|
阅读:9376回复:32
u88财富快车流氓软件RK驱动分析
RK部分一共三个文件
VideoAti0.sys VideoAti0.dll VideoAti0.exe 驱动部分是BOOT0的,主要干了这么些事: 1.建立CreateProcessNotifyRoutine,检测到userinit.exe加载后就修改注册Run项目,以启动VideoAti0.exe,VideoAtio0.exe启动后会删除自己的RUN项目,并注入VideoAti0.dll,导致启动后无法发现其启动项目 2.Hook CmEnumerateKey,隐藏VedioAti0.sys的服务项,Is,gmer,rku等无法检测到 通过CreatePrcoessNotifyRoutine检测到是如下进程调用CmEnumerateKey时,会恢复自己的HOOK,企图蒙混过关:D fhs.exe,knlsc13.exe 3.Hook FSD Dispatch Routine,Hook了\FileSystem\Ntfs,和\FileSystem\FastFat的IRP_MJ_CREATE和IRP_MJ_DIRECTORY_FILE,根据默认规则库会首先过滤 VideoAti0.sys VideoAti0.dll VideoAti0.exe 无法列出他们 规则库还可以通过R3向R0添加 4.从PsLoadMoudleList移除了自身,使得IS,gmer等工具无法检测到它,gmer可检测到 FSD HOOK,也检测不到是哪个module作了HOOK 后来R3的规则好象很BT,系统登陆后加载任何位置的driver都会失败:D 分析后的idb文件见压缩包,和读源代码没什么区别了 |
|
最新喜欢: songbe...
|
|
沙发#
发布于:2011-10-10 17:38
附件失效了,哪位请重发一份,谢谢。
|
|
|
板凳#
发布于:2007-07-27 16:34
谁有样本,提供给小弟研究研究,不甚感激!
|
|
|
地板#
发布于:2007-04-23 08:38
谁能有偿提供类似u88财富快车的源代码吗?
|
|
|
|
地下室#
发布于:2007-02-24 19:57
引用第3楼wowocock于2007-01-08 11:04发表的“”: DARKSPY太不稳定了,动不动就死机! |
|
|
|
5楼#
发布于:2007-02-05 23:51
呵呵 驱动都起来了,还有什么不能干?完全可以把别人的NotifyRoutine全摘了。就留下自己的
 ,结果又变成无聊的抢启动顺序了patch一是不稳定,二是比较XX,,,不过wow貌似很喜欢patch:D |
|
|
|
6楼#
发布于:2007-02-05 21:51
引用第11楼killvxk于2007-01-13 20:46发表的“”: vxk从驱动中释放后的加载执行是操作系统辅助完成的,这个过程其他驱动也可以监管,释放文件、修改注册表的情况捕捉和拦截要花些心思,但是操作系统启动vxk进程的特征太明显,在另外一个驱动的CreateProcessNotifyRoutine/ImageLoadNotifyRoutine肯定能够捕捉到,特别是在ImageLoadNotifyRoutine中,只需修改文件映像的前两个字节,vxk就是加载失败。而vxk.sys可能会认为一定会加载成功。但事实上处于孤岛之中,“手机”是没有信号的,在这种情况下vxk也会感到“高处不胜寒”。 如果禁止别的程序使用CreateProcessNotifyRoutine/ImageLoadNotifyRoutine,可能又将陷入先有鸡还是先又蛋的哲学悖论。 无论hook patch实现多么巧妙,除非禁止用户驱动在内核中对模块起始地址开始整个映像进行写操作,否则总有办法对vxk.sys进行patch,让它失效。当然在驱动中对应用态进程及其模块映像的patch做的不多,应该存在某种方法,可以绕过vxk.sys的检查,直接改写vxk.dll的内存映像,从而改变vxk.dll的固有行为。 hook 和patch无论做得多么完美,它只能干预操作系统完成它的功能,但无法代替操作系统完成它依赖的功能。因为它实现的不是一个完整的操作系统。 |
|
|
7楼#
发布于:2007-02-05 18:19
没事还是最好不要拼加载顺序,最好连BOOT加载也不要
 |
|
|
|
8楼#
发布于:2007-02-05 18:18
引用第22楼guaiguaiguan于2007-02-05 17:33发表的“”: 坏人总是有猥亵的办法,比如它变一下,让你patch 到一个猥亵的地方,那么你杀它的结果就是BSOD |
|
|
|
9楼#
发布于:2007-02-05 17:59
引用第23楼wowocock于2007-02-05 17:45发表的“”: 不过拼关机顺序,有时候会出问题,呵呵 |
|
|
|
10楼#
发布于:2007-02-05 17:45
拼加载顺序永远是最有意义的,不过你们的思维都被局限了,为什么不反过来考虑呢,嘿嘿......
|
|
|
|
11楼#
发布于:2007-02-05 17:33
引用第21楼WQXNETQIQI于2007-02-05 16:30发表的“”: 我觉得未必,patch坏人有针对性,与平台无关,当然坏人多了,就会缺乏通用性。patch坏人和patch 系统方法是一样的,都是内存修补。但后者需要考虑SP版本的变化。 |
|
|
12楼#
发布于:2007-02-05 16:30
随便说两点:
1.Patch系统总比Patch别人尤其是Patch坏人稳定很多很多 2.拼加载顺序永远是最无聊的 |
|
|
|
13楼#
发布于:2007-02-05 16:29
引用第18楼guaiguaiguan于2007-02-05 15:39发表的“”: 想得太简单了,呵呵 |
|
|
|
14楼#
发布于:2007-02-05 15:47
最为邪恶就是patch firmware of harddisk~
真正主宰级别~~ |
|
|
|
15楼#
发布于:2007-02-05 15:39
可以设想既然你能够使用CreateProcessNotifyRoutine检测到userinit.exe实现自我加载,别人就可以以其人之道还治其人之身,通过drivernotifyroutine让你的VideoAti0.exe包括VideoAti0.dll无法加载,把这两个文件视为坏的影像文件。这样VedioAti0.sys就成了一个空壳和孤岛。
另外既然你可能patch系统的接口,那么别人也可以patch VedioAti0.sys驱动影像的内存,无论是文件读写或者是注册表,只要还原其中一个,删掉注册表或者删掉文件,这样的保护就失效了。相对而言patch 这些驱动可能比patch那些所谓的fsd还要容易,找到拦截的函数入口,一个jmp跳转到原来入口即可,在拦截的代码中,肯定包含跳转到原来地址的指令。 |
|
|
16楼#
发布于:2007-02-05 15:14
引用第16楼guaiguaiguan于2007-02-05 15:05发表的“”: 严重同意. |
|
|
|
17楼#
发布于:2007-02-05 15:05
这样的东西没有用,既不会推动社会进步,也不会增加国家的GDP。无法是patch、hook啊,尽是些小聪明,永远做不了微软,也做不成google。
|
|
|
18楼#
发布于:2007-01-16 14:31
引用第10楼killvxk于2007-01-13 20:21发表的“”: 可是就很难清除,查起来也难。 同事都被烦死了 |
|
|
19楼#
发布于:2007-01-15 19:32
引用第0楼WQXNETQIQI于2007-01-07 15:19发表的“u88财富快车流氓软件RK驱动分析”: 为什么不用IceSword的FileReg呢?
这个貌似是个反rk工具就能查. |
|
上一页
下一页