前言:
写这篇文章不是为了传播病毒技术,而是让广大的电脑安全爱好者对病毒常用的伎俩有一个比较清楚的认识,才能更好的防范. 写的很菜,老鸟飘过~
主题:
利用驱动结束掉大部分的安全软件(eg. KV 2008, 瑞星,微点, 360),禁止一些ARK(反rootkits安全工具)的运行.(当然,不考虑主动防御如何禁止驱动的加载,现在前提是驱动已经加载.所以只讨论一个层面)
sudami [sudami@163.com]
http://hi.baidu.com/sudami
正文:
对KV 2008的分析
ps: R3下Kill 进程已经被炉子牛做的差不多了(万一ZwDulplicatXXX被挂了就失效了),所以略过~~~
KV 2008前段时间鼓吹IS结束掉它,其实没什么神秘的地方.好多牛已经讨论过了.驱动下结束它很简单.打开RKU扫描一下, 为了保护自己的进程, 江民做了3处inline hook, 3处SSDT HOOK
1. kill进程最好自己实现结束进程的全过程,恢复一些必须的inline hook,每次调用前恢复一次.其实一路写到PspExitThread很不稳定, 因为IRQL,线程调度, 线程等待状态等各种原因,容易BSOD~ 俺这里偷懒了.
2. 修改IE首页就是调用ZwXXX系列,一个线程反复的写.和piaoxue的驱动差不多. 其实简单的调用一个更底层的函数CmXXXX就可以防范了.
3. 隐藏文件,无非是SSDT hook,只是加了个KTimer反复hook,骗骗菜鸟还行
4. 还有其他的诸如替换beep.sys, 感染mpXXX.sys, R3层加个线程弹 页, 禁用”组策略”,autorun.inf等等,病毒用的很多, 实现起来也不复杂,所以同学们不要觉得很神秘.知道原理就能防患于未然.
——————————————————————————————————
驱动无壳无花,可IDA直接F5.
附件为测试程序. 请不要在主机上运行. 万一中毒,设置注册表的修改权限为”完全禁止”,重启后删除C:/WINDOWS/SYSTEM32/Driver/sudami.sys 即可.
————————————————————————
参考资料:
(1) 搜索未导出的函数地址
(2) 句柄啊,3层表啊,ExpLookupHandleTableEntry啊
(3) PsLookupProcessByProcessId执行流程
(4) 360SuperKill–恢复FSD的IRP处理函数
(5) WRK,ReactOS
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!