乱下载软件致MBR锁机,逆向分析自救
2023-1-3 18:9:41 Author: 看雪学苑(查看原文) 阅读量:15 收藏


本文为看雪论坛优秀文章

看雪论坛作者ID:Axinger

在某企鹅群里发现了这个东西:

我一看:

你这辅助打激素了?长得那么肥?

于是我直接给他打开。

不讲武德!偷袭!

这不得让你进1W3好好玩玩?

不查壳了,直接扔进来。

通过观察我们基本可以断定是upx。

那就用我们最爱的ESP定律吧!

单击F8向下走一步。

然后右键ESP,点击一键断点。

如果你的OD没有这个功能的话,那就点击跟随到数据窗口,在数据窗口第一行右键,如下图:

之后我们F9直接运行。

断点下来之后在jmp命令上按F4(可能要按两次)。

之后单击F8即可跳转到OEP。

但我发现即使跳转到OEP字符串也不是熟悉的易语言。

于是我下了一个CreateFileA的断点。

他释放了一个dll,暂时不清楚是干嘛用的。

反正不是好东西。

现在转到00401000搜索字符串。

真行啊字符串都不加密,这不就和裸奔一样了吗?

然后我在这两个可疑字符串段头下了断点。


之后F9直接运行。

熟悉的警告。

我直接给他允许了 (因为我从来不用win自带的任务管理器)。

还挺唬人的。

我这可不叫破解昂,我可没修改过你的任何一个字节。

之后他断下了。

这个函数有很多病毒界面的字符串,基本可以确定密码是在这里生成的。

上图这个跳转我不太理解,好像正常都是跳过去,我直接修改标志位让他运行下去了。

我们一步一步跟到这个位置,这时候EAX上已经有了ID号。

接着单步跟下去。

经过上面的call之后密码赫然出现在EAX上。

那么我们就可以断定00401810这个call就是生成密码的函数。

现在我们下上断点重启程序。

重启之后我的ID号是94(忘了截图了)。

我们直接来到密码生成的call。

我们发现经过这个函数之后EAX中出现了"29"字样。

暂时不知道他是什么,先接着走。

又在一个同一个call出现了"24"字样。

接着一个call把这两个字符串拼在了一起。

出现了“23123”字样,暂时不知道是干嘛的。

经过这个call的时候程序线程卡死,恢复之后出现了一串不明字符。

通过观察我们可以猜想:他是一个MD5值。

于是我打开了MD5加密网站。

23123 : 860b432652504fa60f8da945398e20de

和EAX的值完全吻合。

那么这个call执行的就是MD5加密操作。

这个call 将MD5截下来了一部分(3-11位)。

之后转化为大写。

把之前的"2924"合并。

最后的栈

密码

23123

ID

显示信息

ID:94

PassWord:2924 0B4326525

后面没什么好说的,看看"2924"和"94"的关系。

很明显,在"9"和"4"的前面加了一个"2"。

由此可得: 密码 = 2 + ID第一位 + 2 + ID第二位 + 0B4326525

改MBR了,咱就得对自己有自信,我直接允许(大家别这么浪)。

很快啊!就像是过了一秒,机子就关了。

启动之后就这样了(不要在意那个黑洞)。

感觉挺标准的MBR锁机。

现在我们输入密码。

回车。

正常进入系统。

1.千万不要随便开软件,尤其是名字有[辅助][免费]这种诱惑性字样的,认准正版辅助。

2.电脑尽量装一个杀毒软件,至少可以抵御MBR锁,用户锁这种脑子有包都能写的锁机。

3.如果你被锁了就使用PEU盘重建MBR(没有?没有就去做或者买一个),尽量不要付款(你永远不知道打了钱之后对方给不给你密码)。

4.就算你知道锁机密码也不能在实体机打开锁机,部分锁机不光是锁机器,而且有可能在内置一个远控或者感染病毒之类的东西(非常麻烦)。

看雪ID:Axinger

https://bbs.pediy.com/user-home-930820.htm

*本文由看雪论坛 Axinger 原创,转载请注明来自看雪社区

# 往期推荐

1.CVE-2022-21882提权漏洞学习笔记

2.wibu证书 - 初探

3.win10 1909逆向之APIC中断和实验

4.EMET下EAF机制分析以及模拟实现

5.sql注入学习分享

6.V8 Array.prototype.concat函数出现过的issues和他们的POC们

球分享

球点赞

球在看

点击“阅读原文”,了解更多!


文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458490554&idx=1&sn=df61e994359baaf1a4dd12465b30da43&chksm=b18ea63086f92f26f49e11c240832273c62616f0b236e4557e5ebd7653b257b80c0fb1e09d50#rd
如有侵权请联系:admin#unsafe.sh