MBR勒索之手动修复引导

最新推荐文章于 2021-06-18 23:38:24 发布
最新推荐文章于 2021-06-18 23:38:24 发布
阅读量1.3k 收藏
点赞数
分类专栏: 应急响应
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44001905/article/details/99444748
版权

MBR勒索是把一段shellcode写入到磁盘引导里面,使得开机时不能正常引导进入系统,平常遇见的MBR勒索病毒都是易语言大手子写的模块,供其他人使用,只要是勒索就肯定会有恢复的方式,所以今天就写一篇手动修复MBR的文章
首先运行一个MBR勒索病毒,直接写MBR重启电脑
在这里插入图片描述
重新进入系统时界面上就显示了一个QQ号,很简洁
在这里插入图片描述
键盘输入会显示,这是一个典型的MBR勒索
我们不知道密码不能进入系统,想要手动恢复的话我们需要一个能够进入PE系统的PE盘,具体如何做PE盘,这里不做讲解
进入PE系统,运行BOOTICE
在这里插入图片描述
下图可以看到首扇区已经不是正常的引导,而是变成了勒索信息,遇见这样的我们不要慌张,只要不是像彩虹猫那样专门破坏MBR的病毒,一般勒索都是可以还原的

在这里插入图片描述

一般易语言MBR勒索通常都是把引导信息放在第三个扇区,我们跳转到第三个扇区看看,果然引导信息在这里

在这里插入图片描述

这样的我们直接把第三个扇区的数据覆盖到第一个扇区上即可,不过为了避免意外,我们将前几个扇区先备份一下,备份完成后,我们把第三个扇区的数据覆盖到第一个扇区上,覆盖完成,点击保存

