MBR病毒分析
来源:互联网 发布:周柏豪性格知乎 编辑:程序博客网 时间:2024/05/22 11:34
样本行为:
1、样本运行后,会直接获取\\.\PhysicalDrive0的句柄,从第1扇区(偏移为0x0)读取大小为200字节的内容写入到第3扇区(偏移为0x400)中。其目的应该在输入正确密码后,重新恢复原有第1扇区的信息。
2、往第1扇区(偏移为0x0)中写入大小为200字节的MBR敲诈信息(即重启后的开机界面,需要输入正确的密码才能恢复第1扇区)
3、在创建输入密码界面的时候,则会不停的遍历进程比对来实现结束掉任务管理器进程taskmgr.exe,主要是为了守护样本进程防止被任务管理器结束掉。
写入第3扇区 -----00403354 |. E8 FA040000 call 复件_123.00403853
往第1扇区写入MBR敲诈信息 -----00403367 |. E8 E7040000 call 复件_123.00403853
0012F8E4 001D26D0 ASCII "YDBFY5U69MGNSIYD"
0 0
- MBR病毒分析
- MBR病毒
- 关于MBR病毒的一些调研及分析工作
- MBR病毒基础知识磁盘结构
- 硬盘MBR全面分析
- 硬盘MBR全面分析
- MBR代码分析
- gentoo mbr分析
- 硬盘MBR全面分析
- 硬盘MBR全面分析
- MBR分析-----SD卡
- 硬盘MBR全面分析
- win2K的MBR分析
- MBR 代码分析
- MBR详细分析
- MBR分区表分析
- MBR分析笔记
- MBR样本分析
- [openstack]NFVI特性之实时虚拟机(一)
- OD调试多线程(转)
- 简介JS脚本病毒解密及相关分析方法
- VB程序逆向反汇编常见的函数(转)
- 发现一个开发小帮手:Zeal Mac版叫做:Dash 集成多数开发语言API
- MBR病毒分析
- 驱动学习---双机调试环境安装
- spring4.x.x quartz计划任务
- 驱动编程---遇到的编译问题总结
- Linux下rpm包方式离线安装mariaDB
- wireshark基本用法及过虑规则(收集)
- Eclipse下用NDK编译生成so文件
- 2017年最新苹果开发者账号注册流程详解(公司账号篇)
- Highchart数据过多时增加滚动条展示