u88财富快车流氓软件RK驱动分析

killvxk

论坛版主

注册日期2005-10-03
最后登录2014-04-14
粉丝3
关注1
积分1082分
威望2003点
贡献值0点
好评度1693点
原创分2分
专家分0分

加关注写私信

20楼^#

发布于：2007-01-13 21:32

引用第12楼xyzreg于2007-01-13 21:01发表的“”:

仅从peb的ldr里摘除dll是过不了IceSword的DLL模块枚举的~

我知道，不过骗骗小孩子还是好的

IS那套玩意太邪恶了~

没有战争就没有进步 X3工作组为您提供最好的军火

回复喜欢

xyzreg

驱动小牛

注册日期2005-06-20
最后登录2009-12-06
粉丝0
关注0
积分294分
威望173点
贡献值0点
好评度164点
原创分0分
专家分0分

加关注写私信

21楼^#

发布于：2007-01-13 21:01

引用第11楼killvxk于2007-01-13 20:46发表的“”:
说说我的一个木马设计方案
1.建立CreateProcessNotifyRoutine/ImageLoadNotifyRoutine(这个可以直接作dll插入了哈~),检测到userinit.exe加载后就从自己的内存释放vxk.exe修改注册Run项目，以启动vxk.exe,vxk.exe启动后会删除自己的RUN项目，并注入Vxk.dll，删除文件vxk.dll,vxk.exe,导致启动后无法发现其启动项目

2.从内存的HIVE结构中remove掉vxk.sys的服务项（KDOM）
3.HOOK DISK READ 隐藏vxk.sys
.......

仅从peb的ldr里摘除dll是过不了IceSword的DLL模块枚举的~

回复喜欢

killvxk

论坛版主

注册日期2005-10-03
最后登录2014-04-14
粉丝3
关注1
积分1082分
威望2003点
贡献值0点
好评度1693点
原创分2分
专家分0分

加关注写私信

22楼^#

发布于：2007-01-13 20:46

说说我的一个木马设计方案
1.建立CreateProcessNotifyRoutine/ImageLoadNotifyRoutine(这个可以直接作dll插入了哈~),检测到userinit.exe加载后就从自己的内存释放vxk.exe修改注册Run项目，以启动vxk.exe,vxk.exe启动后会删除自己的RUN项目，并注入Vxk.dll，删除文件vxk.dll,vxk.exe,导致启动后无法发现其启动项目

2.从内存的HIVE结构中remove掉vxk.sys的服务项（KDOM）
3.HOOK DISK READ 隐藏vxk.sys
4.把自己从object Dir和pspLoadedmodulelist摘除，查找typelist链摘除自己，以搜索DriverObjectType方式搜索内存凡是找到自己的DRiverobject的地方直接用fake出来的Drvobject来代替~
5.DLL注入后，将自身从peb的ldr表中摘除

没有战争就没有进步 X3工作组为您提供最好的军火

回复喜欢

killvxk

论坛版主

注册日期2005-10-03
最后登录2014-04-14
粉丝3
关注1
积分1082分
威望2003点
贡献值0点
好评度1693点
原创分2分
专家分0分

加关注写私信

23楼^#

发布于：2007-01-13 20:21

嘿嘿，这个貌似不流氓就是把现有的技术融合起来而已~~
嘿嘿~

没有战争就没有进步 X3工作组为您提供最好的军火

回复喜欢

binjo 论坛版主注册日期2003-04-23 最后登录2012-06-25 粉丝0 关注0 积分1002分威望142点贡献值0点好评度140点原创分0分专家分0分加关注写私信	24楼^# 发布于：2007-01-10 19:44 这个流氓里还有个stdie.dll，好象是个proxy又象是个downloader，也可能啥都不是
	回复(0) 喜欢(0)

wangjianfeng 驱动小牛注册日期2004-05-28 最后登录2013-10-02 粉丝0 关注0 积分1002分威望263点贡献值0点好评度260点原创分0分专家分0分加关注写私信	25楼^# 发布于：2007-01-10 19:27 太流氓了.
	回复(0) 喜欢(0)

cardmagic

驱动中牛

注册日期2005-03-15
最后登录2010-01-14
粉丝0
关注0
积分1000分
威望317点
贡献值0点
好评度312点
原创分0分
专家分0分

加关注写私信

26楼^#

发布于：2007-01-08 22:57

"我所有机器上" ~ 晕~
在我所有机器上都正常~ :)

不过 cpu100的原因已经知道,后面版本会修正的.

牌术千术IT cardmagic.bokee.com

回复喜欢

binjo 论坛版主注册日期2003-04-23 最后登录2012-06-25 粉丝0 关注0 积分1002分威望142点贡献值0点好评度140点原创分0分专家分0分加关注写私信	27楼^# 发布于：2007-01-08 17:04 发个我的
	回复(0) 喜欢(0)

firabc 驱动牛犊注册日期2004-10-10 最后登录2007-10-20 粉丝0 关注0 积分410分威望42点贡献值0点好评度42点原创分0分专家分0分加关注写私信	28楼^# 发布于：2007-01-08 15:05 DARKSPY确实很佩服的 ,在我这必须把SSM卸了才行的，不然也是CPU100%的
	回复(0) 喜欢(0)

WQXNETQIQI

驱动大牛

注册日期2006-06-12
最后登录2010-10-26
粉丝0
关注0
积分13分
威望1076点
贡献值0点
好评度895点
原创分1分
专家分0分

加关注写私信

29楼^#

发布于：2007-01-08 14:13

DARKSPY则是在我所有机器上都会CPU 100%死掉或直接BSOD

驱动开发者呵呵

回复喜欢

wowocock

VIP专家组

注册日期2002-04-08
最后登录2016-01-09
粉丝16
关注2
积分601分
威望1651点
贡献值1点
好评度1227点
原创分1分
专家分0分

加关注写私信

30楼^#

发布于：2007-01-08 11:04

看来所有方法对DARKSPY都没用,也算是个失败的东西.除了系统登陆后加载任何位置的driver都会失败.

花开了，然后又会凋零，星星是璀璨的，可那光芒也会消失。在这样一瞬间，人降生了，笑者，哭着，战斗，伤害，喜悦，悲伤憎恶，爱。一切都只是刹那间的邂逅，而最后都要归入死亡的永眠

回复喜欢

binjo 论坛版主注册日期2003-04-23 最后登录2012-06-25 粉丝0 关注0 积分1002分威望142点贡献值0点好评度140点原创分0分专家分0分加关注写私信	31楼^# 发布于：2007-01-08 10:03 在查找PsLoadedModuleList的那个sub里 .text:00011578 mov eax, 0FFDFF034h ; _KPCR.KdVersionBlock .text:0001157D mov eax, [eax] ; KdVersionBlock .text:0001157F mov eax, [eax+70h] ; ???? KdVersionBlock的结构_DBGKD_GET_VERSION64不是只有13 elements, 0x28 bytes吗？怎么这里70h处也是PsLoadedModuleList？我在kd里察看也的确是的
	回复(0) 喜欢(0)

firabc 驱动牛犊注册日期2004-10-10 最后登录2007-10-20 粉丝0 关注0 积分410分威望42点贡献值0点好评度42点原创分0分专家分0分加关注写私信	32楼^# 发布于：2007-01-07 16:29 还是你分析得比较好呀
	回复(0) 喜欢(0)

您需要登录后才可以回帖，登录或者注册