在这里插入图片描述

打开分区管理,分配盘符,分配到C盘

在这里插入图片描述

然后重启电脑,这时已经可以正常进入系统

Iam0x17
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
易语言MBR读写
10-19
读写MBR的,不要乱试所电脑的 .版本 2 .支持库 spec 连续赋值 (“”, 编辑框2.内容, 编辑框3.内容, 编辑框4.内容) .如果真 (读取MBR (buffer)) 调试输出 (buffer) 字节集到十六进制 (MBR文本, buffer, “ ”) .如果真结束 MBR分割处理 = 分割文本 (MBR文本, “ ”, ) .计次循环首 (取数组成员数 (MBR分割处理), i) .如果真 (i ≤ 446) 编辑框2.内容 = 编辑框2.内容 + 到十六进制 (buffer [i]) + “ ” .如果真结束 .如果真 (447 ≤ i 且 i ≤ 510) 编辑框3.内容 = 编辑框3.内容 + 到十六进制 (buffer [i]) + “ ” .如果真结束 .如果真 (511 ≤ i 且 i ≤ 512) 编辑框4.内容 = 编辑框4.内容 + 到十六进制 (buffer [i]) + “ ” .如果真结束 .计次循环尾 () .子程序 十六进制到字节集, 字节集, 公开, 若参数一不为空,将返回空字节集 .参数 字节集变量, 字节集, 参考 可空, 用来保存转换后的字节集数据.若空,以返回值返回结果 .参数 十六进制文本, 文本型, 参考 .参数 分隔符号, 文本型, 可空, 默认分隔符号为 “,” .局部变量 计次, 整数型 .局部变量 文本, 文本型, , "0" .如果真 (是否为空 (分隔符号)) 分隔符号 = “,” .如果真结束 文本 = 分割文本 (十六进制文本, 分隔符号, ) .如果真 (0 = 取数组成员数 (文本)) 返回 ({ }) .如果真结束 字节集变量 = 取空白字节集 (取数组成员数 (文本)) 计次 = 1 .判断循环首 (计次 ≤ 取数组成员数 (文本)) 字节集变量 [计次] = 到十进制 (文本 [计次]) 计次 = 计次 + 1 .判断循环尾 () .如果真 (是否为空 (字节集变量)) 返回 (字节集变量) .如果真结束 返回 ({ }) .子程序 到十六进制, 文本型, 公开, 返回转换后的十六进制文本 .参数 十进制数据, 整数型, , 传入十进制整型数据 .局部变量 结果, 文本型 结果 = 取十六进制文本 (十进制数据) .如果真 (取文本长度 (结果) % 2 = 1) 返回 (“0” + 结果) .如果真结束 返回 (结果) .子程序 字节集到十六进制, 文本型, 公开, 若参数一不为空,将返回空文本 .参数 文本变量, 文本型, 参考 可空, 保存转换后的十六进制.若空,以返回值返回结果 .参数 字节集数据, 字节集, 参考 .参数 分隔符号, 文本型, 可空, 默认分隔符号为 “,” .局部变量 计次, 整数型 .如果真 (是否为空 (分隔符号)) 分隔符号 = “,” .如果真结束 .如果真 (0 = 取字节集长度 (字节集数据)) 返回 (“”) .如果真结束 文本变量 = “” 计次 = 1 .判断循环首 (计次 ≠ 取字节集长度 (字节集数据)) 文本变量 = 文本变量 + 到十六进制 (字节集数据 [计次]) + 分隔符号 计次 = 计次 + 1 .判断循环尾 () 文本变量 = 文本变量 + 到十六进制 (字节集数据 [计次]) .如果真 (是否为空 (文本变量)) 返回 (文本变量) .如果真结束 返回 (“”) .子程序 读取MBR, 逻辑型 .参数 Mbrbase, 字节集 .局部变量 device, 整数型 .局部变量 pdevicename, 文本型 .局部变量 count, 整数型 .局部变量 statue, 逻辑型 .局部变量 安全结构, _OVERLAPPED Mbrbase = 取空白字节集 (#MBE结构长度) pdevicename = “\\.\physicaldrive0” device = CreateFile (pdevicename, 到十进制 (“80000000”), 到十进制 (“00000001”), 0, 3, 0, 0) ' .如果真 (device = -1) 返回 (假) .如果真结束 SetFilePointer (device, 0, 0, 0) statue = ReadFile (device, Mbrbase, #MBE结构长度, count, 安全结构) CloseHandle (device) 返
易语言远程控制源码_Windows SMBv3代码执行高危漏洞 (CVE20200796)利用源码公开通告...
weixin_39769183的博客
12-18 570
漏洞综述漏洞简介SMB(Server Message Block)协议是微软实现的Windows系统下文件、打印机共享功能的协议,是一种远程文件系统调用,近期出现的CVE-2020-0796漏洞存在于新式的SMB协议,即SMBv3,协议信息可以参考微软的公开文档[MS-SMB2].pdf。2020年3月12日,微软官方公布了CVE-2020-0796的安全公告(ADV200005,Mic...
MBR修改
weixin_30307267的博客
04-01 517
#include <windows.h> typedef struct _PT { char 活动标志; char 起始磁头号; char 起始扇区号; char 起始柱面号; char 分区格式标志; char 结束磁头号; char 结束扇区号; char 结束柱面号; long 分区...
MBR.rar_mbr_mbr硬盘锁_mbr锁_硬盘锁_硬盘锁mbr
