扇区读入内存地址0000:7c00处
    9、检测(WORD)000:7dfe是否等于0xaa55,若不等于则显示"
    Miss Operating System",然后停止,或尝试软盘启动
    10、跳转到0000:7c00处继续执行DBR
    11、启动系统
    知识点:
    MBR简单介绍
    VMP到达OEP的基本方法
    简单汇编语言
    中毒显示
    image004.png
    第一步:查壳
    EP段是vmp,因该就是vmp的壳子了,但是版本未知
    VMP1代表 VMP保护程序以及 被保护的程序的整体。
    VMP0 代表 原始程序以及被VMP 脚本化的程序的整体。
    image006.png
    第二步:载入OD分析
    因为程序是加壳的,需要先到达oep,详细说下
    一共有两种:介绍一种,不需要任何插件,另一种需要插件,有些低版本的vmp有脱壳机,大家可以尝试下
    载入是这样的
    image007.png
    首先CTRL+G转到
    VirtualProtect
    函数
    image009.png
    image010.png
    来到这里之后是这样。。。。
    image012.png
    往下一点点找到这个地方,call处F2下断
    image014.png
    F9运行程序,
    image016.png
    仔细看堆栈窗口,F9运行4次会出现
    0012F674   00000002 |NewProtect = PAGE_READONLY
    image017.png
    出现上面的PAGE_READONLY函数,取消之前下的断点。
    ALT+M来到区段,在00401000处下F2断点
    image018.png
    F9运行程序,出现这个窗口
    image019.png
    Ctrl+g 来到00401000处
        image021.png
    程序解码处于暂停位置
    image023.png
    此时程序解码完毕
    image024.png
    看这个地方像不不像入口?
    往下翻,这里是窗口显示的提示,在这之前会有一个算法来加密磁盘
    image026.png
    image027.png
    但是有两个会直接让程序跑起来,然后retn返回到不同的地址
    image028.png
    往下有多个call,F4到达每个call
    image030.png
    看寄存器变化
    image031.png
    所以,我们就跳到离算法最近的一个call
    image032.png
    寄存器生成了一个ascll
    image034.png
    /*
    提示:每次打开这个木马的时候,ascll都会变,所以,跑飞了的时候重新打开会出现不一样的情况,并不是你弄错了,而是程序就这样*/
    image035.png
    image036.png
    然后往下走,到达这条命令
    00401186 |.  DC0D 6DFA4700  fmul qword ptr ds:[0x47FA6D]
    (fuml 浮点指令序列号化作浮点数6
    image037.png
    F8单步往下
    image038.png
    00401192 |.  DC05 75FA4700 fadd qword ptrds:[0x47FA75]
    (fadd 加法指令
    image039.png
    序列号乘6化浮点数加123456
    004011AB |.  BB C0284000   mov ebx,账号密码.004028C0
    最后得到密码
    补充:
    FIADD ;加法指令
    FISUB ;减法指令
    FISUBR ;减法指令
    FIMUL ;乘法指令
    FIDIV  ;除法指令
    FIDIVR ;除法指令
    image040.png
    后面是判断注册码正误,正确进入桌面,错误给提示加qq
    简单的加减乘除法运算,在很多手机锁屏软件中也是简单的加减法运算,没有通过多次循环跳转加密算法
    密码=随机5位数*6+123456
    总结:
         1MBR简单介绍
         2、学习vmp壳到达OEP的基本方法
         3、基本的汇编运算指令
    附件打包,密码:ichunqiu 欢迎留言
    游客,如果您要查看本帖隐藏内容请回复

    本帖被以下淘专辑推荐:

    yyyxy 管理员 六国战旗移动展示平台! 秦 楚 燕 魏 齐 赵
    来自 14#
    发表于 2017-6-6 11:49:33
    文章奖励介绍及评分标准:http://bbs.ichunqiu.com/thread-7869-1-1.html,如有疑问请加QQ:286894635!
    奖金
    点评
    50
    讲得细致,逻辑清晰,不错。

    使用道具 举报 回复
      可惜汇编不懂~ 不过还是觉得很不错的样子
    使用道具 举报 回复

    溜了溜了
    使用道具 举报 回复
    看看呢!是不是Windows系统的锁机软件啊!
    使用道具 举报 回复
          支持
    使用道具 举报 回复
    6666666666666666666666666
    使用道具 举报 回复
    GPT的路过
    使用道具 举报 回复
    发表于 2017-6-4 08:54:51
    防守打法给
    使用道具 举报 回复
    发表于 2017-6-4 21:36:27
    感谢分享经验
    使用道具 举报 回复
    发表于 2017-6-5 14:57:17
    mbr锁机简单分析
    使用道具 举报 回复
    发表于 2017-6-5 16:10:39
    感谢分享经验
    使用道具 举报 回复
    好像很6的样子
    使用道具 举报 回复
    感谢分享
    使用道具 举报 回复
    发表于 2017-6-6 07:29:44
    66666666666666666
    使用道具 举报 回复
    发表于 2017-6-7 00:16:34
    学习了!!!!
    使用道具 举报 回复
    12下一页
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册