伊人久久综合热线大杳蕉_ 機器狗四大變種詳細分析

Explorer.exe機器狗-分析（逆向工程）

文章末尾所添加的機器狗、IGM、寫(xiě)穿還原的工具

樣本脫殼
OD加載樣本explorer.exe，

對GetModuleHandleA下斷，參數為NULL時(shí)即為入口點(diǎn)處對此函數的調用，
退出CALL之后可以得到入口為 004016ED。
重新加載樣本，對004016ED下內存寫(xiě)入斷點(diǎn)，中斷后StepOver一步，然后在004016ED
下斷點(diǎn)，F9運行到入口，DUMP。DUMP之后不關(guān)閉OD，讓樣本處于掛起狀態(tài)，使用ImportREC修復DUMP
出來(lái)的文件的導入表。
修復之后DUMP出來(lái)的文件用OD加載出錯，使用PEDITOR的rebuilder功能重建PE之后即可用OD加載，說(shuō)明
脫殼基本成功，但資源部分仍有問(wèn)題,無(wú)法用Reshacker查看

pcihdd.sys的提取
OD加載樣本explorer.exe，設置有新模塊加載時(shí)中斷，F9運行
當ADVAPI32.DLL加載時(shí)，對CreateServiceA下斷點(diǎn)，F9運行
當CreateServiceA中斷時(shí)，即可提取出pcihdd.sys

pcihdd.sys基本流程如下
1)檢查IDT的09（NPX Segment Overrun）和0E（Page Fault ）處理程序的地址
如果09號中斷處理程序存在，并且處理程序地址的高8位與0E處理程序高8位不同，則把
IDT中0E的高16位設為0。估計是檢查0E是不是被HOOK了
我比較齷齪，看不懂這些操作的意思，這樣不BSOD？請懂的兄弟跟帖告訴一聲
2)通過(guò)搜索地址來(lái)查找自己的加載地址
查找驅動(dòng)文件的資源中的1000/1000,并復制到一個(gè)全局緩沖區中
3)創(chuàng )建了\Device\PhysicalHardDisk0及其符號連接\DosDevices\PhysicalHardDisk0
4)只對IRP_MJ_CREATE
IRP_MJ_CLOSE
IRP_MJ_DEVICE_CONTROL
作出響應

其中IRP_MJ_CREATE中會(huì )斷開(kāi)\Device\Harddisk0\DR0上附加的設備。這個(gè)操作會(huì )使磁盤(pán)過(guò)濾驅動(dòng)、文件系統
驅動(dòng)(OS提供的，
但一些殺毒軟件
也通過(guò)此渠道進(jìn)行文件系統監控）及其上的文件系統過(guò)濾驅動(dòng)（大多數文件訪(fǎng)問(wèn)控制和監控
都是這個(gè)層次的）無(wú)效
在IRP_MJ_CLOSE 中對恢復DR0上的附加

在IRP_MJ_DEVICE_CONTROL中對0xF0003C04作出響應，只是把2)中找到的資源數據解密后返回到應用程序。
解密密鑰是通過(guò)應用程序傳入的一個(gè)串（密鑰種子？）查表后產(chǎn)生(KEY：0x3f702d98)

0xF0003C04的作用：
將用戶(hù)態(tài)傳入的整個(gè)代碼體作為密鑰種子對這個(gè)代碼體進(jìn)行類(lèi)似于校驗和的運算后得
到4字節的解密KEY，然后使用此解密key將驅動(dòng)自身攜帶的資源解密（僅僅是XOR），將解密
結果返回給用戶(hù)態(tài)。

關(guān)于解除DR0上的附加設備：
這種操作應該會(huì )影響系統正常的文件系統操作，但是因為實(shí)際操作時(shí)此驅動(dòng)被打開(kāi)和關(guān)閉的的間隔很短，所以應該
不會(huì )有明顯影響。

explorer.exe流程
1、釋放資源中的pcihdd.sys并創(chuàng )建名為pcihdd的服務(wù)，啟動(dòng)服務(wù)
2、定位userinit.exe在硬盤(pán)中的位置。定位方法如下
1)通過(guò)FSCTL_GET_RETRIEVAL_POINTERS獲取文件數據的分布信息

2)通過(guò)直接訪(fǎng)問(wèn)硬盤(pán)(\\\\.\\PhysicalHardDisk0)的的MDR和
第一個(gè)分區的引導扇區得到分區參數(每簇扇區數),配合1)中得到的信息
來(lái)定位文件在硬盤(pán)上的絕對偏移量。
這里有個(gè)小BUG，扇區大小是使用固定的512字節而不是從引導扇區中獲取

3)通過(guò)對比ReadFile讀取的文件數據和自己定位后直接
讀取所得到的文件數據，確定定位是否正確
3、把整個(gè)代碼體作為參數傳遞給pcihdd.sys,控制碼0xF0003C04，并將pcihdd返回
的數據直接寫(xiě)入userinit.exe的第一簇

