xikug

驱动小牛

注册日期2001-09-25
最后登录2013-09-27
粉丝1
关注0
积分1001分
威望169点
贡献值0点
好评度168点
原创分1分
专家分0分

加关注写私信

阅读：24681回复：82

【原创】360最新cnnic专杀工具－360SuperKill“破冰”技术逆向分析

楼主^#

更多发布于：2007-01-31 18:36

破冰技术简介（新闻里看到的）：

破冰(Kill Defence)”技术最大的改进在于,以前的一些查杀技术是在恶意软件释放驱动之前,占住驱动的位置,但是如果恶意软件改变释放的驱动或者将位置提前,这种技术就很难奏效了,这也是为什么现在的许多恶意软件清除工具无法删除CNNIC的原因.而“破冰(Kill Defence)”技术,能够直接删除掉恶意软件的驱动,对用户电脑进行保护. 

安全专家表示,多数反恶意软件对基于“应用层”的恶意软件都能很好地查杀,但一旦涉及到驱动层面,“事情变得非常麻烦”.“CNNIC中文上网”是将这种技术使用到极致的一款软件,而奇虎360安全卫士也是目前唯一能够将其彻底卸载的反恶意软件,这就是引发CNNIC和奇虎口水战的根本原因.

花了两天时间逆向360安全卫士鼓吹的他们的“破冰”技术，结果发现，360的驱动代码写得比较龌龊，很多地方存在不安全因素，强制脱所有FileSystem Filter Driver链，使一些依赖FileSystem Filter Driver的正常软件（很多杀软依赖于Filter Driver）无法正常工作。。。需要重启后再用360查杀。。。
360的cnninc专杀应用层居然是用易语言写的。。。汗。。。(因为我不懂)

我前段时间自己也写了个反流氓引擎，不需要恢复什么，不脱链，直接击穿cnnic的所有保护，干净的干掉它而不需要重启。。。跟360的引擎相比要略胜一筹，心中窃喜。。。

360所谓的破冰技术有以下几点：
1. 恢复FSD Hook
2. 恢复FSD Inline Hook
3. 直接入FSD发送IRP删除文件
4. 移除SHUTDOWN NOTIFY
5. 移除进程监控通知(没看到杀cninc的时候调用)
6. 移除线程监控通知(没看到杀cninc的时候调用)
7. 移除模块加载通知(没看到杀cninc的时候调用)

具体的完整分析见ida的文件，源代码除了专杀工具没有调用的函数之外，其他的都按照反汇编出来的结果实现还原了，有些代码不尽人意，那是因为原作者就是那样写的代码，我只是忠实的还原出来。。。

用自己的驱动替换原来的驱动：

图片：360SuperKill.jpg

附件名称/大小下载次数最后更新: 360SuperKill.rar (206KB) 652 2007-01-31 18:36

喜欢2

最新喜欢：

lipeng...

always...

http://www.debugman.com

tornodo 驱动牛犊注册日期2010-05-27 最后登录2011-09-17 粉丝0 关注0 积分5分威望51点贡献值0点好评度0点原创分0分专家分0分加关注写私信	沙发^# 发布于：2011-07-30 08:33 支持一下，学习
	回复(0) 喜欢(0)

bluezhao 驱动牛犊注册日期2010-01-05 最后登录2011-12-10 粉丝0 关注0 积分16分威望161点贡献值0点好评度0点原创分0分专家分0分加关注写私信	板凳^# 发布于：2010-02-21 21:39 show show
	回复(0) 喜欢(0)

yun-feiyang 驱动牛犊注册日期2009-01-05 最后登录2009-05-08 粉丝0 关注0 积分3分威望31点贡献值0点好评度0点原创分0分专家分0分加关注写私信	地板^# 发布于：2009-04-24 15:23 逆向高人啊, 本人汇编还不会呢.
	回复(0) 喜欢(0)

