不堪造就网休闲
快捷导航
您的位置:首页>知识>>【木马分析 】伪装QQ飞车外挂的“MBR锁”ArenaBreakout国际服外桂 >

【木马分析 】伪装QQ飞车外挂的“MBR锁”ArenaBreakout国际服外桂

  发布时间:2025-11-04 05:10:56   作者:玩站小弟   我要评论
0x1 前言在过完年开工之际和平精英辅助,MBR锁黑产从业者也回到了他们的木马工作岗位上,在短短的分析飞车一周内,相继爆发了“纵情”敲诈者以及伪装QQ飞车外挂的伪装外挂“MBR”敲诈者两款国产敲诈者木马。国产敲诈者在敲诈金额,MBR锁技暗区突围护甲术手段以及加密方式上都远远落后于国外的木马ArenaBreakout国际服外桂敲诈者木马,但国产敲诈者的分析飞车最大优点就是能把握住卖点,比如以游戏外挂作为噱头。伪装外挂除此之外,MBR锁国产敲诈者还喜爱诱导用户关上杀软以达到所谓的木马“最佳体验”。可以说,分析飞车国产敲诈者暗区突围护甲胜在了“套路”。伪装外挂三角洲透视bug本文分析的MBR锁国产敲诈者即为伪造QQ飞车外挂的“MBR”敲诈者。据受害者称,木马想使用该QQ飞车外挂软件就务必输入注册码,分析飞车在向某群管理员索取注册码并输入注册后,计算机立即并被锁住,要求添加一Q暗区突围护甲Q号(3489709452)获取解锁密码。受害计算机如下图所示。图1 受害计算机界面可见,计算机并未正常启动,受害者遭遇的就是常见的“MBR”锁。0x2 样本分析回到最初的三角洲透视挂免费,防封号QQ飞车外挂,外挂界面很常见暗区突围护甲,需要输入注册码才能正常使用。图2 外挂界面细观该外挂界面,发现其和某盾加密处理后的程序界面类似,遍历字符串也能发现一些与某盾加密相关的字符串。因此可以断定该外挂软件使用某盾加密保护,使用者只有输入正暗区突围护甲确的注册码才能获得相应的功能。由于某盾加密强度高,在不持有密码的情况下很难对受保护的软件进行破解,这也导致外挂使用者需要找管理员要开启密码的情况。急切渴望使用外挂的三角洲自瞄透视辅助软件功能受害者们在得到开启密码一定是欣喜若狂暗区突围护甲的,他们一定不知道开启后才是噩梦的起始。前方提到了某盾加密“在不持有密码的情况下很难对受保护的软件进行破解”,之所以提及“不持有密码的情况下”,是因为即使在拥有密码的情况下,某盾加密对程序的保护也比较暗区突围护甲特别。在本例中,进程会在同目录下创建一个名为“飞车通杀辅助VIP2.exe”的程序,并调用ShellExecute函数运行该程序。图3 运行“飞车通杀辅助VIP2.exe”但实际上,在磁盘中,也就是三角洲官网入口该暗区突围护甲路径下并不存在这个文件。这也是某盾加密为了防止加密视频播放时被提取而采取的策略。某盾加密会调用自身SDK中名为“CreateVirtualFileA”的函数在内存中创建文件,而不是直接让文件“落地”,暗区突围护甲这其实也稍微加大了分析的难度,分析者务必对程序进行patch以使创建的文件“落地”。patch的位置即“CreateVirtualFileA”函数。根据某盾加密逻辑,程序会首先调用“CreateVir暗区突围护甲tualFileA”函数创建虚拟文件,然后使用WriteFile函数将解密后的数据写入文件。使用CreateFile函数patch掉“CreateVirtualFileA”可使文件落地。如图所示。三角洲物资透视免费下载图4暗区突围护甲 patch前图5 patch后对程序进行patch后,实施MBR修改功能的敲诈者主体就“落地”了。图6 “落地”的恶意程序该程序也是一款定制的程序,可以看出作者只是将一些定制的模块拼接起来构成一个敲暗区突围护甲诈者木马。从字符串中可以看出,定制者可以自定义MBR加密的密码以及显示在屏幕上的文字。图7 表示可以自定义定制的字符串之后就是常规的锁MBR流程,开启磁盘0并读取前512字节,也就是主引导记录。图8 暗区突围护甲开启磁盘0图9 读取主引导记录之后程序会将原本的主引导代码保存到磁盘0偏移0x400起始的位置,该位置是魔盟网三角洲物资透视磁盘0的第三扇区。此举用于备份初始的MBR代码,当受害者输入正确的密码之后,就会将备份的MBR代暗区突围护甲码恢复到第一扇区中,以保证系统能够正常启动。图10 设置偏移图11 备份最初的MBR代码之后程序就会修改主引导记录,修改后的主引导记录如下图所示。图12 被篡改的MBR代码反汇编MBR代码可以看到密码暗区突围护甲比较的流程以及之后的处理流程。首先通过int 16h中断获取用户输入,并将存储输入结果。图13 获取并存储输入图14 比较输入与密码通过查看存放密码的地址可以发现密码为“ O0 ” (即空格,大写字母暗区突围护甲O,三角洲物资透视下载无毒数字0,空格)。在比对胜利之后,将通过int 13h中断读取存储在第3扇区的最初的MBR代码并将其写入到第1扇区,以恢复系统的正常使用。图15 恢复MBR0x3 总结通过该样本可以看出,国产敲诈者暗区突围护甲在技术上并不高深,而且习惯于拼接各种软件或模块,以达到其恶意目的。这些模块虽然互相独立且功能有限,但经过组合之后成为一个功能强大且自保能力强的三角洲外桂物资透视恶意软件。而这些国产敲诈者也牢牢抓住一些特定用户的注意力暗暗区突围护甲区突围科技,披着外挂的外衣干这坏事,让人措手不及。对于陌生的软件,用户应当慎点,在中毒后也不要轻易添加qq交付赎金,应向杀软方面进行及时反馈以恢复系统的使用。免责声明:本网部分内容及图片来源于互联网,暗区突围护甲不作商业用途,如侵犯了您的权益,请来函告知,三角洲透视物资免费我们将在48小时内删除。。