被修改后的userinit.exe
1）查詢(xún)SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的Shell鍵值
2）創(chuàng )建Shell進(jìn)程
3）等待網(wǎng)絡(luò )鏈接，當網(wǎng)絡(luò )鏈接暢通后，則從http://yu.8s7.net/cert.cer下載列表

4）對于列表中的文件每個(gè)文件，創(chuàng )建一個(gè)新線(xiàn)程下載并執行，線(xiàn)程計數加一（INC）
5）等待所有線(xiàn)程結束后（線(xiàn)程計數為0）結束進(jìn)程。

對于線(xiàn)程計數的操作并不是原子操作，理論上多CPU情況下有小的概率出問(wèn)題。
不過(guò)人家是寫(xiě)針對普通PC的病毒，多CPU不常見(jiàn)，也不需要穩定

文中所指的病毒就是一般說(shuō)的新AV終結者

機器狗：http://www.esfast.net/downs/explorer.rar

IGM：http://www.esfast.net/downs/IGM.rar

寫(xiě)穿還原的工具：http://www.esfast.net/downs/SectorEditor.zip

目前防護辦法可以選用新的第三代還原軟件。

08機器狗變種二：注入"spoolsv.exe"進(jìn)程

0、檢查explorer.exe、spoolsv.exe是否有ntfs.dll模塊，并查找“ssppoooollssvv”字符串（互斥體）

如果發(fā)現，則退出。

1、首先啟動(dòng)一個(gè)進(jìn)程：spoolsv.exe，這是一個(gè)打印服務(wù)相關(guān)的進(jìn)程。

即便是禁用系統的打印服務(wù)，它仍然可以由機器狗啟動(dòng)。

從任務(wù)管理器可以發(fā)現，這是一個(gè)當前用戶(hù)級的權限，很容易區別

2、臨時(shí)文件夾和%SystemRoot%\system32\drivers\釋放Ntfs.dll。

并嘗試注入spoolsv.exe。測試時(shí)沒(méi)有實(shí)現。

3、根據病毒體內的加密字符串解密：

10004180=userinit.10004180 (ASCII "NB0dDqN55bCYi1jO4jtulzpa2G3iC244")（ecx）

77C178C0 8B01          mov    eax, dword ptr ds:[ecx]
77C178C2 BA FFFEFE7E    mov    edx, 7EFEFEFF
77C178C7 03D0          add    edx, eax
77C178C9 83F0 FF       xor    eax, FFFFFFFF
77C178CC 33C2          xor    eax, edx
77C178CE 83C1 04       add    ecx, 4 \\循環(huán)
77C178D1 A9 00010181    test eax, 81010100

每次取雙字節，與7EFEFEFF相加。（Edx）

再將雙字節內的數據和FFFFFFFF異或（Eax）

然后xor    eax, edx

最后解密得：hXXp://a1.av.gs/tick.asp

從這個(gè)網(wǎng)站獲得urlabcdown.txt。讀取里面的內容：

http://down.malasc.cn/plmm.txt

最后下載27盜號木馬，品種還是比較齊的，大話(huà)、夢(mèng)幻、機戰、奇跡、傳奇、QQ、QQgame等。

釋放路徑是：%SystemRoot%\system32\drivers。

4、加載驅動(dòng)%SystemRoot%\system32\drivers\puid.sys：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\puid]
"Type"=dword:00000001
"Start"=dword:00000003
"ErrorControl"=dword:00000000
"ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,70,00,75,00,69,00,64,00,2e,00,73,\
00,79,00,73,00,00,00
"DisplayName"="puid"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\puid\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\puid\Enum]
"0"="Root\\LEGACY_PUID\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

并釋放iefjsdfas.txt，里面記錄一些puid.sys信息。

如果iefjsdfas.txt里面的內容和實(shí)際的不符合，可能判斷為puid.sys是免疫文件夾或無(wú)效文件。

這時(shí)候它可能會(huì )刪除這個(gè)文件，再重新加載。

（未證實(shí)，我禁止了它的驅動(dòng)加載）

5、記錄一個(gè)進(jìn)程快照，每隔30秒執行一次。如果發(fā)現以下字符串則結束：

antiarp.exe
360tray.exe
360Safe.exe

6、另外那個(gè)puid.sys可能會(huì )修改userinit.exe達到穿透還原的目的。

來(lái)自：孤獨更可靠

08機器狗變種三：注入"conime.exe"進(jìn)程

conime.exe是輸入法編輯器相關(guān)程序，早期用來(lái)傳播igm病毒，現在也成為機器狗的載體。穿透后，成為一個(gè)木馬下載器病毒。

08機器狗變種四：注入"ctfmon.exe"進(jìn)程

找不到~輸入法被的圖標沒(méi)有了，就是文字服務(wù)和輸入語(yǔ)言->高級->關(guān)閉高級文字服務(wù)  那里打勾了~怎么去也去不掉。

還找到了病毒下載其他病毒木馬的地址列表文件：C:\\WINDOWS\\system32\\tutility.txt

本站僅提供存儲服務(wù)，所有內容均由用戶(hù)發(fā)布，如發(fā)現有害或侵權內容，請點(diǎn)擊舉報。

欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久