xxyyzas123 驱动牛犊注册日期2008-08-14 最后登录2009-10-19 粉丝0 关注0 积分3分威望31点贡献值0点好评度0点原创分0分专家分0分加关注写私信	地下室^# 发布于：2008-12-27 00:18 膜拜......
	回复(0) 喜欢(0)

xxyyzas123 驱动牛犊注册日期2008-08-14 最后登录2009-10-19 粉丝0 关注0 积分3分威望31点贡献值0点好评度0点原创分0分专家分0分加关注写私信	5楼^# 发布于：2008-12-27 00:18 膜拜
	回复(0) 喜欢(0)

elva1 驱动牛犊注册日期2006-03-16 最后登录2016-01-09 粉丝0 关注0 积分3分威望34点贡献值0点好评度22点原创分0分专家分0分加关注写私信	6楼^# 发布于：2008-03-17 12:59 高手
	回复(0) 喜欢(0)

equationdz

驱动牛犊

注册日期2007-09-18
最后登录2010-02-04
粉丝0
关注0
积分163分
威望37点
贡献值0点
好评度15点
原创分0分
专家分0分

加关注写私信

7楼^#

发布于：2007-11-19 00:38

楼主水平比较牛....

学习逆向工程ing。。。

回复喜欢

liuyan1

驱动老牛

注册日期2001-08-27
最后登录2023-04-18
粉丝0
关注0
积分1031分
威望477点
贡献值0点
好评度187点
原创分0分
专家分0分

加关注写私信

8楼^#

发布于：2007-07-15 09:30

强帖需留名，虽然看不懂。

楼上的客，楼下的客，听我老坎说明白，要苛屎有草纸，不要扯我的麦席子，要苛尿有夜壶，不要在床上划地图。

回复喜欢

carwin 驱动牛犊注册日期2007-05-27 最后登录2010-03-15 粉丝0 关注0 积分304分威望71点贡献值0点好评度30点原创分0分专家分0分加关注写私信	9楼^# 发布于：2007-06-01 09:02 以后看来得自己写个简单的类似dos的操作系统，自己些ntfs驱动，然后考入光盘，--杀毒去流氓光盘，叫用户每天放入光驱启动，杀一次才行。应该任何的流氓软件都没折了吧。。。？
	回复(0) 喜欢(0)

carwin 驱动牛犊注册日期2007-05-27 最后登录2010-03-15 粉丝0 关注0 积分304分威望71点贡献值0点好评度30点原创分0分专家分0分加关注写私信	10楼^# 发布于：2007-06-01 08:36 大家多向楼主学习啊，经验和代码都拿来分享。建议牛人大哥些多分享点这些非绝密技术。毕竟，我觉得看代码才是进步最快的方式，理论和实际之间还有十万八千里的。
	回复(0) 喜欢(0)

bbbsl 驱动牛犊注册日期2005-01-24 最后登录2019-01-10 粉丝0 关注0 积分21分威望12点贡献值0点好评度2点原创分0分专家分0分加关注写私信	11楼^# 发布于：2007-03-29 07:16 本来是来学驱动的，进了这版一眼瞅见N多。。。还以为走错地方了
	回复(0) 喜欢(0)

slwqw 驱动大牛注册日期2002-07-18 最后登录2016-01-09 粉丝0 关注0 积分7分威望197点贡献值0点好评度147点原创分0分专家分0分加关注写私信	12楼^# 发布于：2007-02-18 18:18 *引用第70楼wowocock于2007-02-14 21:48发表的“”*: 都成熟练工了,嘿嘿..... 难道就是传说中的IT熟练民工？
	回复(0) 喜欢(0)

wowocock

VIP专家组

注册日期2002-04-08
最后登录2016-01-09
粉丝16
关注2
积分601分
威望1651点
贡献值1点
好评度1227点
原创分1分
专家分0分

加关注写私信

13楼^#

发布于：2007-02-14 21:48

都成熟练工了,嘿嘿.....

