【图片】从吾爱破解论坛看到的解决办法【转载】【病毒吧】

病毒吧关注：318,344贴子：1,286,047

1 2 下一页尾页
20回复贴，共2页
，跳到页

从吾爱破解论坛看到的解决办法【转载】

无法切换程序，任务管理器也调不出来，重启电脑后不起作用照样这样。
0x01 恢复操作——恢复电脑正常打开
思路：进入安全模式，先取消病毒自动执行。
重启按F8进入安全模式，运行msconfig —— 发现msconfig.exe没运行，却又跳出了病毒程序。
换种思路，重启进入“带命令行安全模式”，运行msconfig，好了，正常了。
猜测：安全模式和带命令行安全模式好像就相差一个explorer.exe进程，我猜测通过explorer.exe中打开文件时，都会自动执行病毒文件d:\haloumao\halou.exe，故在安全模式下，虽然病毒无法开机启动，却可以通过Explorer.exe启动自身；而带命令行的安全模式默认不执行explorer，故我们可以正常打开exe。

送TA礼物

来自Android客户端1楼2016-10-13 07:15回复

现在先取消病毒自启动，执行以下步骤：
1、查看MSCONFIG启动选项：多了一个"d:\haloumao\halou.exe",，果断取消掉。
2、将halou.exe改名为halou.exe.bak，方便之后调试，并且避免病毒以其他方式运行。
启动电脑，一切顺利。
接下来：进入病毒文件夹做进一步分析，程序清单如下：

来自Android客户端2楼2016-10-13 07:17

收起回复

不感兴趣

开通SVIP免广告

0x02 恢复操作——EXE文件关联问题
现在又出现一个新的问题：打开大部分可执行文件（如cmd.exe,regedidt.exe,msconfig.exe)时，会提示：

来自Android客户端3楼2016-10-13 07:18

（但可以打开任务管理器）
分析：病毒通过修改注册表来将PE文件关联执行其自身，而此时我们已经把halou.exe改名了，系统无法找到病毒exe文件，故会出现“打开方式"窗口。
具体：在病毒文件夹有一个halou.reg注册表文件，打开它：

来自Android客户端4楼2016-10-13 07:19

现在试着执行下exe文件，好了，一切正常了，但是我们不知道病毒还有没有耍其他花招，现在分析病毒程序了。
0x03 病毒程序分析一：yxcq.exe
拉入PEID，是用VB写的。
直接放入VBDECOMPILE，反编译：

来自Android客户端6楼2016-10-13 07:21

这个文件看起来只是为了写入一个注册表项，修改EXE文件关联。
0x04 病毒程序分析二：halou.exe
(1) 病毒强制全屏显示原理：隐藏任务栏、自身窗口全屏化且强制显示在前面、不生成任务栏图标。
分析：
首先，由于病毒程序执行后，全屏显示似乎没办法调出其他程序，难以动态调试。但是这个问题很容易解决，
因为任务管理器可以调出来，然后在任务管理器把病毒最小化，然后就可以了~继续用OD调试了。如图：

来自Android客户端7楼2016-10-13 07:22

分析隐藏任务栏的代码：

来自Android客户端8楼2016-10-13 07:24

原理：通过FindWindow函数查找任务栏句柄（名称："Shell_TrayWnd"），然后通过ShowWindow函数隐藏任务栏。
（如果要重新显示任务栏，只需要结束explorer.exe在重新打开即可。）
分析窗口全屏+始终显示在最前使得其他程序被隐藏：
原理：设置BorderStyle=0（在VBDecompile可以看到这个属性）及调用SetWindowsPos即可。
现在我们先把显示在最前面的功能去掉以免影响调试，通过VBDecompile中解析出来的Form_Load函数定位到SetWindowPos的调用地址为0x0041A7FA，载入OD将参数2值由-1(HWND_TOPMOST)修改为-2(HWND_NOTOPMOST)，可以顺利调试了。如图：

来自Android客户端9楼2016-10-13 07:24

不感兴趣

开通SVIP免广告

现在显示的原理都分析得差不多。
(2) 分析密码生成算法
先设置断点，在VBDecompile可以看到窗体函数有6个函数，设置断点后，分析如下：
Form_Load函数：程序在执行时，会调用随机函数，按某种方法生成一组key-value，在程序关闭前不会改变，并被要求打钱给作者以解除限制。
Label6_Click函数：密码检测函数，此函数执行前，key已经产生好了，这个函数仅仅是对密码进行明文校验。