乱下载软件致MBR锁机，逆向分析自救

卟离卟弃

本文为看雪论坛优秀文章
看雪论坛作者ID：Axinger

在某企鹅群里发现了这个东西：



我一看：


你这辅助打激素了？长得那么肥？

于是我直接给他打开。


不讲武德！偷袭！

这不得让你进1W3好好玩玩？



脱壳


不查壳了，直接扔进来。
通过观察我们基本可以断定是upx。
那就用我们最爱的ESP定律吧！



单击F8向下走一步。
然后右键ESP，点击一键断点。
如果你的OD没有这个功能的话,那就点击跟随到数据窗口，在数据窗口第一行右键，如下图：





之后我们F9直接运行。



断点下来之后在jmp命令上按F4(可能要按两次)。
之后单击F8即可跳转到OEP。

分析


但我发现即使跳转到OEP字符串也不是熟悉的易语言。
于是我下了一个CreateFileA的断点。



他释放了一个dll，暂时不清楚是干嘛用的。


反正不是好东西。

现在转到00401000搜索字符串。



真行啊字符串都不加密，这不就和裸奔一样了吗？

然后我在这两个可疑字符串段头下了断点。





之后F9直接运行。


熟悉的警告。

我直接给他允许了 (因为我从来不用win自带的任务管理器)。


还挺唬人的。

我这可不叫破解昂，我可没修改过你的任何一个字节。
之后他断下了。



这个函数有很多病毒界面的字符串，基本可以确定密码是在这里生成的。



上图这个跳转我不太理解，好像正常都是跳过去，我直接修改标志位让他运行下去了。



我们一步一步跟到这个位置，这时候EAX上已经有了ID号。
接着单步跟下去。



经过上面的call之后密码赫然出现在EAX上。



那么我们就可以断定00401810这个call就是生成密码的函数。
现在我们下上断点重启程序。
重启之后我的ID号是94(忘了截图了)。



我们直接来到密码生成的call。
我们发现经过这个函数之后EAX中出现了"29"字样。
暂时不知道他是什么，先接着走。



又在一个同一个call出现了"24"字样。



接着一个call把这两个字符串拼在了一起。



出现了“23123”字样，暂时不知道是干嘛的。



经过这个call的时候程序线程卡死，恢复之后出现了一串不明字符。
通过观察我们可以猜想：他是一个MD5值。
于是我打开了MD5加密网站。



23123 : 860b432652504fa60f8da945398e20de
和EAX的值完全吻合。
那么这个call执行的就是MD5加密操作。



这个call 将MD5截下来了一部分(3-11位)。



之后转化为大写。



把之前的"2924"合并。



最后的栈
密码
23123
ID
显示信息

现在通过你聪明的大脑来分析吧~


ID:94
PassWord:2924 0B4326525
后面没什么好说的，看看"2924"和"94"的关系。
很明显，在"9"和"4"的前面加了一个"2"。

由此可得: 密码 = 2 + ID第一位 + 2 + ID第二位 + 0B4326525



改MBR了，咱就得对自己有自信，我直接允许(大家别这么浪)。



很快啊！就像是过了一秒，机子就关了。



启动之后就这样了(不要在意那个黑洞)。
感觉挺标准的MBR锁机。
现在我们输入密码。



回车。



正常进入系统。

总结


1.千万不要随便开软件，尤其是名字有[辅助][免费]这种诱惑性字样的，认准正版辅助。

2.电脑尽量装一个杀毒软件，至少可以抵御MBR锁，用户锁这种脑子有包都能写的锁机。

3.如果你被锁了就使用PEU盘重建MBR(没有？没有就去做或者买一个)，尽量不要付款(你永远不知道打了钱之后对方给不给你密码)。

4.就算你知道锁机密码也不能在实体机打开锁机，部分锁机不光是锁机器，而且有可能在内置一个远控或者感染病毒之类的东西(非常麻烦)。

阅读原文：乱下载软件致MBR锁机，逆向分析自救

云飞遥

这才是知乎嘛[赞]

素笔描风

这可是看雪论坛啊

大弯中学陈绍有陈家大少一

这和知乎有啥关系

天黑看不见

[滑稽]零日漏洞入侵锁mbr 这才是牛

荒岛的未来

mbr锁是什么原理[好奇]？bios层面的吗？gpt也会锁吗[好奇]

云深在何处

改引导

美的记亿

要是单纯改引导的话，直接进PE修复引导能不能恢复正常[思考]

晶彩制版

过去在MBR里塞个类似江民炸弹的东西（循环分区链）可以让软盘、光盘、U盘等都无法启动计算机。不过仅对DOS和Win9x有效，PE下已经无效了。

醇雨飘香

可我是UEFI啊，MBR引导都被我禁用了