分析一个强壳锁机软件过程
对一个锁机的分析以及破解教程
文件名称 : 蜡笔小新辅助.exe
文件大小 : 3571712 byte :
文件类型 : application/x-dosexec
MD5 : 849f08859ed9304a5cdad56822d72b48
SHA1 : 6d8cf89d35a8c3993ebe6fbbb42ddb7ff65d78b3
壳类:VMP2.07
样本类型:MBR锁机
行为:运行目录生成一个名为ExtraDll.dll的文件 检测是否存在PowerRemind.exe影子系统 直接运行会修改MBR
硬盘锁:所谓知己知彼,百战百胜,要修复一个问题,如果知道他是怎么导致的~那么修复会变的更为简单,硬盘锁一般是通过可执行文件安装的!此类病毒通过修改系统启动过程中的关键位置,导致系统启动失败.如果要修复硬盘锁,最简单的方法就是修复那个被修改的部分 硬盘锁原理: 此类锁机是通过篡改硬盘的0磁道0柱面1扇区的那部分数据,我们一般称这一扇区叫做MBR(主引导扇区),这部分又启动引导代码与分区表组成,引导代码用于将电脑正确的引导到硬盘的系统盘区的启动代码处,分区表这里实际上只有4个,也叫主分区表,扩展分区不在此列,这里不详细讨论,只是简单说明一下原理.
0x00 起因
今天有个朋友加了我的群 然后说电脑被锁了
9a5943fbcedfe4a618d51dccce158b7c.jpe
9fd85ca88af2e3dbb2b328ab14b2fc70.jpe
那么抱着乐于助人快乐人生的思想我就让他发给我 让我试试
他说他发给过别人 但是别人好像不接…..难道因为VMP壳????
615a50dbd2c7c1ee0a99ae8aab6146f7.jpe
本着对锁机没什么好感的心态试了试 嘻嘻
0x01
运行看行为或者锁机的界面
f8bd80def1cf699ed22003e59ba22356.jpe
好家伙
1658c8c82eb737af33423ad20644f5d2.jpe
查壳看看
be0335098eca4c3f1deb9b065be7be60.jpe
….VMP 要丢回收站了吗?
不。这是不可能的事情~
丢进OD吧
Show time~
0x02
硬盘锁的话 下一个bp WriteFile 的断点 看看是否能找到写入的数据呢
(注意:动态分析的话,由于样本有虚拟机检测,VMP壳嘛,作者都喜欢把保护拉满,我尝试在VMX文件加入了代码就过了这个检测,毕竟壳的版本不高)
e2ac7125e70d309a64e24898ae3c41b5.jpe
断点断下后 貌似找不到任何对于破解密码有用的数据 但是也发现了其他的东西 发现好像在运行目录写入了一个名为ExtraDll.dll的一个文件(暂且先不管这个) 如果我再次F9运行的话就锁机了 所以只能找别的方法
我们右键这个WriteFile 看看是哪里调用了这个东西
fc8e87846bde8a4ea84d0d5602b13c52.jpe
73b67883d07c14acf9d198d5bba87a23.jpe
8a5bd24c7fff172f862b2cc823c66b57.jpe
2ac48d90bf0ff134e2402674dbeb0240.jpe
这个时候的我非常高兴,因为VMP已经解密了 :) 所以我可以去401000看看(其实解密的方法有很多…..)
2d42e15fce57337bbce14b91dd7c72a6.jpe
hhhh生活也是如此 在你哭的时候给你一块糖,然后你满怀期待的时候又给你一巴掌
这个时候 需要用到插件了
8352a45f81aa6a991a964e1f0a107d06.jpe
e5fa798c0aadfbe0a2f13e1fdf5daadd.jpe
4eeffaf8003db3328423d2ae896df5a8.jpe
一般都输入10000即可 然后点击Execution
73825cedeaf44afab9f133fa96d7a3ea.jpe
花指令已经去除了 接下来就搜一下字符串吧
8f54ba32d61c7df49233c9bff66a19f8.jpe
很明显程序运行的时候检测了是否存在影子系统的进程,好毒啊~
8a8325b45b89725e9793e7d1114441bf.jpe
对红色箭头的四个地方下断
e767cd0273daeff97d297dee885e6e66.jpe
接下来就是运行程序 运行后 断下了一个
c55b248f09a2a7ba362512a3b6a0dbe5.jpe
fb385fcd37c587c31a8b6f0d0e8ccfd4.jpe
但是堆栈窗口并没有给我们想要的东西
341d51f2835494fc8246758bcf141d76.jpe
再一次尝试运行
95cb2297c647c888e7c89a31f30d2b35.jpe
cdcfade56b3b3bd88d0b3e0153b9328d.jpe
往下找到这里 下面的是 锁机码 上面的应该就是 锁机密码了
那么就保存好快照运行一下吧
6796aac9bae7afc1d33e4766102a816b.jpe
6f10a44ff591570544ccab0d27868972.jpe