上期讲锁机软件分析。有朋友评论说磁盘锁。这期我们就讲讲磁盘锁。
在此之前,我想先来介绍一下MBR是什么东西。
主引导记录是位于磁盘最前面的一段引导代码。一般有过文件系统或者BootLoader的开发经验,应该都对他很熟悉。一般你读写一块磁盘(或者SD,TF)的第一扇区,他负责磁盘分区的引导信息定位。如果没有MBR区根本就不用说文件系统。他就像计算机磁盘数据的引路人。如果没有他,你磁盘文件就凉凉。计算机找不到他在哪。
磁盘锁做的工作基本就是将你MBR的数据藏起来,换成它自己的引导代码,很遗憾的是,它必须要你输入密码才给你恢复MBR(当然经常因为代码的兼容性处理的并不好,就是我们说的代码写的和屎一样,所以常常也会及时密码正确仍然没有办法恢复)
可能有些人就说了,这种小问题还拿出来说。一般这种锁机不就是把你MBD拷贝到第二或者第三扇区,还原回去不就好了。是的的确是这样。但是对于不知道的人呢?
绝大部分的磁盘锁程序,会使用CreateFile(A/W)去打开设备符\\\\.\\PHYSICALDRIVE0,引导程序肯定是写在第一扇区也就是MBR区,写大小几乎也是512字节,也就是刚刚好一个扇区大小。
那么,也就是说,我们只需要它打开设备符的时候,将它写进去的数据给dump下来,当中肯定是包含这个磁盘锁的锁机密码了,这个是原理。
当然磁盘锁要高那么一丢丢。即使一些小学生也知道给自己的东西戴个套。
现在我给他们详细讲解一些逆向过程。
首先改一下名。上一篇没提前说。先把磁盘锁程序改一个名字,(别有汉字)
再还是PE搞起。加载规则脚本(doll db <名字.exe>)
写文件数据的API是WirteFile,所以,现在,在我们的命令窗口中,
输入hook WriteFile,然后按下回车
点击启动按钮(就是那个三角形)
在下面菜单栏选择数据
一般情况下,第一个512字节的数据,是我们的MBR,这个字符串表明了这点,它就是引导失败时你在电脑屏幕上看到的那段文字。
我们点击第二个数据包
因此我们在编码栏中选择反汇编16位
可能有些朋友会说看不懂汇报代码,没关系。一般密码是一资源的形式存在。拉到汇编代码底部密码就有了
这样不就手工了。其实这个也没有技术可言。
在PeDoll被开发出来后,这种行为分析下的远控木马服务端大多无处遁形,个人尤其喜欢的就是使用PeDoll来分析这种远控,木马,通过这种行为分析,你可以很容易就找到大部分远程木马将自己藏到了计算机的哪里,动了哪些文件与注册表,与哪个服务器进行了通讯,发送了什么数据包。
我们就可以通过对数据包的分析,给那些企图加害本人的服务端一点厉害瞧瞧了。当然,当中的知识与抓包分析有更多关系
当然遇到这种的也不用客气,直接嘿嘿嘿。
本文暂时没有评论,来添加一个吧(●'◡'●)