花开了，然后又会凋零，星星是璀璨的，可那光芒也会消失。在这样一瞬间，人降生了，笑者，哭着，战斗，伤害，喜悦，悲伤憎恶，爱。一切都只是刹那间的邂逅，而最后都要归入死亡的永眠

回复喜欢

WQXNETQIQI

驱动大牛

注册日期2006-06-12
最后登录2010-10-26
粉丝0
关注0
积分13分
威望1076点
贡献值0点
好评度895点
原创分1分
专家分0分

加关注写私信

14楼^#

发布于：2007-02-14 18:09

引用第67楼guaiguaiguan于2007-02-14 14:27发表的“”:

建议奇虎和CNNIC合并，举行联合军事演习，360safe师团组建红队，cnnic师团成立蓝队，在10000000小时内抢占8848高地。

不过你留心点，没准明天放假前，cnnic会接着升级，这样你的新版本又不好使了。最好邮件通知他们，让他们在程序升级前，第一时间通知你。我还指望大年三十用你的对抗版本杀cnnic呢。

刚回家，不管它什么时候更新，最多基本可以在2小时内反应，你就放心吧

驱动开发者呵呵

回复喜欢

killvxk

论坛版主

注册日期2005-10-03
最后登录2014-04-14
粉丝3
关注1
积分1082分
威望2003点
贡献值0点
好评度1693点
原创分2分
专家分0分

加关注写私信

15楼^#

发布于：2007-02-14 16:33

引用第66楼guaiguaiguan于2007-02-14 14:22发表的“”:

强啊？可以做VMWare了，展开一下讲讲，我比较笨。

老板说专利申请下来之前不许对组织外面的人讲详细的东西~~

没有战争就没有进步 X3工作组为您提供最好的军火

回复喜欢

guaiguaiguan

驱动中牛

注册日期2003-10-11
最后登录2011-01-12
粉丝0
关注0
积分14分
威望556点
贡献值0点
好评度490点
原创分0分
专家分0分

加关注写私信

16楼^#

发布于：2007-02-14 14:27

引用第64楼WQXNETQIQI于2007-02-13 17:56发表的“”:
CNNIC下午又放了个新版本，20分钟内就把对抗版本做好放出去了

反应速度快就是硬道理

建议奇虎和CNNIC合并，举行联合军事演习，360safe师团组建红队，cnnic师团成立蓝队，在10000000小时内抢占8848高地。

不过你留心点，没准明天放假前，cnnic会接着升级，这样你的新版本又不好使了。最好邮件通知他们，让他们在程序升级前，第一时间通知你。我还指望大年三十用你的对抗版本杀cnnic呢。

回复喜欢

guaiguaiguan 驱动中牛注册日期2003-10-11 最后登录2011-01-12 粉丝0 关注0 积分14分威望556点贡献值0点好评度490点原创分0分专家分0分加关注写私信	17楼^# 发布于：2007-02-14 14:22 *引用第63楼killvxk于2007-02-13 16:33发表的“”*: 虚拟运行和结果影响同步真实技术，说白了就是自己代替了系统的pe文件装载器做最后运行的那一步，直接改ntoskrnl.exe文件和hal.dll等实现，给我恢复试试再说吧哥们~ 强啊？可以做VMWare了，展开一下讲讲，我比较笨。
	回复(0) 喜欢(0)

killvxk

论坛版主

注册日期2005-10-03
最后登录2014-04-14
粉丝3
关注1
积分1082分
威望2003点
贡献值0点
好评度1693点
原创分2分
专家分0分

加关注写私信

18楼^#

发布于：2007-02-13 22:21

晕死这个斗下去没完没了~

没有战争就没有进步 X3工作组为您提供最好的军火

回复喜欢

WQXNETQIQI

驱动大牛

注册日期2006-06-12
最后登录2010-10-26
粉丝0
关注0
积分13分
威望1076点
贡献值0点
好评度895点
原创分1分
专家分0分

加关注写私信

19楼^#

发布于：2007-02-13 17:56

CNNIC下午又放了个新版本，20分钟内就把对抗版本做好放出去了

反应速度快就是硬道理

驱动开发者呵呵

回复喜欢

您需要登录后才可以回帖，登录或者注册