xikug
驱动小牛
驱动小牛
  • 注册日期2001-09-25
  • 最后登录2013-09-27
  • 粉丝1
  • 关注0
  • 积分1001分
  • 威望169点
  • 贡献值0点
  • 好评度168点
  • 原创分1分
  • 专家分0分
阅读:24326回复:82

【原创】360最新cnnic专杀工具-360SuperKill“破冰”技术逆向分析

楼主#
更多 发布于:2007-01-31 18:36
破冰技术简介(新闻里看到的):

破冰(Kill Defence)”技术最大的改进在于,以前的一些查杀技术是在恶意软件释放驱动之前,占住驱动的位置,但是如果恶意软件改变释放的驱动或者将位置提前,这种技术就很难奏效了,这也是为什么现在的许多恶意软件清除工具无法删除CNNIC的原因.而“破冰(Kill Defence)”技术,能够直接删除掉恶意软件的驱动,对用户电脑进行保护. 

安全专家表示,多数反恶意软件对基于“应用层”的恶意软件都能很好地查杀,但一旦涉及到驱动层面,“事情变得非常麻烦”.“CNNIC中文上网”是将这种技术使用到极致的一款软件,而奇虎360安全卫士也是目前唯一能够将其彻底卸载的反恶意软件,这就是引发CNNIC和奇虎口水战的根本原因.


花了两天时间逆向360安全卫士鼓吹的他们的“破冰”技术,结果发现,360的驱动代码写得比较龌龊,很多地方存在不安全因素,强制脱所有FileSystem Filter Driver链,使一些依赖FileSystem Filter Driver的正常软件(很多杀软依赖于Filter Driver)无法正常工作。。。需要重启后再用360查杀。。。
360的cnninc专杀应用层居然是用易语言写的。。。汗。。。(因为我不懂)

我前段时间自己也写了个反流氓引擎,不需要恢复什么,不脱链,直接击穿cnnic的所有保护,干净的干掉它而不需要重启。。。跟360的引擎相比要略胜一筹,心中窃喜。。。

360所谓的破冰技术有以下几点:
1. 恢复FSD Hook
2. 恢复FSD Inline Hook
3. 直接入FSD发送IRP删除文件
4. 移除SHUTDOWN NOTIFY
5. 移除进程监控通知(没看到杀cninc的时候调用)
6. 移除线程监控通知(没看到杀cninc的时候调用)
7. 移除模块加载通知(没看到杀cninc的时候调用)

具体的完整分析见ida的文件,源代码除了专杀工具没有调用的函数之外,其他的都按照反汇编出来的结果实现还原了,有些代码不尽人意,那是因为原作者就是那样写的代码,我只是忠实的还原出来。。。

用自己的驱动替换原来的驱动:
 

图片:360SuperKill.jpg

附件名称/大小 下载次数 最后更新
360SuperKill.rar (206KB)  652 2007-01-31 18:36

最新喜欢:

lipengyilipeng... always586always...
http://www.debugman.com
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
沙发#
发布于:2007-01-31 19:09
Our's Super Kill Driver Start.
是嘛东东?
貌似没有这个东西
 
驱动开发者 呵呵
xikug
驱动小牛
驱动小牛
  • 注册日期2001-09-25
  • 最后登录2013-09-27
  • 粉丝1
  • 关注0
  • 积分1001分
  • 威望169点
  • 贡献值0点
  • 好评度168点
  • 原创分1分
  • 专家分0分
板凳#
发布于:2007-01-31 19:11
替换驱动后的结果。。。见source
http://www.debugman.com
binjo
论坛版主
论坛版主
  • 注册日期2003-04-23
  • 最后登录2012-06-25
  • 粉丝0
  • 关注0
  • 积分1002分
  • 威望142点
  • 贡献值0点
  • 好评度140点
  • 原创分0分
  • 专家分0分
地板#
发布于:2007-01-31 19:12
那是表明一下是逆向出来的驱动吧
firabc
驱动牛犊
驱动牛犊
  • 注册日期2004-10-10
  • 最后登录2007-10-20
  • 粉丝0
  • 关注0
  • 积分410分
  • 威望42点
  • 贡献值0点
  • 好评度42点
  • 原创分0分
  • 专家分0分
地下室#
发布于:2007-01-31 19:15
看雪的牛人是厉害,佩服
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
5楼#
发布于:2007-01-31 19:21
部分XX代码不是俺写的, GetImageBase跟摘Fs Filter貌似是V大写的 ?俺直接从360那边COPY滴
驱动开发者 呵呵
doskey
论坛版主
论坛版主
  • 注册日期2004-12-08
  • 最后登录2016-04-05
  • 粉丝0
  • 关注0
  • 积分1000分
  • 威望302点
  • 贡献值0点
  • 好评度300点
  • 原创分0分
  • 专家分0分
6楼#
发布于:2007-01-31 20:13
 xikug老兄还是那么彪悍呀。支持
qiweixue
驱动小牛
驱动小牛
  • 注册日期2004-07-21
  • 最后登录2011-12-19
  • 粉丝0
  • 关注0
  • 积分1006分
  • 威望274点
  • 贡献值0点
  • 好评度268点
  • 原创分1分
  • 专家分0分
7楼#
发布于:2007-01-31 20:37
偶也来支持xikug同学.真飙汉,学习    
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
8楼#
发布于:2007-01-31 21:45
专杀用的驱动,根本没什么引擎,流氓嘛,杀掉就成了 ,至少这个驱动的体验比卡卡什么的好多了  
驱动开发者 呵呵
xikug
驱动小牛
驱动小牛
  • 注册日期2001-09-25
  • 最后登录2013-09-27
  • 粉丝1
  • 关注0
  • 积分1001分
  • 威望169点
  • 贡献值0点
  • 好评度168点
  • 原创分1分
  • 专家分0分
9楼#
发布于:2007-01-31 22:23
引用第8楼WQXNETQIQI2007-01-31 21:45发表的“”:
专杀用的驱动,根本没什么引擎,流氓嘛,杀掉就成了 ,至少这个驱动的体验比卡卡什么的好多了  

