吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

搜索
查看: 2971|回复: 29

[PC样本分析] 记录对一个硬盘逻辑锁的简单分析

  [复制链接]
yuhan694 发表于 2020-4-7 17:14
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
本帖最后由 yuhan694 于 2020-4-8 09:08 编辑

都是些很基础的操作,大佬们别介意
样本地址:https://www.52pojie.cn/thread-1150547-1-1.html先用沙盘分析一波
用到的软件:OllyDbg 和 PChunter

硬盘逻辑锁(慎点).exe大致运行过程如下:
微信截图_20200408085213.png
微信截图_20200407165146.png
硬盘逻辑锁(慎点).exe主要是用来在运行目录下生成._cache_硬盘逻辑锁(慎点).exe  和  RCX1B14.tmp 并创建._cache_硬盘逻辑锁(慎点).exe 这个进程
._cache_硬盘逻辑锁(慎点).exe 的行为分析如下:
微信截图_20200408085918.png
可以看到._cache_硬盘逻辑锁(慎点).exe 可能通过修改硬盘RAW来安装引导型病毒(Bootkit)
我们用od打开._cache_硬盘逻辑锁(慎点).exe看看,
在打开之前,怕被锁可以先配置一下PCHunter
微信截图_20200407165027.png
用od打开样本,根据提示内容我们在字符串搜索一下xiao会发现没有什么有用的信息,那么Ctrl+M搜索一下xiao,我们右键下个硬件访问断点
微信截图_20200407165836.png
F9运行,程序断了下来
微信截图_20200407160255.png
可以在堆栈看到两个数字(参考https://www.52pojie.cn/thread-1126170-1-1.html),我们F8往下走
2.png
来自这里我们看到了关键信息,直接去段首下断分析
004251A5    55              push ebp
004251A6    8BEC            mov ebp,esp
004251A8    81EC 3C000000   sub esp,0x3C
004251AE    C745 FC 0000000>mov dword ptr ss:[ebp-0x4],0x0
004251B5    C745 F8 0000000>mov dword ptr ss:[ebp-0x8],0x0
004251BC    C745 F4 0000000>mov dword ptr ss:[ebp-0xC],0x0
004251C3    C745 F0 0000000>mov dword ptr ss:[ebp-0x10],0x0
004251CA    6A 00           push 0x0
004251CC    6A 00           push 0x0
004251CE    6A 00           push 0x0
004251D0    68 01000000     push 0x1
004251D5    BB 90000000     mov ebx,0x90
004251DA    E8 50140000     call __cache_.0042662F
004251DF    83C4 10         add esp,0x10
004251E2    68 04000080     push 0x80000004
004251E7    6A 00           push 0x0
004251E9    68 F3914000     push __cache_.004091F3                   ; ASCII "12"
004251EE    68 01000000     push 0x1
004251F3    BB 68010000     mov ebx,0x168
004251F8    E8 32140000     call __cache_.0042662F
004251FD    83C4 10         add esp,0x10
00425200    8945 EC         mov dword ptr ss:[ebp-0x14],eax
00425203    8B45 EC         mov eax,dword ptr ss:[ebp-0x14]
00425206    50              push eax
00425207    8B5D FC         mov ebx,dword ptr ss:[ebp-0x4]
0042520A    85DB            test ebx,ebx
0042520C    74 09           je X__cache_.00425217
0042520E    53              push ebx
0042520F    E8 FD130000     call __cache_.00426611
00425214    83C4 04         add esp,0x4
00425217    58              pop eax
00425218    8945 FC         mov dword ptr ss:[ebp-0x4],eax
0042521B    68 04000080     push 0x80000004
00425220    6A 00           push 0x0
00425222    68 FE914000     push __cache_.004091FE                   ; ASCII "13"
00425227    68 01000000     push 0x1
0042522C    BB 68010000     mov ebx,0x168
00425231    E8 F9130000     call __cache_.0042662F
00425236    83C4 10         add esp,0x10
00425239    8945 EC         mov dword ptr ss:[ebp-0x14],eax
0042523C    8B45 EC         mov eax,dword ptr ss:[ebp-0x14]
0042523F    50              push eax
00425240    8B5D F8         mov ebx,dword ptr ss:[ebp-0x8]
00425243    85DB            test ebx,ebx
00425245    74 09           je X__cache_.00425250
00425247    53              push ebx
00425248    E8 C4130000     call __cache_.00426611
0042524D    83C4 04         add esp,0x4
00425250    58              pop eax
00425251    8945 F8         mov dword ptr ss:[ebp-0x8],eax
00425254    68 01030080     push 0x80000301
00425259    6A 00           push 0x0
0042525B    68 3F420F00     push 0xF423F
00425260    68 01030080     push 0x80000301
00425265    6A 00           push 0x0
00425267    68 A0860100     push 0x186A0
0042526C    68 02000000     push 0x2
00425271    BB 94000000     mov ebx,0x94
00425276    E8 B4130000     call __cache_.0042662F
0042527B    83C4 1C         add esp,0x1C
0042527E    68 01030080     push 0x80000301
00425283    6A 00           push 0x0
00425285    50              push eax
00425286    68 01000000     push 0x1
0042528B    BB 68010000     mov ebx,0x168
00425290    E8 9A130000     call __cache_.0042662F                   ; 生成随机数
00425295    83C4 10         add esp,0x10
00425298    8945 E8         mov dword ptr ss:[ebp-0x18],eax
0042529B    8B45 E8         mov eax,dword ptr ss:[ebp-0x18]
