Поиск по этому блогу

суббота, 28 мая 2011 г.

Сдампим mbr с помощью Dr.Web LiveCD

Используем Dr.Web LiveCD

http://www.freedrweb.com/livecd/

После загрузки с LiveCD MBR добыть можно, к примеру, так:
Запустить терминал
Вставить флешку
mkdir /mnt/flash
mount -t vfat /dev/sda1 /mnt/flash
mkdir /mnt/flash/sectors
dd if=/dev/hda of=/mnt/flash/sectors/sector1 bs=512 count=1
umount /dev/sda1

еще раз
umount /dev/sda1
должен быть ответ "not mounted". Если нет - повторить до получения ответа.
В директории sectors на флешке - МБР, там код..

Видео

Кстати можно без флешки...сразу монтировать на винт
dd if=/dev/hda of=/mnt/disk/hda1/sector1 bs=512 count=1

( файл sector1 будет создан в корне диска...нажать F3 в миднайте)
И сразу же смотреть в Миднайте 
P.S.
Tnx Alexey_P

Автор: на Комментариев нет:

вторник, 26 апреля 2011 г.

Trojan.WinLock.2430

Этот вид баннеров уже как-то ушел в небытиё.Написаны были на VB 6.0

Для того,чтобы найти код
 - грузимся на виртуальной машине
 - запускаем Desktop (утилита Русиновича для переключения рабочих столов)...настраиваем клавишу переключения (у меня например Win+2). И переключаемся на 2 рабочий стол.
 - загружаем модифицированный OllyDBG (главное чтобы там была панелька.....это подключенный плагин) и командная строка(тоже плагин).




 - переключаемся на 1 рабочий стол и запускаем винлок.
 - переключаемся на 2 рабочий стол и присоединяемся к процессу в дебагере.


-нажимаем F9 (это снимет с паузы процесс)
-щелкаем по кнопке K на панельке


 - далее щелкаем два раза на любой процедуре (выделено желтым) и попадаем в окно кода.
 - щелкаем правой кнопкой AnalizeThis! (это тоже подключаемый плагин) .
 - переключаемся на первый рабочий стол (там где винлок на весь экран) . И вводим любой текст, например я ввожу mrbelyash и нажимаем кнопку OK
 - переключаемся на второй экран (там где дебагер)
- внизу дебагера есть командная строка...в ней вводим bpx get


- попадаем в окно вызываемых функций...Ищем строчку GetDlgItemTextA
- дважды по ней щелкаем мышкой и попадаем в окно кода.
- опускаемся немного ниже и ищем слово которое мы ввели (mrbelyash). В дебагере видно как реальный пароль сравнивается с введенным нами словом.



Собственно все.
---------------------------------------------------------------------------------------------------------
А вот и видео



P.S.
 Я немного обманул про  GetDlgItemTextA лучше конечно будет щелкунуть по lstrcmpA это сама команда сравнения...тогда вы сразу же попадете на код....

 
 
Автор: на Комментариев нет:
Подписаться на: Сообщения (Atom)