最近過年,都不消停
阿新 • • 發佈:2018-02-12
png filter 註冊 img mage 高明 shellcode 操作系統 目錄
最近遇到了一個惡意軟件,劫持主頁,其實也不算劫持吧,技術也不算多高明,
下面整套分析流程全部在IDA內部做,沒有作一丁點調試。
不是我不會調試,只不過我感覺,這玩藝挺簡單的,還要上手來調試,有點失身份,有點大材小用。
註冊minifilter實現目錄隱藏
準備目標進程列表
準備三個回調,真正幹活的
如果操作系統版本符合要求,那麽直接開始ARK功能,這是最大亮點
ARK函數內部,幹掉了3個回調
鏡像加載回調摘取的部分,獲取鏡像加載回調列表,得到所有回調之後,判斷是哪個模塊裏面的,
如果是目標模塊裏面的,直接幹掉
進程創建回調部分,也是這樣
嘗試直接卸兩個模塊
主要功能如上,其實還有一些網絡相關的功能,我沒註意看。
然後開始說程序劫持主頁的完整流程吧。
進程創建回調,判斷自己進程是不是要幹的,如果是把進程信息整理一下,放到一個LIST中,準備給後面用
鏡像加載回調裏面,判斷當前進程是否是目標進程,直接去上面列表裏面找,就是了
如果是目標進程,判斷當前加載的是哪個dll,根據不同的dll,來決定當前執行到哪一步了
ntdll 模塊加載的時候,直接把當前驅動內部的一個shellcode和內置的DLL放到目標進程裏面
插APC,啟動shellcode
shellcode裏面的工作,不用看別的,最後一個函數,其實就是在調用DLL的入口,
DLL代碼,沒怎麽太詳細地看,但是後面直接就是這個,很明白了
直接創建進程,之後就是exit了
最後,再說一下它的亮點,其實它摘掉那些回調,主要就是為了防止別的模塊,再把自己啟動的IE給劫走
OK,結束了,整體完成
最近過年,都不消停