Petyaと遊ぼう(4)

さて、いつぞやにpetyaを実行したVMのイメージは残っているだろうか??(起動してもドクロがピカピカするやつ)
今回はVMイメージからpetyaが書き換えてしまったMBRの取り出しをやってみたい。

こんごのさぎょうのながれ
  1. VMイメージをrawフォーマットに変換(vmdk統合必要な場合は先にやっとく)
  2. ddでMBRを切り出し
  3. bochsでドクロをpkpkさせる
  4. MBRのコードを見てwktkする
  5. 解散

まずは、、
仮想ディスクイメージである.vmdkからrawフォーマットに変換する。
https://eelsden.net/blog/q1lk2m/qfks6b

VMイメージのハードディスクサイズがデカめだと、rawに変換したときにクッッッッソ巨大になるので注意してくれ。
変換エラーできませんエラーが出たら疑ってみて。実験環境のハードディスク容量が十分にあるか。
数GBだとたぶん足りん。できたら数百GBはほすぃとこ。

またrawフォーマットに変換する前に、、
ファイル名が..-s00x.vmdkこんな感じになってるときは.vmdkをひとつに統合しておく必要がある。
Windows 7-000003-s007.vmdk
Windows 7-000003-s006.vmdk
Windows 7-000003-s005.vmdk
....

vmware-vdiskmanagerっていうのでできるんだが、vmware playerには入ってないのね。。
ので別途vmwareのサイトから取ってくる必要があります。
https://server-setting.info/blog/vmware-disk-file-marge.html


rawフォーマットに無事変換できただろうか?
ddコマンドで必要な部分だけ切り出そう。
http://www.atmarkit.co.jp/ait/articles/1711/30/news027.html

こんな感じで。
dd if=xx.raw of=petya.img bs=512k count=20

ddなんてコマンドねぇぞ!!?
ってこともあるかもしれん。cygwinを入れるかWindows用のddを取ってくるかlinux系OSを持ってくるかお任せします。
http://www2.kuma.u-tokai.ac.jp/~kfuji/cygwin/cygwin.htm

バイナリエディタで開くとこんな感じになってるかい??
https://www.vector.co.jp/soft/win95/util/se079072.html




























偽CHKDSKの部分も入ってるみたいだ!!




























次回、bochsでドクロをpkpkさせる!!の巻。

Comments

Post a Comment

Popular posts from this blog

Firmware dumping via SPI

Image
I tried firmware dumping via SPI with Attify badge and Attify OS. Target camera is this one.. This camera seems to be famous among the IoT hackers. You would find many IoT hacking blogs about this camera. After the preview, I have extracted board. This time, I'd like to focus on Flash memory. It looks mxic mx25l12835f. From model number, we can find data-sheet. MX25L12835F . Now, let's connect flash memory pin and Attify Badge. Attify badge pin layout is.. D0 : SCK D1 : MISO  D2 : MOSI  D3 : CS  I have connected flash memory and Attify badge like this. D0 - SCLK(6) D1 - SI(5)  D2 - SO(2)  D3 - CS(1)  GND - GND(4)  3.3V - VCC(8)  3.3V - RESET(7)  3.3V - WP(3)  We dont need to connect power plug to camera. It is supplied via badge. For testing, trying spiflash.py and -i parameter. According to the python code, it returns ChipID. This command can be used for connectivity tesingt. "00 00 00" or "FF FF FF" seem to mean fai
Read more

BochsでMBR debugging

Image
今回は前回取り出したPetyaに書き換えられてしまったMBRをBochsで動かしてみよう。 https://ja.wikipedia.org/wiki/Bochs Bochsはここから入手できる。 http://bochs.sourceforge.net/getcurrent.html Bochsも前に出てきたVMware同様PCエミュレータなのだけど、 こいつはMBRのdebugができてしまうんだ。 OSが起動するより前のコードを追えるってわけだね。 そりゃ面白そうだ~笑 キモは設定ファイルの書き方くらいかなと。 サンプルの設定ファイルがあるのでチェックしてみて。 Bochs-2.6.9\bochsrc-sample.txt   多分もっとシンプルにもできるんだと思うんだけど、、 筆者のはこんな感じ。 romimage: file=$BXSHARE/BIOS-bochs-latest vgaromimage: file=$BXSHARE/VGABIOS-lgpl-latest megs: 16 ata0: enabled=1, ioaddr1=0x1f0, ioaddr2=0x3f0, irq=14 ata0-master: type=disk, path="petya.img", mode=flat, cylinders=1, heads=16, spt=63 boot: disk vga: extension=vbe mouse: enabled=0 log: nul logprefix: %t%e%d panic: action=fatal error: action=report info: action=report debug: action=ignore   こいつをファイル名を変えてbochsrcとして保存。.txtもいらない。 Bochs-2.6.9\bochsrc 設定ファイルのポイントは赤文字のところ!! path="" には取り出したMBRのパスを記入する。 そして、もうひとつ重要なのが、Bochsに読み込ませるディスクイメージのサイズは512の倍数でなければいけないんだ。 どういうこっちゃ??なのだけど、、 切り出したMBRをバイナリエディタで読み
Read more

BLE sniffing with UbertoothOne

Image
This time, I'd like to try monitoring smartlock's BLE packets with Ubertooth One. Smartlock  use this dongle and Ubertooth One Find BLE device  check BLE dongle is connected. ➜ ~ sudo hciconfig hci0: Type: BR/EDR Bus: USB BD Address: 00:1A:7D:DA:71:13 ACL MTU: 310:10 SCO MTU: 64:8 UP RUNNING PSCAN RX bytes:622 acl:0 sco:0 events:38 errors:0 TX bytes:952 acl:0 sco:0 commands:38 errors:0 Let's find BLE devices ➜ ~ sudo hcitool lescan LE Scan ... 30:F8:3F:06:4F:6F (unknown) 30:F8:3F:06:4F:6F (unknown) 30:F8:3F:06:4F:6F (unknown) 18:62:E4:46:60:AB (unknown) <------ 18:62:E4:46:60:AB BlueFPL <------ 30:F8:3F:06:4F:6F (unknown) 30:F8:3F:06:4F:6F (unknown) 30:F8:3F:06:4F:6F (unknown) Then, trying gatttool. Peripheral is defined by service and characteristic. Each service contains charateristics which contains data. ➜ ~ sudo gatttool -I -b 18:62:E4:46:60:AB [ ][18:62:E4:46:60:AB][LE]> connect [CON][18:62:E4:46:60:AB][LE]> primary [CON][18:
Read more