昨天网友在QQ群里共享文件夹中上传了一个文件名字叫  敲敲敲.exe 。出于好奇的心态，我下载了它，并有恃无恐的运行了它，接下来恐怖的事情发生了，电脑重启，然后显示一片漆黑，上面留下一串QQ号。

看来我是中病毒了，没办法，为了进入系统，我只好分析它，看看这家伙到底做了什么？ 我拿起利刃IDA，打开文件开始分析它，应该从哪里分析呢？ 既然会显示出QQ号码，那我猜肯定有字符串在 IDA 中使用 shift+F12 来到Strings Window。

果然，发现两处可疑的地方。看到字符串“\\.\\physicaldrive0kernel32” 当时第一反映是修改MBR。再然后我只能希望作者会有对MBR做一次备份，用OD对程序下CreateFileA

返回的句柄值是 90

再对ReadFile下断点 ，读取0x200字节到 内存0x001655E8

内存0x001655E8 处保存的是MBR的内容（MBR 是以0x55AA结尾）

往下继续跟，申请内存，然后使用memcpy将 内存0x001655E8  拷贝 0x200字节到0x16D8A8 处，做了一次备份

接下来以写的方式打开\\.\\physicaldrive0kernel32 ，然后使用SetFilePointer 指文件指针引到第3个扇区( 偏移0x400 ) ，来看作者是有备份的。

接下来就是写1扇区了如下图，是被修改后的MBR：

病毒MBR的分析：

1. 调用int16  中断 让用户输入密码

2. 调用int13  中断 对原MBR的恢复

密码是：2Ax6a8F6R33M154JJJL956V

如果密码正确，则从第3扇区读取原先的MBR进行修复。

到此主程序分析完毕。

（具体附件等请点击原文进行下载查看）

本文由看雪论坛 forget  原创

转载请注明来自看雪社区

2019 看雪安全开发者峰会门票正在热售中！

长按识别下方二维码，即可享受 2.5折 优惠！

戳 立即购买！

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com