jishuzhain
雪 币: 11742
活跃值: (160)
能力值:
( LV8,RANK:370 )
在线值:
今年五一假期在网上冲浪,无意发现了这个锁机样本,由于个人好奇MBR,于是对其进行了分析后破解成功,简单记录一下,暂不涉及太多技术点。
本地管理员权限执行后电脑中招后显示如下,骷髅头?怪吓人的......
会通过文件操作的方式写入MBR区域,如"\\.\\physicaldrive0",共写入512个字节数据,这也是规定的MBR区域大小,相当于整体替换了。
该样本会备份原始的MBR数据(非直接破坏型,输入正常密码后会引导启动成功),这里手工对其保存到本地如下。
加锁完成,如下,看得出来,额~这个还处于测试阶段,预计后续还会更新,并且加更多的反分析功能。
其实很简单,由于密码是明文存放的,所以选中部分就是正确的密码,对设备兼容性不好,目前只适应XP系统,而Win7环境下即使输入正常密码也无法进入正确引导,如下。
XP环境下则可以正常进入引导,如下是视频演示。
|
|
---|---|
|
还有一种先写到mbr,然后开机就加密$MFT的,那个才恶心。 |
|
怎么向MBR里面写入启动项? |
|
先写到mbr,然后开机就加密$MFT的属于PETYA系列,启动的时候用非对称的那个密钥加密MFT表,然后删除密钥,导致无法解密。所以重启后,只要不执行MBR,立刻进PE恢复MBR,就没事了。不过实际上基本没这个机会。楼主这种基本网上有易语言的生成库,可以生成各种密码的MBR.恢复也简单直接进PE把,备份扇区写回MBR即可。所说的只支持XP ,.不支持WIN7其实是MBR的代码里有BUG,没有处理好堆栈导致,改几个字节就都能用了。其实也都是小儿科的东西,忽悠不懂得人而已,没什么技术。 |
|
666 |
返回