上期讲锁机软件分析。有朋友评论说磁盘锁。这期我们就讲讲磁盘锁。
在此之前,我想先来介绍一下MBR是什么东西。
主引导记录是位于磁盘最前面的一段引导代码。一般有过文件系统或者BootLoader的开发经验,应该都对他很熟悉。一般你读写一块磁盘(或者SD,TF)的第一扇区,他负责磁盘分区的引导信息定位。如果没有MBR区根本就不用说文件系统。他就像计算机磁盘数据的引路人。如果没有他,你磁盘文件就凉凉。计算机找不到他在哪。
磁盘锁做的工作基本就是将你MBR的数据藏起来,换成它自己的引导代码,很遗憾的是,它必须要你输入密码才给你恢复MBR(当然经常因为代码的兼容性处理的并不好,就是我们说的代码写的和屎一样,所以常常也会及时密码正确仍然没有办法恢复)
可能有些人就说了,这种小问题还拿出来说。一般这种锁机不就是把你MBD拷贝到第二或者第三扇区,还原回去不就好了。是的的确是这样。但是对于不知道的人呢?
绝大部分的磁盘锁程序,会使用CreateFile(A/W)去打开设备符\\\\.\\PHYSICALDRIVE0,引导程序肯定是写在第一扇区也就是MBR区,写大小几乎也是512字节,也就是刚刚好一个扇区大小。
那么,也就是说,我们只需要它打开设备符的时候,将它写进去的数据给dump下来,当中肯定是包含这个磁盘锁的锁机密码了,这个是原理。
当然磁盘锁要高那么一丢丢。即使一些小学生也知道给自己的东西戴个套。
现在我给他们详细讲解一些逆向过程。
首先改一下名。上一篇没提前说。先把磁盘锁程序改一个名字,(别有汉字)
再还是PE搞起。加载规则脚本(doll db <名字.exe>)
写文件数据的API是WirteFile,所以,现在,在我们的命令窗口中,
输入hook WriteFile,然后按下回车
点击启动按钮(就是那个三角形)
在下面菜单栏选择数据
放个图吧 不然又懵的很!
一般情况下,第一个512字节的数据,是我们的MBR,这个字符串表明了这点,它就是引导失败时你在电脑屏幕上看到的那段文字。