0x1 前言

在过完年开工之际和平精英辅助,MBR锁黑产从业者也回到了他们的木马工作岗位上 ,在短短的分析飞车一周内 ,相继爆发了“纵情”敲诈者以及伪装QQ飞车外挂的伪装外挂“MBR”敲诈者两款国产敲诈者木马 。国产敲诈者在敲诈金额,MBR锁技暗区突围护甲术手段以及加密方式上都远远落后于国外的木马ArenaBreakout国际服外桂敲诈者木马,但国产敲诈者的分析飞车最大优点就是能把握住卖点,比如以游戏外挂作为噱头  。伪装外挂除此之外,MBR锁国产敲诈者还喜爱诱导用户关上杀软以达到所谓的木马“最佳体验”。可以说 ,分析飞车国产敲诈者暗区突围护甲胜在了“套路”  。伪装外挂三角洲透视bug

【木马分析 】伪装QQ飞车外挂的“MBR锁”ArenaBreakout国际服外桂

本文分析的MBR锁国产敲诈者即为伪造QQ飞车外挂的“MBR”敲诈者。据受害者称 ,木马想使用该QQ飞车外挂软件就务必输入注册码,分析飞车在向某群管理员索取注册码并输入注册后,计算机立即并被锁住 ,要求添加一Q暗区突围护甲Q号(3489709452)获取解锁密码。受害计算机如下图所示。

图1 受害计算机界面

可见,计算机并未正常启动  ,受害者遭遇的就是常见的“MBR”锁。

0x2 样本分析

回到最初的三角洲透视挂免费,防封号QQ飞车外挂 ,外挂界面很常见暗区突围护甲,需要输入注册码才能正常使用  。

图2 外挂界面

细观该外挂界面,发现其和某盾加密处理后的程序界面类似 ,遍历字符串也能发现一些与某盾加密相关的字符串。因此可以断定该外挂软件使用某盾加密保护,使用者只有输入正暗区突围护甲确的注册码才能获得相应的功能 。由于某盾加密强度高,在不持有密码的情况下很难对受保护的软件进行破解,这也导致外挂使用者需要找管理员要开启密码的情况 。急切渴望使用外挂的三角洲自瞄透视辅助软件功能受害者们在得到开启密码一定是欣喜若狂暗区突围护甲的 ,他们一定不知道开启后才是噩梦的起始 。

前方提到了某盾加密“在不持有密码的情况下很难对受保护的软件进行破解” ,之所以提及“不持有密码的情况下” ,是因为即使在拥有密码的情况下,某盾加密对程序的保护也比较暗区突围护甲特别  。在本例中 ,进程会在同目录下创建一个名为“飞车通杀辅助VIP2.exe”的程序,并调用ShellExecute函数运行该程序 。

图3 运行“飞车通杀辅助VIP2.exe”

但实际上 ,在磁盘中 ,也就是三角洲官网入口该暗区突围护甲路径下并不存在这个文件。这也是某盾加密为了防止加密视频播放时被提取而采取的策略。某盾加密会调用自身SDK中名为“CreateVirtualFileA”的函数在内存中创建文件 ,而不是直接让文件“落地”,暗区突围护甲这其实也稍微加大了分析的难度 ,分析者务必对程序进行patch以使创建的文件“落地” 。

patch的位置即“CreateVirtualFileA”函数。根据某盾加密逻辑 ,程序会首先调用“CreateVir暗区突围护甲tualFileA”函数创建虚拟文件,然后使用WriteFile函数将解密后的数据写入文件 。使用CreateFile函数patch掉“CreateVirtualFileA”可使文件落地。如图所示 。三角洲物资透视免费下载

