乱下载软件致MBR锁机，逆向分析自救

本文为看雪论坛优秀文章看雪论坛作者ID：Axinger在某企鹅群里发现了这个东西：我一看：你这辅助打激素了？长得那么肥？于是我直接给他打开。不讲武德！偷袭！这不得让你进1W3好好玩玩？脱壳不查壳了，直接扔进来。通过观察我们基本可以断定是upx。那就用我们最爱的ESP定律吧！单击F8向下走一步。然后右键ESP，点击一键断点。如果你的OD没有这个功能的话,那就点击跟随到数据窗口，在数据窗口第一行右键，如下图：之后我们F9直接运行。断点下来之后在jmp命令上按F4(可能要按两次)。之后单击F8即可跳转到OEP。分析但我发现即使跳转到OEP字符串也不是熟悉的易语言。于是我下了一个CreateFileA的断点。他释放了一个dll，暂时不清楚是干嘛用的。反正不是好东西。现在转到00401000搜索字符串。真行啊字符串都不加密，这不就和裸奔一样了吗？然后我 ………………………………