PeDoll - 范例2:使用API断点分析MBR勒索程序
step1.重复上一节的内容,将样本拷贝到调试机中,这里为 sample2.exe
step2.清理之前加载的脚本,重新挂载MBR勒索病毒脚本
step3.挂载目标程序,输入命令 doll db <D:\Sample2.exe>
,回车,然后连接,执行,触发断点
step4.命令输入hook WriteFile,监视MBR锁写入数据,然后点击执行抓取数据
step5.在数据中查看MBR锁密码
step1.重复上一节的内容,将样本拷贝到调试机中,这里为 sample2.exe
step2.清理之前加载的脚本,重新挂载MBR勒索病毒脚本
step3.挂载目标程序,输入命令 doll db <D:\Sample2.exe>
,回车,然后连接,执行,触发断点
step4.命令输入hook WriteFile,监视MBR锁写入数据,然后点击执行抓取数据
step5.在数据中查看MBR锁密码