破解MBR硬盘逻辑锁
2020-06-23 17:03:23 Author: bbs.pediy.com(查看原文) 阅读量:554 收藏

  1. 看雪论坛
  2. 『软件逆向』

jishuzhain

雪    币: 11742

活跃值: 活跃值 (160)

能力值:

( LV8,RANK:370 )

在线值:

[原创]破解MBR硬盘逻辑锁

20小时前 362

今年五一假期在网上冲浪,无意发现了这个锁机样本,由于个人好奇MBR,于是对其进行了分析后破解成功,简单记录一下,暂不涉及太多技术点。

本地管理员权限执行后电脑中招后显示如下,骷髅头?怪吓人的......

会通过文件操作的方式写入MBR区域,如"\\.\\physicaldrive0",共写入512个字节数据,这也是规定的MBR区域大小,相当于整体替换了。

该样本会备份原始的MBR数据(非直接破坏型,输入正常密码后会引导启动成功),这里手工对其保存到本地如下。

加锁完成,如下,看得出来,额~这个还处于测试阶段,预计后续还会更新,并且加更多的反分析功能。

其实很简单,由于密码是明文存放的,所以选中部分就是正确的密码,对设备兼容性不好,目前只适应XP系统,而Win7环境下即使输入正常密码也无法进入正确引导,如下。

XP环境下则可以正常进入引导,如下是视频演示。

https://www.bilibili.com/video/bv1ez4y1Q7r3

[培训]《安卓高级研修班(网课)》9月班开始招生!挑战极限、工资翻倍!

最新回复 (4)

rlyt

雪    币: 90

活跃值: 活跃值 (14)

能力值:

( LV3,RANK:20 )

在线值:

发帖

3

回帖

104

粉丝

0

rlyt 活跃值 20小时前

2

0

还有一种先写到mbr,然后开机就加密$MFT的,那个才恶心。

wx_李超_340

雪    币: 235

能力值:

( LV1,RANK:0 )

在线值:

发帖

0

回帖

7

粉丝

0

wx_李超_340 活跃值 17小时前

3

0

怎么向MBR里面写入启动项?

wowocock

雪    币: 378

活跃值: 活跃值 (15)

能力值:

( LV4,RANK:50 )

在线值:

发帖

4

回帖

255

粉丝

3

wowocock 活跃值 1 3小时前

4

0

先写到mbr,然后开机就加密$MFT的属于PETYA系列,启动的时候用非对称的那个密钥加密MFT表,然后删除密钥,导致无法解密。所以重启后,只要不执行MBR,立刻进PE恢复MBR,就没事了。不过实际上基本没这个机会。楼主这种基本网上有易语言的生成库,可以生成各种密码的MBR.恢复也简单直接进PE把,备份扇区写回MBR即可。所说的只支持XP ,.不支持WIN7其实是MBR的代码里有BUG,没有处理好堆栈导致,改几个字节就都能用了。其实也都是小儿科的东西,忽悠不懂得人而已,没什么技术。

ZwCopyAll

雪    币: 251

活跃值: 活跃值 (33)

能力值:

( LV2,RANK:10 )

在线值:

发帖

10

回帖

213

粉丝

0

ZwCopyAll 活跃值 50分钟前

5

0

666

游客

登录 | 注册 方可回帖

返回


文章来源: https://bbs.pediy.com/thread-260238.htm
如有侵权请联系:admin#unsafe.sh