比较简单 就直接贴图稍作说明. 说下MRB病毒的分析原理

硬盘内核驱动程序将硬盘作为一个文件，文件名为："\\.\\physicaldrive0" 通过使用 CreateFile, ReadFile, WriteFile 这几个API来进行分析.
首先,因为程序被老版本的金盾加密了,这里需要先patch机器码 .
 
 

patch机器码之后 ,在CreateProcessW下断点 
 

继续F9, 程序会在CreateProcessW断下,这里我们可以看到被加密的源程序所在目录
 

C:\Program Files\drmsoft401fe\飞车通杀助手.exe
 



现在将源程序拖入OD分析  WriteFile下断点
 
 


F9运行断下  在堆栈 或者在字符串搜索 都可以看到密码 


密码为:        d___b


PS:没有一定动手能力的朋友,尽量虚拟机操作..


 提取后文件.zip (591.35 KB, 下载次数: 4)