最近遇到了一個惡意軟件，劫持主頁，其實也不算劫持吧，技術也不算多高明，

下面整套分析流程全部在IDA內部做，沒有作一丁點調試。

不是我不會調試，只不過我感覺，這玩藝挺簡單的，還要上手來調試，有點失身份，有點大材小用。

註冊minifilter實現目錄隱藏

準備目標進程列表

準備三個回調，真正幹活的

如果操作系統版本符合要求，那麽直接開始ARK功能，這是最大亮點

ARK函數內部，幹掉了3個回調

鏡像加載回調摘取的部分，獲取鏡像加載回調列表，得到所有回調之後，判斷是哪個模塊裏面的，

如果是目標模塊裏面的，直接幹掉

進程創建回調部分，也是這樣

嘗試直接卸兩個模塊

主要功能如上，其實還有一些網絡相關的功能，我沒註意看。

然後開始說程序劫持主頁的完整流程吧。

進程創建回調，判斷自己進程是不是要幹的，如果是把進程信息整理一下，放到一個LIST中，準備給後面用

鏡像加載回調裏面，判斷當前進程是否是目標進程，直接去上面列表裏面找，就是了

如果是目標進程，判斷當前加載的是哪個dll，根據不同的dll，來決定當前執行到哪一步了

ntdll 模塊加載的時候，直接把當前驅動內部的一個shellcode和內置的DLL放到目標進程裏面

插APC，啟動shellcode

shellcode裏面的工作，不用看別的，最後一個函數，其實就是在調用DLL的入口，

DLL代碼，沒怎麽太詳細地看，但是後面直接就是這個，很明白了

直接創建進程，之後就是exit了

最後，再說一下它的亮點，其實它摘掉那些回調，主要就是為了防止別的模塊，再把自己啟動的IE給劫走

OK，結束了，整體完成

最近過年，都不消停