图4暗区突围护甲 patch前

图5 patch后

对程序进行patch后 ,实施MBR修改功能的敲诈者主体就“落地”了。

图6 “落地”的恶意程序

该程序也是一款定制的程序,可以看出作者只是将一些定制的模块拼接起来构成一个敲暗区突围护甲诈者木马 。从字符串中可以看出  ,定制者可以自定义MBR加密的密码以及显示在屏幕上的文字 。

图7 表示可以自定义定制的字符串

之后就是常规的锁MBR流程 ,开启磁盘0并读取前512字节,也就是主引导记录 。

图8 暗区突围护甲开启磁盘0

图9 读取主引导记录

之后程序会将原本的主引导代码保存到磁盘0偏移0x400起始的位置 ,该位置是魔盟网三角洲物资透视磁盘0的第三扇区 。此举用于备份初始的MBR代码,当受害者输入正确的密码之后,就会将备份的MBR代暗区突围护甲码恢复到第一扇区中,以保证系统能够正常启动 。

图10 设置偏移

图11 备份最初的MBR代码

之后程序就会修改主引导记录,修改后的主引导记录如下图所示 。

图12 被篡改的MBR代码

反汇编MBR代码可以看到密码暗区突围护甲比较的流程以及之后的处理流程。首先通过int 16h中断获取用户输入,并将存储输入结果。

图13 获取并存储输入

图14 比较输入与密码

通过查看存放密码的地址可以发现密码为“ O0 ” (即空格 ,大写字母暗区突围护甲O,三角洲物资透视下载无毒数字0,空格)。在比对胜利之后 ,将通过int 13h中断读取存储在第3扇区的最初的MBR代码并将其写入到第1扇区 ,以恢复系统的正常使用 。

图15 恢复MBR

0x3 总结

通过该样本可以看出 ,国产敲诈者暗区突围护甲在技术上并不高深 ,而且习惯于拼接各种软件或模块 ,以达到其恶意目的。这些模块虽然互相独立且功能有限,但经过组合之后成为一个功能强大且自保能力强的三角洲外桂物资透视恶意软件。而这些国产敲诈者也牢牢抓住一些特定用户的注意力暗暗区突围护甲区突围科技 ,披着外挂的外衣干这坏事,让人措手不及。对于陌生的软件,用户应当慎点,在中毒后也不要轻易添加qq交付赎金,应向杀软方面进行及时反馈以恢复系统的使用。

免责声明:本网部分内容及图片来源于互联网 ,暗区突围护甲不作商业用途,如侵犯了您的权益,请来函告知,三角洲透视物资免费我们将在48小时内删除。

相关文章

  • VIP视频解析网站源码支持本地使用

    源码介绍VIP视频解析网站源码支持本地使用 ,会员视频解析这个源码还有一个版本《简易视频解析源码》今天给大家带来是封做成app的解析网站安卓APP是无网络版本 ,如果解析接口失效就不能使用了,不过我留了几
    2025-11-04

  • 物美多点超市

    物美多点超市是一款非常好用的网上购物软件 ,这里提供了各式各样的物品,酒水饮料 ,粮油调味 ,水果鲜花,肉蛋水产 ,休闲零食等等 ,满足用户的不同生活需要 ,可以设置好自己的收货地区,在选购好能够直接送到你家门口
    2025-11-04

  • 台风速报极速版

    台风速报极速版是一款实用的台风预测软件 ,可以通过这款软件查看今年最新的台风路径,包括速度,方向,预测走向等等 ,也可以在线搜索往年的台风信息 ,实时的动态画面效果给人一目了然的视觉体验,让台风途径地区的用
    2025-11-04

  • 零售云管家

    零售云管家是一款专为零售行业打造的办公软件 ,可以轻松管理自己的财务,开店收益一手抓 ,让你管理无忧 ,并且还提供了许多营销与促销工具 ,让你可以轻松售卖出更多的物品 ,高效交易,也可以在线管理与查看员工的绩效
    2025-11-04

  • 精灵传信系统 匿名性系统 支持网站+小程序双端源码

    源码简介精灵传信系统 匿名性系统 支持网站+小程序双端源码。精灵传信支持在线提交发送短信 ,查看回复短信,在线购买额度,自定义对接易支付,设置违禁词,支持网站+小程序双端 。环境要求:PHP >=
    2025-11-04

  • 自助药房 、自助花店 、自助健身房......24小时自助服务点兴起 ,解锁市民消费新体验

    无需员工 ,没有收银台,仅凭一部手机 、一个二维码 ,就能轻松完成药品选购、健身打卡 、零食采购等一系列消费行为 。如今 ,在通城的街头巷尾 ,24小时自助服务点如雨后春笋般涌现。“不打烊”的模式正以自主 、高效的特
    2025-11-04

最新评论