MBR病毒分析

2021-07-31 14:10:18 字數 478 閱讀 9267

樣本行為:

1、樣本執行後,會直接獲取\\.\physicaldrive0的控制代碼,從第1扇區(偏移為0x0)讀取大小為200位元組的內容寫入到第3扇區(偏移為0x400)中。其目的應該在輸入正確密碼後,重新恢復原有第1扇區的資訊。

2、往第1扇區(偏移為0x0)中寫入大小為200位元組的mbr敲詐資訊(即重啟後的開機介面,需要輸入正確的密碼才能恢復第1扇區)

3、在建立輸入密碼介面的時候,則會不停的遍歷程序比對來實現結束掉任務管理器程序taskmgr.exe,主要是為了守護樣本程序防止被任務管理器結束掉。

寫入第3扇區 -----00403354  |.  e8 fa040000   call 復件_123.00403853

往第1扇區寫入mbr敲詐資訊 -----00403367  |.  e8 e7040000   call 復件_123.00403853

0012f8e4   001d26d0  ascii "ydbfy5u69mgnsiyd"

病毒分析基礎

提取方式 peid 偵察程式資訊工具 systemsafety monitor ssm 系統監控軟體 filemon 檔案監控 regmon 登錄檔監控 tcpview網路連線監控 smsniff 網路資料監控 wireshark 網路資料採集分析 ollydbg 動態分析工具 ida 靜態分析工具...

病毒診斷分析程式(病毒分析師的福音)

此程式是乙個專業的病毒診斷分析程式。08 09 26修正版 修正了某些情況下會漏點一些程序沒監控的情況 08 10 11修正四版 修正了在監視某些ie程式時路徑過長導致的藍屏情況 https p blog.csdn.net images p blog csdn net chenhui530 entr...

病毒分析教程第六話 高階病毒分析(中)

教程參考自 惡意 分析實戰 程式來自 本節實驗使用樣本lab11 02.dll和lab11 02.ini。這個惡意dll匯出了什麼?檢視匯出函式視窗,發現除了dllentrypoint函式外還有要給installer函式。使用rundll32.exe安裝這個惡意 後,發生了什麼?為了使這個惡意 正確...