原创:BIOS之家DBSLDR简单分析

pentacle

原创:BIOS之家DBSLDR分析
作者:黑土

还是那句话,做人莫装13,装13遭雷劈!

好了,分析开始.

分析目标:
DBSLDR V1.0.96.5
MD5: 18A81FDEAAB401CB3BCABF4D3C5B9B43
PECompact V2.X-> Bitsum Technologies

经分析,实际上是易语言写的.所以很多杀软灰常爱报毒,加之加了一个PECompact的木马常用壳.所以报毒是易之加易.
所以,加壳时注意啊...

其实这个软件也没在太多新意.
和之前分析的那个Win7 loader 的分析 差不多.
区别无非是一个是CMD打包,一个是易语言编译.本质还是一样的.
好,现在就把核心的东西搞出来吧.

0046E9BC    55              push    ebp                              ; 安装按钮事件开始地址
0046E9BD    8BEC            mov     ebp, esp
0046E9BF    81EC 24000000   sub     esp, 24

.........

我只贴关键处开始代码.然后大家自己跟一下就行了.
我这只贴默认核心代码,其它的自行跟踪.

0046EEE6    E8 980D0000     call    0046FC83                         ; 释放安装用bootsect.exe到临时目录
0046EEEB    83C4 1C         add     esp, 1C
0046EEEE    FF35 B005D600   push    dword ptr [D605B0]
0046EEF4    68 FE1F4500     push    00451FFE                         ;  /NT60

eax=001E3008, (ASCII "C:\DOCUME~1\360\LOCALS~1\Temp\25564a.tmp /NT60  C:")


说明一下:
25564a.tmp 实际上是修改过的bootsect.exe
作用是把bootsect中的bootmgr都修改为了esldr，这样写入MBR后，系统会首先寻找esldr，在esldr中运行完acpi后再运行bootmgr启动win7。

完成上面的操作后,再将C:\ntldr文件复制一份命名为C:\boormgr.

-----------------------------------------------------------------------------------
接下来,分析卸载过程.

0046DEAB    55              push    ebp                              ; 卸载过程
0046DEAC    8BEC            mov     ebp, esp
0046DEAE    81EC 20000000   sub     esp, 20

0046DFDE    E8 A01C0000     call    0046FC83                        ; 释放卸载用bootsect.exe到临时目录
0046DFE3    83C4 1C         add     esp, 1C
0046DFE6    FF35 B005D600   push    dword ptr [D605B0]
0046DFEC    68 FE1F4500     push    00451FFE                         ;  /NT60

0012F4D0   001E3200  ASCII "C:\DOCUME~1\360\LOCALS~1\Temp\255649.tmp /NT60  C:"
说明一下:
255649.tmp 实际上是未修改的bootsect.exe,其作用就是还原bootmgr.

嗯.简单分析.
原理其实看批处理比跟踪这个EXE清晰.

感兴趣的就照着这个写一个吧.

关键点如下:

1.修改安装用bootsect.exe,可以自己定义esldr这个名字.再使用上面命令行.详细可以参见Win7 loader 的分析
2.GRLDR部份未将详细分析.感兴趣的再读读http://bbs.znpc.net/viewthread.php?tid=5498&extra=&page=1文章.
这里有关于证书替换方面的信息.这也是我上文中没有提到的地方.

好了.回家去了...

pentacle

下面把核心文件也附上.
供大家学习参考之用....

jingyb

高手就是高手，这样看来，这个程序实际上也就是在系统启动时先加载指定的SLIC，然后再启动系统，实际上也就是软激活

momingyinian

运用之妙存乎一心！所谓知其然知其所以然！这就是境界！

ccje123

高手就是高手

ccje123

学习参考一下

tcl123

分析的还真不错，学习了！

pehui

高手就是高手，这样看来，这个程序实际上也就是在系统启动时先加载指定的SLIC，然后再启动系统，实际上也就是软激活
jingyb 发表于 2009-10-23 22:01

人家作者本來在說明裏面就寫清楚了的：
“類似軟改，但强軟改，與硬改相比，風險為0，且其原理更不容易被微軟查封”
說明裏面還特別介紹了軟件原理。

還有啥好分析的？不就重複作者的話嗎？

作者原帖：http://bbs.bios.net.cn/thread-110815-1-1.html

各位去拜讀一下吧。

pehui

这个类似于“软改”，但强于“硬改”，不修改操作系统的任何文件，所以是无法被封的。不要再为一些无法Mark或MOD的BIOS想破了头。对自己爱机非常安全！
特点：
不破坏MBR（IBM等原有的一键恢复仍然好用）支持微软隐含分区，（X86/X64兼容），几乎支持所有机型。非常安全，有任何问题可以用Win7光盘修复一下启动就行。自动覆盖原生或半原生或自己修改的SLIC表，不会出现两个SLIC表。当然不是修改BIOS中SLIC表，这一切都在RAM中进行。

原理：
在分区（BOOTSECT）启动时，动态加载SLIC到RAM，然后再启动“BOOTMGR”。

作者原話全文。

pentacle

{:4_121:}
又见一个90后...

什么叫软激活什么叫硬激活都搞不清...