关于某锁机样本的分析

Android_army

原贴地址：http://www.52pojie.cn/thread-523141-1-1.html另楼主发现原样本链接失效，所以重新制作了一个链接。


链接: http://pan.baidu.com/s/1eSt2xiU 密码: 573h


因为在原贴发过相应的回复，但是很零乱，所以特地统一起来并分享一下分析的过程。





一、下载好了压缩包，施放文件后，例行查壳。 发现是VMP壳，楼主就开始怀疑人生了。VMP壳，对于楼主这样的小白来说，显然是很有威慑力的，那接下来该怎么办呢？
OD载入尝试无果后，楼主只能放弃OD查找代码的途径。
二、利用行为监控软件监控软件行为。
因为是VMP壳，所以楼主心里还是有些忐忑，因为VMP壳本来是有反调试反虚拟机功能的，楼主只能抱着试一试的态度去开始我的分析。结果还好，程序照常运行。

软件行为只有短短几条，在这几个行为中发现不了任何的可疑情况。无非是创建、修改、运行、结束。等等，创建、运行？！这可是一个很大的突破口啊。

注意一下软件的行为：
1、创建文件：C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\bt0202.bat
2、调用地址：0x004d9280] 运行命令：cmd.exe /c C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\bt0202.bat
3、删除文件：C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\bt0202.bat
看来这个bt0202.bat很有问题啊，所以从这里下手。
三、追寻临时文件
根据目录找到了软件创建的这个临时的bat，很有可能它就是锁机的罪魁祸首。

将软件复制到了桌面，发现这个软件竟然是隐藏属性，那么它的可疑性就大大增加了。可是，用记事本打开之后出现了乱码，楼主又开始怀疑人生了。为什么bat文件用记事本打开是乱码呢？其实原因很简单，因为这个bat被加密了？什么，被加密了。bat文件还能够被加密吗？楼主很准确地告诉你，是能的。既然知道了这个文件被加密了，又要从这个文件下手，恩，怎么办呢？
楼主索性从网上寻找到了一个bat解密软件，这下，这个文件无所隐形了。
PS：地址：http://www.jb51.net/softs/58660.html#download
根据软件提示，楼主很轻松地将这个bat文件解密了，还在桌面上生成了一个解密后的文件。
四、最终，无处隐藏
打开这个解密后的文件，哈哈 ，真是拨开云雾见天山啊。果然，代码全部都浮现出来了，此时，各位小伙伴们，拿着这个代码，难倒还搞不清楚这个锁机的全过程了吗？！哈哈哈！


到此，分析的全过程已经结束了，至于那些不小心被锁的同学我只想说，楼主也无能为力。因为楼主没有学过多久的bat，只会一些简单的指令，至于这个随机码锁机的代码，我还真是看不懂。破解不了的童鞋还是默默地去做一个PE启动U盘吧。


希望这个分析过程能够帮到大家！

觉得好就评分吧！再次感谢！！！

因广大小伙伴的要求，特地放出行为监控软件，有好东西就要一起分享。嗯嗯嗯。 APIAnalysis软件行为分析工具.rar (541.99 KB, 下载次数: 81)

2016-7-31 20:30 上传

点击文件名下载附件

注册一下帐号

不是什么加密，就是改变了下文件编码，用office打开就看到了，无需解密工具。。

LOVE_TT

Android_army 发表于 2016-8-4 12:11
这个就是随机加密的bat啊。我只是提供一个思路，想要自己破解莫非就做伸手党？

啥叫伸手党？ 解密后 看不懂

我来看看看

支持一下

onmiuncai

请问楼主的行为监控软件是叫什么呢~

Android_army

onmiuncai 发表于 2016-7-31 19:34
请问楼主的行为监控软件是叫什么呢~

来自木大的API，明天我会分享给大家的。要先去征求作者的同意。

onmiuncai

Android_army 发表于 2016-7-31 19:34
来自木大的API，明天我会分享给大家的。要先去征求作者的同意。

感谢~~

liubomumu

感谢分享

z1548958514

Android_army 发表于 2016-7-31 19:34
来自木大的API，明天我会分享给大家的。要先去征求作者的同意。

请尽快，我就需要那个

邱德宇

感谢分享

弘德书院

支持一下，希望能公布那个行为监测软件

still1414

其实那个bat就是把每个字符转换成16进制的了,但是为什么这样的bat文件也能运行呢?加了vmp的壳后感觉好难看懂流程