比較簡單 就直接貼圖稍作說明. 說下MRB病毒的分析原理

硬盤內核驅動程序將硬盤作為一個文件，文件名為："\\.\\physicaldrive0" 通過使用 CreateFile, ReadFile, WriteFile 這幾個API來進行分析.
首先,因為程序被老版本的金盾加密了,這里需要先patch機器碼 .
 
 

patch機器碼之后 ,在CreateProcessW下斷點 
 

繼續F9, 程序會在CreateProcessW斷下,這里我們可以看到被加密的源程序所在目錄
 

C:\Program Files\drmsoft401fe\飛車通殺助手.exe
 



現在將源程序拖入OD分析  WriteFile下斷點
 
 


F9運行斷下  在堆棧 或者在字符串搜索 都可以看到密碼 


密碼為:        d___b


PS:沒有一定動手能力的朋友,盡量虛擬機操作..


 提取后文件.zip (591.35 KB, 下載次數: 4)