瑞星卡卡安全论坛技术交流区可疑文件交流 号称“中华吸血鬼专杀”的kd.exe(据说破坏BIOS)

12   1  /  2  页   跳转

号称“中华吸血鬼专杀”的kd.exe(据说破坏BIOS)

号称“中华吸血鬼专杀”的kd.exe(据说破坏BIOS)

样本是剑盟那边来的:http://bbs.janmeng.com/thread-773059-1-1.html
有人说它破坏BIOS。
我运行此样本两次,SSM报“磁盘底层存取”操作,均放过(允许)。
重启后,系统无任何异常。
这DD到底有没有破坏BIOS? 反正我亲身体验-----没有。比较晕。瑞星工程师看看吧。

用户系统信息:Opera/9.26 (Windows NT 5.1; U; zh-cn)

附件附件:

您所在的用户组无法下载或查看附件

分享到:
gototop
 

回复:号称“中华吸血鬼专杀”的kd.exe(据说破坏bios)

有破坏。不是破坏bios,是破坏mbr。

刚刚看过了:

读第一个物理磁盘前面0x200字节的mbr
把分区表第一分区的分区状态位改为0x50(不知道啥意思,不是只有0表示未激活,0x80表示激活么)
分区起始磁头号改为0
把分区类型改为0x05(有这类型?)
然后把其后的内容每字节xor 0x1a
最后编辑轩辕小聪 最后编辑于 2008-06-26 18:30:48
病毒样本请发到可疑文件交流区
gototop
 

回复:号称“中华吸血鬼专杀”的kd.exe(据说破坏bios)

把分区表第一分区的分区状态位改为0x50

会显示未分区?

把分区类型改为0x05

改的第一个分区?0x05是扩展分区类型吧
gototop
 

回复: 号称“中华吸血鬼专杀”的kd.exe(据说破坏bios)

楼主好幸福啊

你看偶的电脑.......


pe下截张图给你看看...无法截图


只剩下c盘  打开c盘  提示要格式化 

c盘的容量是我的硬盘大小

能有啥办法解决么?
一见钟情,再而衰,三而竭。
gototop
 

回复: 号称“中华吸血鬼专杀”的kd.exe(据说破坏bios)



引用:
原帖由 wjzdw 于 2008-6-26 23:00:00 发表
楼主好幸福啊

你看偶的电脑.......


pe下截张图给你看看...无法截图


只剩下c盘   打开c盘  提示要格式化  

c盘的容量是我的硬盘大小

能有啥办法解决么?


以前,玩儿“猪头三”上过这当(当时用的老电脑)。现在,新电脑硬盘设了指纹密码,它改写不了mbr。
我当时是用diskgen修复mbr解决的。
网上可以找到diskgen(作者叫什么大海来着,好像是。)
最后编辑baohe 最后编辑于 2008-06-26 23:52:57
gototop
 

回复: 号称“中华吸血鬼专杀”的kd.exe(据说破坏bios)



引用:
原帖由 baohe 于 2008-6-26 23:48:00 发表


引用:
原帖由 wjzdw 于 2008-6-26 23:00:00 发表
楼主好幸福啊

你看偶的电脑.......


pe下截张图给你看看...无法截图


只剩下c盘  打开c盘  提示要格式化 

c盘的容量是我的硬盘大小

能有啥办法解决么?


以前



谢谢  搞定了   

人在江湖飘    没点装备不行啊
一见钟情,再而衰,三而竭。
gototop
 

回复:号称“中华吸血鬼专杀”的kd.exe(据说破坏BIOS)

该用户帖子内容已被屏蔽
gototop
 

回复:号称“中华吸血鬼专杀”的kd.exe(据说破坏BIOS)

该用户帖子内容已被屏蔽
gototop
 

回复:号称“中华吸血鬼专杀”的kd.exe(据说破坏BIOS)

该用户帖子内容已被屏蔽
gototop
 

回复: 号称“中华吸血鬼专杀”的kd.exe(据说破坏BIOS)

该用户帖子内容已被屏蔽
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT