好友
阅读权限20
听众
最后登录1970-1-1
|
亿联网络
发表于 2017-2-15 10:54
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
基础教程 大鸟飞过!大鸟飞过!大鸟飞过!不喜勿喷!
硬盘锁:所谓知己知彼,百战百胜,要修复一个问题,如果知道他是怎么导致的~那么修复会变的更为简单,硬盘锁一般是通过可执行文件安装的!此类病毒通过修改系统启动过程中的关键位置,导致系统启动失败.如果要修复硬盘锁,最简单的方法就是修复那个被修改的部分
硬盘锁原理:
此类锁机是通过篡改硬盘的0磁道0柱面1扇区的那部分数据,我们一般称这一扇区叫做MBR(主引导扇区),这部分又启动引导代码与分区表组成,引导代码用于将电脑正确的引导到硬盘的系统盘区的启动代码处,分区表这里实际上只有4个,也叫主分区表,扩展分区不在此列,这里不详细讨论,只是简单说明一下原理.
第一种方法:PE修复
由于论坛有类似教程就不发了,以节省篇幅,善用论坛搜索功能
第二种方法:API断点追溯密码
软件已加VP壳,载入OD查看
此时,搜索字符串肯定是没有的
由原理可知,修改硬盘数据,对其进行文件写入操作,bp WriteFile
下断后F9运行(我运行了三次),观察堆栈
当看到 ASCII "\\.\\physicaldrive0"标志时,向下找
由于密码包含QQ信息已打码,此时密码就已经找出来了,是不是很简单,无视强壳(当然得有一个强大的OD)
第三种方法:关键字寻找
在内存中搜索屏幕提示的关键信息,点击OD上方的M或者快捷键Alt+M
当然,如果未加壳的软件直接搜索就出来了,如果加壳了,那么先运行起来,再进入内存中搜索
以上方法仅供参考,如有不足之处,请指出!
|
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
|
发表于 2017-2-15 11:15
