【木马合成 】冒高能英雄辅助器免费下载高能英雄科技直高能英雄辅助菜单下载装ios充QQ飞车外挂的“MBR锁”高能英雄辅助网高能英雄辅助器 在短短的合成一周内

0x1 前言

在过完年开工之际清静精英辅助，MBR锁黑产从业者也回到了他们的木马冒充使命岗位上，在短短的合成一周内，相继爆发了“恣意”敲诈者以及冒充QQ飞车外挂的飞车“MBR”敲诈者两款国产敲诈者木马。国产敲诈者在敲诈金额，外挂技暗区困绕护甲术本领以及加密方式上都远远落伍于外洋的MBR锁高能英雄科技直装ios敲诈者木马，但国产敲诈者的木马冒充最大短处便是能把握住卖点，好比以游戏外挂作为噱头。合成除了此之外，飞车国产敲诈者还喜爱诱惑用户掀开杀软以抵达所谓的外挂“最佳体验”。可能说，MBR锁国产敲诈者暗区困绕护甲胜在了“套路”。木马冒充高能英雄辅助网

本文合成的合成国产敲诈者即为伪造QQ飞车外挂的“MBR”敲诈者。据受益者称，飞车想运用该QQ飞车外挂软件就务必输入注册码，外挂在向某群规画员索取注册码并输入注册后，合计机赶快并被锁住，要求削减一Q暗区困绕护甲Q号（3489709452）取患上解锁明码。受益合计机如下图所示。

图1 受益合计机界面

可见，合计机并未个别启动，受益者蒙受的便是罕有的“MBR”锁。

0x2 样本合成

回到最后的高能英雄辅助器免费下载QQ飞车外挂，外挂界面很罕有暗区困绕护甲，需要输入注册码能耐个别运用。

图2 外挂界面

细不雅该外挂界面，发现其以及某盾加密处置后的挨次界面相似，遍历字符串也能发现一些与某盾加密相关的字符串。因此可能判断该外挂软件运用某盾加密呵护，运用者惟独输入正暗区困绕护甲确的注册码能耐取患上响应的功能。由于某盾加密强度高，在不持有明码的情景下很难对于受呵护的软件妨碍破解，这也导致外挂运用者需要找规画员要开启明码的情景。急切渴想运用外挂的高能英雄辅助菜单下载受益者们在患上到开启明码确定是哀痛欲绝暗区困绕护甲的，他们确定不知道开启后才是噩梦的起始。

前方提到了某盾加密“在不持有明码的情景下很难对于受呵护的软件妨碍破解”，之以是提及“不持有明码的情景下”，是由于纵然在具备明码的情景下，某盾加密对于挨次的呵护也比力暗区困绕护甲特意。在本例中，历程会在同目录下建树一个名为“飞车通杀辅助VIP2.exe”的挨次，并调用ShellExecute函数运行该挨次。

图3 运行“飞车通杀辅助VIP2.exe”

但实际上，在磁盘中，也便是高能英雄辅助器该暗区困绕护甲道路下并不存在这个文件。这也是某盾加密为了防止加密视频播放时被提取而接管的策略。某盾加密会调用自己SDK中名为“CreateVirtualFileA”的函数在内存中建树文件，而不是直接让文件“落地”，暗区困绕护甲这着实也稍微加大了合成的难度，合成者务必对于挨次妨碍patch以使建树的文件“落地”。

patch的位置即“CreateVirtualFileA”函数。凭证某盾加密逻辑，挨次会首先调用“CreateVir暗区困绕护甲tualFileA”函数建树伪造文件，而后运用WriteFile函数将解密后的数据写入文件。运用CreateFile函数patch掉“CreateVirtualFileA”可能使文件落地。如图所示。

图4暗区困绕护甲 patch前

图5 patch后

对于挨次妨碍patch后，实施MBR更正功能的敲诈者主体就“落地”了。

图6 “落地”的恶意挨次

该挨次也是一款定制的挨次，可能看出作者只是将一些定制的模块拼接起来组成一个敲暗区困绕护甲诈者木马。从字符串中可能看出，定制者可能自界说MBR加密的明码以及表当初屏幕上的翰墨。

图7 展现可能自界说定制的字符串

之后便是老例的锁MBR流程，开启磁盘0并读取前512字节，也便是主向导记实。

图8 暗区困绕护甲开启磁盘0

图9 读取主向导记实

之后挨次会将原有的主向导代码保存到磁盘0偏移0x400肇真个位置，该位置是磁盘0的第三扇区。此举用于备份初始的MBR代码，当受益者输入精确的明码之后，就会将备份的MBR代暗区困绕护甲码复原到第一扇区中，以保障零星可能个别启动。

图10 配置偏移

图11 备份最后的MBR代码

之后挨次就会更正主向导记实，更正后的主向导记实如下图所示。

图12 被修正的MBR代码

反汇编MBR代码可能看到明码暗区困绕护甲比力的流程以及之后的处置流程。首先经由int 16h中断取患上用户输入，并将存储输入服从。

图13 取患上并存储输入

图14 比力输入与明码

经由魔难寄存明码的地址可能发现明码为“ O0 ” （即空格，大写字母暗区困绕护甲O，数字0，空格）。在比对于乐成之后，将经由int 13h中断读取存储在第3扇区的最后的MBR代码并将其写入到第1扇区，以复原零星的个别运用。

图15 复原MBR

0x3 总结

经由该样本能够看出，国产敲诈者暗区困绕护甲在技术上并不高深，而且习气于拼接种种软件或者模块，以抵达其恶意目的。这些模块尽管相互自力且功能有限，但经由组合之后成为一个功能强盛临时保能耐强的恶意软件。而这些国产敲诈者也牢牢捉住一些特定用户的留意力悄然区困绕护甲区困绕科技，披着外挂的外衣干这坏事，让人措手不迭。对于目生的软件，用户理当慎点，在中毒后也不要任意削减qq交付赎金，应向杀软方面妨碍实时反映以复原零星的运用。

免责申明：本网部份外容及图片源头于互联网，暗区困绕护甲不作商业用途，如侵略了您的权柄，请来函见告，咱们将在48小时内删除了。