乱下载软件致MBR锁机,逆向分析自救

乱下载软件致MBR锁机,逆向分析自救

本文为看雪论坛优秀文章

看雪论坛作者ID:Axinger


在某企鹅群里发现了这个东西:

乱下载软件致MBR锁机,逆向分析自救

我一看:

乱下载软件致MBR锁机,逆向分析自救

你这辅助打激素了?长得那么肥?


于是我直接给他打开。

乱下载软件致MBR锁机,逆向分析自救

不讲武德!偷袭!


这不得让你进1W3好好玩玩?


乱下载软件致MBR锁机,逆向分析自救


脱壳


不查壳了,直接扔进来。

通过观察我们基本可以断定是upx。

那就用我们最爱的ESP定律吧!


乱下载软件致MBR锁机,逆向分析自救


单击F8向下走一步。

然后右键ESP,点击一键断点。

如果你的OD没有这个功能的话,那就点击跟随到数据窗口,在数据窗口第一行右键,如下图:


乱下载软件致MBR锁机,逆向分析自救
乱下载软件致MBR锁机,逆向分析自救


之后我们F9直接运行。


乱下载软件致MBR锁机,逆向分析自救


断点下来之后在jmp命令上按F4(可能要按两次)。

之后单击F8即可跳转到OEP。


分析


但我发现即使跳转到OEP字符串也不是熟悉的易语言。

于是我下了一个CreateFileA的断点。

乱下载软件致MBR锁机,逆向分析自救

他释放了一个dll,暂时不清楚是干嘛用的。

乱下载软件致MBR锁机,逆向分析自救

反正不是好东西。


现在转到00401000搜索字符串。


乱下载软件致MBR锁机,逆向分析自救


真行啊字符串都不加密,这不就和裸奔一样了吗?


然后我在这两个可疑字符串段头下了断点。

乱下载软件致MBR锁机,逆向分析自救
乱下载软件致MBR锁机,逆向分析自救

之后F9直接运行。

乱下载软件致MBR锁机,逆向分析自救

熟悉的警告。


我直接给他允许了 (因为我从来不用win自带的任务管理器)。

乱下载软件致MBR锁机,逆向分析自救

还挺唬人的。


我这可不叫破解昂,我可没修改过你的任何一个字节。

之后他断下了。

乱下载软件致MBR锁机,逆向分析自救

这个函数有很多病毒界面的字符串,基本可以确定密码是在这里生成的。

乱下载软件致MBR锁机,逆向分析自救

上图这个跳转我不太理解,好像正常都是跳过去,我直接修改标志位让他运行下去了。

乱下载软件致MBR锁机,逆向分析自救


我们一步一步跟到这个位置,这时候EAX上已经有了ID号。

接着单步跟下去。


乱下载软件致MBR锁机,逆向分析自救


经过上面的call之后密码赫然出现在EAX上。

乱下载软件致MBR锁机,逆向分析自救

那么我们就可以断定00401810这个call就是生成密码的函数。

现在我们下上断点重启程序。

重启之后我的ID号是94(忘了截图了)。

乱下载软件致MBR锁机,逆向分析自救

我们直接来到密码生成的call。

我们发现经过这个函数之后EAX中出现了"29"字样。

暂时不知道他是什么,先接着走。

乱下载软件致MBR锁机,逆向分析自救

又在一个同一个call出现了"24"字样。

乱下载软件致MBR锁机,逆向分析自救

接着一个call把这两个字符串拼在了一起。

乱下载软件致MBR锁机,逆向分析自救

出现了“23123”字样,暂时不知道是干嘛的。

乱下载软件致MBR锁机,逆向分析自救

经过这个call的时候程序线程卡死,恢复之后出现了一串不明字符。

通过观察我们可以猜想:他是一个MD5值。

于是我打开了MD5加密网站。

乱下载软件致MBR锁机,逆向分析自救

23123 : 860b432652504fa60f8da945398e20de

和EAX的值完全吻合。

那么这个call执行的就是MD5加密操作。

乱下载软件致MBR锁机,逆向分析自救

这个call 将MD5截下来了一部分(3-11位)。

乱下载软件致MBR锁机,逆向分析自救

之后转化为大写。

乱下载软件致MBR锁机,逆向分析自救

把之前的"2924"合并。

乱下载软件致MBR锁机,逆向分析自救

最后的栈

密码

23123

ID

显示信息


现在通过你聪明的大脑来分析吧~


ID:94

PassWord:2924 0B4326525

后面没什么好说的,看看"2924"和"94"的关系。

很明显,在"9"和"4"的前面加了一个"2"。


由此可得: 密码 = 2 + ID第一位 + 2 + ID第二位 + 0B4326525


乱下载软件致MBR锁机,逆向分析自救


改MBR了,咱就得对自己有自信,我直接允许(大家别这么浪)。

乱下载软件致MBR锁机,逆向分析自救

很快啊!就像是过了一秒,机子就关了。

乱下载软件致MBR锁机,逆向分析自救

启动之后就这样了(不要在意那个黑洞)。

感觉挺标准的MBR锁机。

现在我们输入密码。

乱下载软件致MBR锁机,逆向分析自救

回车。


乱下载软件致MBR锁机,逆向分析自救


正常进入系统。


总结


1.千万不要随便开软件,尤其是名字有[辅助][免费]这种诱惑性字样的,认准正版辅助。


2.电脑尽量装一个杀毒软件,至少可以抵御MBR锁,用户锁这种脑子有包都能写的锁机。


3.如果你被锁了就使用PEU盘重建MBR(没有?没有就去做或者买一个),尽量不要付款(你永远不知道打了钱之后对方给不给你密码)。


4.就算你知道锁机密码也不能在实体机打开锁机,部分锁机不光是锁机器,而且有可能在内置一个远控或者感染病毒之类的东西(非常麻烦)。




乱下载软件致MBR锁机,逆向分析自救


看雪ID:Axinger

https://bbs.pediy.com/user-home-930820.htm

*本文由看雪论坛 Axinger 原创,转载请注明来自看雪社区

乱下载软件致MBR锁机,逆向分析自救

# 往期推荐

1.CVE-2022-21882提权漏洞学习笔记

2.wibu证书 - 初探

3.win10 1909逆向之APIC中断和实验

4.EMET下EAF机制分析以及模拟实现

5.sql注入学习分享

6.V8 Array.prototype.concat函数出现过的issues和他们的POC们


乱下载软件致MBR锁机,逆向分析自救


乱下载软件致MBR锁机,逆向分析自救

球分享

乱下载软件致MBR锁机,逆向分析自救

球点赞

乱下载软件致MBR锁机,逆向分析自救

球在看


乱下载软件致MBR锁机,逆向分析自救

点击“阅读原文”,了解更多!

原文始发于微信公众号(看雪学苑):乱下载软件致MBR锁机,逆向分析自救

版权声明:admin 发表于 2023年1月3日 下午6:01。
转载请注明:乱下载软件致MBR锁机,逆向分析自救 | CTF导航

相关文章

暂无评论

暂无评论...