09-24
gh0st3.6的硬盘锁代码,摘取出来优化了一下,可以运行
电脑硬盘格式 GPT-->MBR
工作时间
10-29 1538
转载于:http://jingyan.baidu.com/article/7c6fb42862d63a80642c90b8.html 现在的系统大都采用的是优先 MBR(主引导记录)引导系统,而部分电脑则采用的是优先 EFI(可扩展固件接口,一种先进的系统引导方式)引导系统。一般情况下,现今的电脑系统同时支持以上两种引导方式。当进行系统重装时,用前者优先引导系统总是不能装到后者引导的硬盘上
bootsect MBR VBR 磁盘 引导 修复
03-31
bootsect.exe(boot sector)是Windows vista/7中光盘中自带的一个程序,字面解释是引导扇区修复工具(boot sector restoration tool),是位于安装光盘boot目录下,体积很小不到100kb但却很实用。用该工具可以修复...
GPT引导修复
02-21
总的来说,虽然Windows 7在GPT分区上的安装和引导修复过程相对复杂,但通过理解GPT和MBR的区别,以及UEFI的工作原理,我们可以成功地在GPT上安装并修复引导问题。这个过程不仅能够解决实际问题,还能让你对计算机...
Linux系统修复mbr引导记录丢失
08-17
Linux系统修复mbr引导记录丢失
windows修复引导文件!!!
12-17
Windows的启动过程涉及多个引导文件,包括MBR(主引导记录)、Bootmgr(启动管理器)、BCD(启动配置数据)等。MBR位于硬盘的0扇区,负责加载Bootmgr;Bootmgr则负责选择合适的操作系统版本,并加载bcdedit存储的BCD...
易语言源码易语言MBR引导扇区解析源码.rar
02-17
易语言源码易语言MBR引导扇区解析源码.rar
易语言MBR引导扇区解析
08-22
易语言MBR引导扇区解析源码系统结构:十六进制到字节集,到十六进制,字节集到十六进制,读取MBR,取整型指针,到十进制,写入MBR,WriteFile,ReadFile,CreateFile,SetFilePointer,取整型指针_,CloseHandle,St
易语言mbr查看源码-易语言
06-13
易语言mbr查看源码
易语言MBR引导扇区解析源码
06-01
易语言MBR引导扇区解析源码。@易语言入门教程。
勒索病毒WannaCry深度技术分析
08-01
勒索病毒,WannaCry,想哭,深度技术分析。勒索病毒自从2017年开始全球泛滥,并且愈演愈烈,引起了广泛关注和广大技术爱好者的兴趣。这也给安全厂商带来了挑战。
MBR引导扇区解析.rar
04-05
MBR(Master Boot Record)引导扇区是个人计算机硬盘上的一个重要组成部分,它是系统启动过程中的第一步。MBR位于硬盘的第一个扇区,即512字节的0柱面、0磁道、1扇区,其内容包括了主引导程序、分区表以及结束标志。...
MBR勒索之动态调试获取解锁密码
信息安全
04-05 499
在之前已经说过面对MBR勒索如何手动修复MBR,这次我们通过动态调试的方法来获取密码进行解密 其实有时候我们拷贝出的第一个扇区使用ida以16位打开就直接可以看到密码,但有时并不是很幸运,像下面的并不能直接看到密码,ida静态分析16位程序又很吃力,所以使用ida远程调试MBR是最快捷得到密码的方法 首先配置一下远程调试MBR的环境 将要调试的虚拟机配置文件加入以下内容 bios.bootDe...
x86汇编-01编写MBR,看完后用脚都能写出的教程
好好活着,因为我们会死很久...
06-18 1756
文章目录一. 编写MBR1 实模式下显示字符的基本工作原理1.1 图形模式 原理图形模式的问题1.2 文本模式 原理1.2.1 文本模式 为什么需要引入内存映射1.2.2 显存映射至内存的分布1.2.3 显卡加电自检后的文本模式1.2.4字符显示属性2. 代码 MBR Master Boot Record3.CPU的特性3.1 段寄存器赋值3.3 为什么需要声明byte?3.4 为什么需要申明[es:0x01]?3.5 为什么mov cx,cs mov ds,cx这里的含义是什么?3.6 为什么是mov
易语言-易语言文件加密开源
06-25
易语言文件加密开源源码,源码可以对文件进行加密,勒索病毒也是此原理。
winhex修复MBR
最新发布
06-07
WinHex是一款专业的数据恢复工具,它可以用于对硬盘、U盘等存储设备进行深入的数据分析和恢复,包括修复 Master Boot Record (MBR)。MBR是位于硬盘第一扇区的一个小区域,它包含了引导加载程序和其他启动信息,如分区表。 当MBR损坏或被病毒、意外删除等原因破坏时,可能会导致计算机无法正常启动,因为系统无法找到有效的引导分区。WinHex可以通过以下几个步骤帮助修复MBR: 1. **启动WinHex**:在安全模式下或者使用引导光盘启动,确保WinHex在没有其他软件干扰的情况下运行。 2. **访问硬盘扇区**:在WinHex中选择“磁盘工具”或“低级磁盘访问”,然后定位到MBR所在的地址(通常是0x00-0x07C)。 3. **读取原始MBR**:检查并复制当前MBR的内容,这将作为后续恢复操作的备份。 4. **修复或替换MBR**:如果MBR数据已损坏,WinHex可能提供内置的MBR修复工具或者允许用户手动替换为一个已知良好的MBR样本,比如从其他正常的计算机上获取。 5. **保存更改**:修复后,记得将新的MBR写回到硬盘的相应位置,并保存修改。 6. **重启电脑**:尝试重启计算机,看是否能正常从修复MBR引导进入操作系统

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值