0042529E    50              push eax
0042529F    8B5D F4         mov ebx,dword ptr ss:[ebp-0xC]
004252A2    85DB            test ebx,ebx
004252A4    74 09           je X__cache_.004252AF
004252A6    53              push ebx
004252A7    E8 65130000     call __cache_.00426611
004252AC    83C4 04         add esp,0x4
004252AF    58              pop eax
004252B0    8945 F4         mov dword ptr ss:[ebp-0xC],eax
004252B3    68 04000080     push 0x80000004
004252B8    6A 00           push 0x0
004252BA    8B45 F4         mov eax,dword ptr ss:[ebp-0xC]
004252BD    85C0            test eax,eax
004252BF    75 05           jnz X__cache_.004252C6
004252C1    B8 09924000     mov eax,__cache_.00409209
004252C6    50              push eax
004252C7    68 01000000     push 0x1
004252CC    BB 64010000     mov ebx,0x164
004252D1    E8 59130000     call __cache_.0042662F
004252D6    83C4 10         add esp,0x10
004252D9    8945 E8         mov dword ptr ss:[ebp-0x18],eax
004252DC    8955 EC         mov dword ptr ss:[ebp-0x14],edx
004252DF    68 04000080     push 0x80000004
004252E4    6A 00           push 0x0
004252E6    8B45 FC         mov eax,dword ptr ss:[ebp-0x4]
004252E9    85C0            test eax,eax
004252EB    75 05           jnz X__cache_.004252F2
004252ED    B8 09924000     mov eax,__cache_.00409209
004252F2    50              push eax
004252F3    68 01000000     push 0x1
004252F8    BB 64010000     mov ebx,0x164
004252FD    E8 2D130000     call __cache_.0042662F
00425302    83C4 10         add esp,0x10
00425305    8945 E0         mov dword ptr ss:[ebp-0x20],eax
00425308    8955 E4         mov dword ptr ss:[ebp-0x1C],edx
0042530B    DD45 E8         fld qword ptr ss:[ebp-0x18]
0042530E    DC4D E0         fmul qword ptr ss:[ebp-0x20]             ; 乘12
00425311    DD5D D8         fstp qword ptr ss:[ebp-0x28]
00425314    68 04000080     push 0x80000004
00425319    6A 00           push 0x0
0042531B    8B45 F8         mov eax,dword ptr ss:[ebp-0x8]
0042531E    85C0            test eax,eax
00425320    75 05           jnz X__cache_.00425327
00425322    B8 09924000     mov eax,__cache_.00409209
00425327    50              push eax
00425328    68 01000000     push 0x1
0042532D    BB 64010000     mov ebx,0x164
00425332    E8 F8120000     call __cache_.0042662F
00425337    83C4 10         add esp,0x10
0042533A    8945 D0         mov dword ptr ss:[ebp-0x30],eax
0042533D    8955 D4         mov dword ptr ss:[ebp-0x2C],edx
00425340    DD45 D8         fld qword ptr ss:[ebp-0x28]
00425343    DC45 D0         fadd qword ptr ss:[ebp-0x30]             ; 加13
00425346    DD5D C8         fstp qword ptr ss:[ebp-0x38]
00425349    68 01060080     push 0x80000601
0042534E    FF75 CC         push dword ptr ss:[ebp-0x34]
00425351    FF75 C8         push dword ptr ss:[ebp-0x38]
00425354    68 01000000     push 0x1
00425359    BB 68010000     mov ebx,0x168
0042535E    E8 CC120000     call __cache_.0042662F                   ; 输出密码
00425363    83C4 10         add esp,0x10
00425366    8945 C4         mov dword ptr ss:[ebp-0x3C],eax
00425369    8B45 C4         mov eax,dword ptr ss:[ebp-0x3C]
0042536C    50              push eax
0042536D    8B5D F0         mov ebx,dword ptr ss:[ebp-0x10]
00425370    85DB            test ebx,ebx
00425372    74 09           je X__cache_.0042537D
00425374    53              push ebx
00425375    E8 97120000     call __cache_.00426611
0042537A    83C4 04         add esp,0x4
0042537D    58              pop eax
0042537E    8945 F0         mov dword ptr ss:[ebp-0x10],eax
00425381    68 0A924000     push __cache_.0040920A                   ; ASCII "     xiao yang"
00425386    FF75 F4         push dword ptr ss:[ebp-0xC]
00425389    68 1B924000     push __cache_.0040921B                   ; ASCII "     jia QQ2696362817"
0042538E    B9 03000000     mov ecx,0x3
00425393    E8 B1FDFFFF     call __cache_.00425149
00425398    83C4 0C         add esp,0xC
0042539B    8945 EC         mov dword ptr ss:[ebp-0x14],eax
0042539E    68 04000080     push 0x80000004
004253A3    6A 00           push 0x0
004253A5    8B45 EC         mov eax,dword ptr ss:[ebp-0x14]
004253A8    85C0            test eax,eax

