阅读:24326回复:82
【原创】360最新cnnic专杀工具-360SuperKill“破冰”技术逆向分析
破冰技术简介(新闻里看到的):
破冰(Kill Defence)”技术最大的改进在于,以前的一些查杀技术是在恶意软件释放驱动之前,占住驱动的位置,但是如果恶意软件改变释放的驱动或者将位置提前,这种技术就很难奏效了,这也是为什么现在的许多恶意软件清除工具无法删除CNNIC的原因.而“破冰(Kill Defence)”技术,能够直接删除掉恶意软件的驱动,对用户电脑进行保护. 安全专家表示,多数反恶意软件对基于“应用层”的恶意软件都能很好地查杀,但一旦涉及到驱动层面,“事情变得非常麻烦”.“CNNIC中文上网”是将这种技术使用到极致的一款软件,而奇虎360安全卫士也是目前唯一能够将其彻底卸载的反恶意软件,这就是引发CNNIC和奇虎口水战的根本原因. 花了两天时间逆向360安全卫士鼓吹的他们的“破冰”技术,结果发现,360的驱动代码写得比较龌龊,很多地方存在不安全因素,强制脱所有FileSystem Filter Driver链,使一些依赖FileSystem Filter Driver的正常软件(很多杀软依赖于Filter Driver)无法正常工作。。。需要重启后再用360查杀。。。 360的cnninc专杀应用层居然是用易语言写的。。。汗。。。(因为我不懂) 我前段时间自己也写了个反流氓引擎,不需要恢复什么,不脱链,直接击穿cnnic的所有保护,干净的干掉它而不需要重启。。。跟360的引擎相比要略胜一筹,心中窃喜。。。 360所谓的破冰技术有以下几点: 1. 恢复FSD Hook 2. 恢复FSD Inline Hook 3. 直接入FSD发送IRP删除文件 4. 移除SHUTDOWN NOTIFY 5. 移除进程监控通知(没看到杀cninc的时候调用) 6. 移除线程监控通知(没看到杀cninc的时候调用) 7. 移除模块加载通知(没看到杀cninc的时候调用) 具体的完整分析见ida的文件,源代码除了专杀工具没有调用的函数之外,其他的都按照反汇编出来的结果实现还原了,有些代码不尽人意,那是因为原作者就是那样写的代码,我只是忠实的还原出来。。。 用自己的驱动替换原来的驱动: 图片:360SuperKill.jpg |
|
|
沙发#
发布于:2007-01-31 19:09
Our's Super Kill Driver Start.
是嘛东东? 貌似没有这个东西 |
|
|
板凳#
发布于:2007-01-31 19:11
替换驱动后的结果。。。见source
|
|
|
地板#
发布于:2007-01-31 19:12
那是表明一下是逆向出来的驱动吧
|
|
地下室#
发布于:2007-01-31 19:15
看雪的牛人是厉害,佩服
|
|
5楼#
发布于:2007-01-31 19:21
部分XX代码不是俺写的, GetImageBase跟摘Fs Filter貌似是V大写的 ?俺直接从360那边COPY滴
|
|
|
6楼#
发布于:2007-01-31 20:13
xikug老兄还是那么彪悍呀。支持
|
|
7楼#
发布于:2007-01-31 20:37
偶也来支持xikug同学.真飙汉,学习
|
|
8楼#
发布于:2007-01-31 21:45
专杀用的驱动,根本没什么引擎,流氓嘛,杀掉就成了 ,至少这个驱动的体验比卡卡什么的好多了
|
|
|
9楼#
发布于:2007-01-31 22:23
引用第8楼WQXNETQIQI于2007-01-31 21:45发表的“”: 不过,代码重定位部份真的写的不咋样。。。太喽唆了。。。差点我就不想看下去了。。。 |
|
|
10楼#
发布于:2007-02-01 08:36
还是不能对付hook obXXX的流氓~~
呜呜~~ |
|
|
11楼#
发布于:2007-02-01 08:41
对了,对于hook iocreatefile 伪造fsd文件貌似也没有很好的解决~
(这个还不算什么,以前见过检查FSD文件是否都在内存里了,谁在就禁止打开谁的文件。冒汗~) 流氓无处不在~ |
|
|
12楼#
发布于:2007-02-01 08:42
偶尔过来看看,惊天地泣鬼神~doskey没出手,xikug出手了~哈哈~
|
|
|
13楼#
发布于:2007-02-01 08:45
5. 移除进程监控通知(没看到杀cninc的时候调用)
6. 移除线程监控通知(没看到杀cninc的时候调用) 7. 移除模块加载通知(没看到杀cninc的时候调用) 这三个呢? 嘿嘿~ 看了idb后,发现这三个貌似没有作用~ |
|
|
14楼#
发布于:2007-02-01 08:46
引用第5楼WQXNETQIQI于2007-01-31 19:21发表的“”: FS Filter摘 貌似是xyzreg版的~ |
|
|
15楼#
发布于:2007-02-01 09:20
引用第13楼killvxk于2007-02-01 08:45发表的“”: 那3个就是清系统中对应的3个NotifyRoutine数组,不过是废的,我也懒得还原了 有兴趣的看看idb就可以了 |
|
|
16楼#
发布于:2007-02-01 09:28
看了,不过貌似没有作用哈~
|
|
|
17楼#
发布于:2007-02-01 09:35
V大验证一下吧。。。
|
|
|
18楼#
发布于:2007-02-01 09:46
V大,CVC论坛砸了,打不开,在百度上连搜都搜不到了
|
|
|
19楼#
发布于:2007-02-01 10:34
Hook Obxxxx,iocreatefile之类的流氓没见到过,清那个三个数组的也没有必要,这个驱动目前还是完全够用的
|
|
|
上一页
下一页