一个MBR硬盘锁分析实录

Virus4

基本信息   报告名称：一个MBR硬盘锁分析实录                                                      作者： Virus4                                                            报告更新日期：2021-3-15                                                                                         样本类型： 系统破坏，MBR硬盘锁                                                     样本文件信息：                         （是的，壳都没有）   可能受到威胁的系统：    XP                          简介             最近一直很闲，把逆向抓回来重新看看，正好在论坛上看到有人求分析的帖子，就决定分析看看。由于里面有大量反调试以及垃圾代码，分析起来很困难，本篇重点主要在如何调试以及追踪到算法代码，对程序行为的分析偏少。 一个MBR硬盘锁，非常猖狂 - 『病毒样本区』 - 吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn      被感染系统症状        程序运行后，单击启动按钮，系统本身会受到破坏，MBR扇区被更改。重启后效果如上图，如果用OD调试会被检测到，会有“惩戒行为”，直接将MBR破坏掉。 但在我这里测试，即便是正常修改MBR扇区，输入了正确的密码也是进不去系统的...所以找到密码的意义也不是很大了。 详细分析 首先在虚拟机里执行程序，报内存错误，初步猜测是可能有反虚拟机的功能（也有可能就是程序不行，不过在网上的沙箱中是有成功运行的实例的） 我们用OD跑一下程序，确定到主函数 我不知道有更好的方法没有..我的方法就是纯试错，主函数F7进去以后，把每个Call都F8过去一遍最终找到可以用跳转跳过的报错call 试错流程为 004E7454 ->004F39E->004FF9A5->00432697->00422A5E->004082FF 最终定位到这里，我们可以看到00408322有一个跳转没有实现，这里我们强制使这个跳转实现，改为jmp即可使程序正常运行。 我自己调试的过程中，是没有第一次就找对call的，我甚至F7进了下面的call，然后进入了一个套路很深的循环，再也没出来过，最后也确定不下来哪个call最终报了错（有一个call 有时候报错，有时候不报错的情况） 就只好往回找补，最后找到了这个跳转可以修改正常使用。 程序终于可以正常跑起来了，在字符串搜索中找到一个有用的字符串下段，结果发现被"惩戒“”了 虚拟机直接蓝屏，启动扇区应该是直接被破坏了 这时我的思路是 肯定有个函数是反调试的，我们更改一下这个反调试的结果，让关键call失效即可。 用字符串定位，可以发现字符串上方都有一个跳转，都修改为jmp 这个地方有点奇怪，在我最初逆向的时候，修改完程序是会报错的，但是写这篇文章做复现的时候却没问题了... 总之这里有另外一个思路..是我当初遇到报错后想到的。 我用ARK工具检查了一下程序的进程，发现有多个线程，大胆猜测它是多线程执行多个函数的，也许可以找到这个反调试的函数，通过修改线程函数地址，来跳过反调试函数。 bp CreateThread 之后，通过栈进行追溯，可以找到 CreateThread的调用地址 通过对函数地址进行观察追踪，这面发现有如下几个函数 0040C0BD 这个函数如果没记错的话是 修改系统注册表以及结束杀软进程的（taskkill能过什么杀软的自保呢...） 0041942A 这个函数就是反调试的函数了 0041A247 0042153C 这两个函数我大致看了下没跟进去，有很多垃圾代码，一层call接着另一层，大佬们有兴趣的可以看看... 我们可以看到CreateThread的第三个参数为ThreadFunction，即为线程执行的函数，我们可以把执行反调试的函数替换为0040C0BD，让他再执行一遍去。 这样我们就跳过了对OD进行反调试的检测。 走到这里我们距离算法的位置已经不远了，我们通过对特定字符串进行追踪（如\r\n F5:， 这些字符串是在重启后的界面中可以看到的，可以判断是对MBR进行写入） 从这个位置向上翻，就可以看到算法了。 可以看到有大量的浮点运算。 算法如下： 我们把数字扔进Excel里，方便进行说明 通过计算得出12组结果，然后依次相加（减）。 前五组结果规律相同 以第一行为例 第一组结果为 (B1+C1)*A1，第二组为 D1*E1 到第五行为止。共10组结果。 第十一组为D1*A3，第十二组为E2单独一个数 密码为R1+R2...+R11-R12. 可得最终结果 11741626793 但是其实结果已经没有多大意义了...系统已经被破坏的启动不了了。即便输入密码也没多大用... 到这里就分析的差不多了，分析的时候觉得斗智斗勇，写帖子下来真觉得索然无味啊... （有种这好像也没多难怎么花了那么久的感觉...） 预防及修复措施 此类病毒其实大多数杀软都能进行查杀，多以外挂进行伪装，诱导用户关闭杀软。本样本双后缀名，诱导隐藏后缀名的用户双击而已。 Vista以上系统更是需要UAC权限才能修改MBR。 如果不幸中了该类病毒，可以通过Winhex等工具查看磁盘头来获取密码。也可以通过 DiskGenius等工具对MBR进行修复。 总结 随着系统安全权限的不断完善。病毒的发展似乎从技术型越发成长为盈利型。 目前各式锁机勒索病毒无论在移动还是PC终端上都十分流行。不过一般都有挽救的余地。 中间还有很多疑惑和不解的问题，比如大量垃圾代码如何有效跳过，同时又不忽略一些重要的信息。 调试过程中我还遇到过F7进call 就报错，但是在call的位置下断点就可以成功进去的情况。也有像jmp改完就报错，但是第二次又不复现的情况...（我一开始以为是反调试手段，但是感觉好像是程序写的不够稳定？） 追踪报错call的时候我是一个一个试的，不知道有更好的方法没有 还请大家多多指教。

Virus4

yuleniwo 发表于 2021-3-16 09:20
我在想 这个惩罚模式是不是在弹消息框，点确定之后。还是在弹窗前就已经开始了。如果是之后的，那不是杀掉 ...

应该是之后，但是这个锁机其他线程会破坏系统，结束了之后也没办法继续正常调试了，还是快照来得实在

yuleniwo

我在想 这个惩罚模式是不是在弹消息框，点确定之后。还是在弹窗前就已经开始了。如果是之后的，那不是杀掉进程就可以了。

bjxiaoyao

分析的很到位！学习了

fzj

分析的很到位！学习了

Fxhlt

厉害了  大佬

吃兔子的肉

分析到位，学习了

mistyang

分析的很仔细，学到了不少东西，赞

leskady

小白看不懂，但还要谢谢楼主分享。

ciker_li

分析的很仔细，学到了不少东西

好久丿好酒

我好像看懂了，谢谢科普

iyysbbs

做个记号，万一哪天用上呢