不是很擅长分析,密码就是生成一个随机数*12+13(这个随机数会在提示的后六位显示出来)
微信截图_20200407171324.png

处置建议

删除自启动注册表项

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\System

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Synaptics Pointing Device Driver

删除文件

  • %HOMEPATH%\AppData\Local\Temp\._cache_硬盘逻辑锁(慎点).exe

  • %HOMEPATH%\AppData\Local\Temp\E_N60005\dp1.fne

  • %HOMEPATH%\AppData\Local\Temp\E_N60005\spec.fne

  • %HOMEPATH%\AppData\Local\Temp\._cache_硬盘逻辑锁(慎点).exe

  • %HOMEPATH%\AppData\Local\Temp\E_N60005\iext.fnr

  • %HOMEPATH%\AppData\Local\Temp\E_N60005\shell.fne

  • %HOMEPATH%\AppData\Local\Temp\E_N60005\krnln.fnr

  • %HOMEPATH%\AppData\Local\Temp\._cache_硬盘逻辑锁(慎点).exe

  • C:\Program Files\360.dll
微信截图_20200407165146.png

免费评分

参与人数 9吾爱币 +9 热心值 +7 收起 理由
blindcat + 1 + 1 谢谢@Thanks!
生有涯知无涯 + 1 + 1 我很赞同!
liehuo1233 + 1 + 1 谢谢@Thanks!
fei8255 + 1 + 1 谢谢@Thanks!
七个涨停一倍 + 1 我很赞同!
app740520 + 1 谢谢@Thanks!
ls0928 + 1 + 1 热心回复!
策士 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
Hacker-无心 + 1 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

头像被屏蔽
庞晓晓 发表于 2020-4-7 17:41
提示: 作者被禁止或删除 内容自动屏蔽
Ki_Yo_Mi 发表于 2020-4-8 00:33
lizf2019 发表于 2020-4-7 18:55
就是
但小学生做不出来啊

按照“处置建议”里面来看
多半是非常简易的代码写出来的
而且还有易语言支持库文件
有可能就是个无名模块拿来干坏事的小学生
毕竟易语言的无名模块还没清干净
(不过我没程序,不太确定)
Y123 发表于 2020-4-7 17:20
liubingtao 发表于 2020-4-7 17:41
这么快呀,
下午刚看到有人求助
plattl 发表于 2020-4-7 17:48
感谢分享。楼主辛苦。
端午后第四天 发表于 2020-4-7 17:52
学习一下,感谢分享
EXP2333 发表于 2020-4-7 18:33
建议楼主把OD里的QQ马赛克一下……否则容易被罚
我是不是很欠
雨落惊鸿, 发表于 2020-4-7 18:34
  1. 感谢分享
复制代码
lizf2019 发表于 2020-4-7 18:55
庞晓晓 发表于 2020-4-7 17:41
病毒作者又是小学生,QQ号和提示码不分开,别人想加QQ也不知道QQ是多少

就是
但小学生做不出来啊
 楼主| yuhan694 发表于 2020-4-7 19:21
本帖最后由 yuhan694 于 2020-4-7 19:24 编辑
EXP2333 发表于 2020-4-7 18:33
建议楼主把OD里的QQ马赛克一下……否则容易被罚
我是不是很欠

会被罚的吗???可是我看其他人也没打马赛克。。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2020-5-31 04:52

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表