  不过,代码重定位部份真的写的不咋样。。。太喽唆了。。。差点我就不想看下去了。。。
http://www.debugman.com
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
10楼#
发布于:2007-02-01 08:36
还是不能对付hook obXXX的流氓~~
呜呜~~
没有战争就没有进步 X3工作组 为您提供最好的军火
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
11楼#
发布于:2007-02-01 08:41
对了,对于hook iocreatefile 伪造fsd文件貌似也没有很好的解决~
(这个还不算什么,以前见过检查FSD文件是否都在内存里了,谁在就禁止打开谁的文件。冒汗~)

流氓无处不在~
没有战争就没有进步 X3工作组 为您提供最好的军火
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
12楼#
发布于:2007-02-01 08:42
偶尔过来看看,惊天地泣鬼神~doskey没出手,xikug出手了~哈哈~
没有战争就没有进步 X3工作组 为您提供最好的军火
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
13楼#
发布于:2007-02-01 08:45
5. 移除进程监控通知(没看到杀cninc的时候调用)
6. 移除线程监控通知(没看到杀cninc的时候调用)
7. 移除模块加载通知(没看到杀cninc的时候调用)

这三个呢?
嘿嘿~

看了idb后,发现这三个貌似没有作用~
没有战争就没有进步 X3工作组 为您提供最好的军火
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
14楼#
发布于:2007-02-01 08:46
引用第5楼WQXNETQIQI2007-01-31 19:21发表的“”:
部分XX代码不是俺写的, GetImageBase跟摘Fs Filter貌似是V大写的 ?俺直接从360那边COPY滴

FS Filter摘 貌似是xyzreg版的~
没有战争就没有进步 X3工作组 为您提供最好的军火
xikug
驱动小牛
驱动小牛
  • 注册日期2001-09-25
  • 最后登录2013-09-27
  • 粉丝1
  • 关注0
  • 积分1001分
  • 威望169点
  • 贡献值0点
  • 好评度168点
  • 原创分1分
  • 专家分0分
15楼#
发布于:2007-02-01 09:20
引用第13楼killvxk2007-02-01 08:45发表的“”:
5. 移除进程监控通知(没看到杀cninc的时候调用)
6. 移除线程监控通知(没看到杀cninc的时候调用)
7. 移除模块加载通知(没看到杀cninc的时候调用)

这三个呢?
.......

那3个就是清系统中对应的3个NotifyRoutine数组,不过是废的,我也懒得还原了

有兴趣的看看idb就可以了
http://www.debugman.com
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
16楼#
发布于:2007-02-01 09:28
看了,不过貌似没有作用哈~
没有战争就没有进步 X3工作组 为您提供最好的军火
xikug
驱动小牛
驱动小牛
  • 注册日期2001-09-25
  • 最后登录2013-09-27
  • 粉丝1
  • 关注0
  • 积分1001分
  • 威望169点
  • 贡献值0点
  • 好评度168点
  • 原创分1分
  • 专家分0分
17楼#
发布于:2007-02-01 09:35
V大验证一下吧。。。
http://www.debugman.com
Fuwaxy
驱动牛犊
驱动牛犊
  • 注册日期2006-11-01
  • 最后登录2009-06-22
  • 粉丝0
  • 关注0
  • 积分3分
  • 威望28点
  • 贡献值0点
  • 好评度24点
  • 原创分0分
  • 专家分0分
18楼#
发布于:2007-02-01 09:46
V大,CVC论坛砸了,打不开,在百度上连搜都搜不到了    
驱网无线,快乐无限
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
19楼#
发布于:2007-02-01 10:34
Hook Obxxxx,iocreatefile之类的流氓没见到过,清那个三个数组的也没有必要,这个驱动目前还是完全够用的
驱动开发者 呵呵
上一页
游客

返回顶部