首页
社区
课程
招聘
[原创]UTILMAN浅析
发表于: 2009-10-25 21:49 8873

[原创]UTILMAN浅析

2009-10-25 21:49
8873

UTILMAN是什么?
UTILMAN是辅助工具管理器,里面有放大镜,屏幕键盘,据说还有“讲述人”,是M$方便残疾人用的(放大镜是给近视用的?近视的也算残疾了?。。。。)。
为什么要弄它?
说WIN+U也是SYSTEM权限,传说WIN+U能调出UTILMAN。那把CMD命名成UTILMAN替换了不就行了。但是似乎没有这么简单。替换过后,WIN+U似乎没有出现我们想要的界面,但是进程是有的。没有让我们输入的CMD,怎么加用户?那就看看怎么回事吧!
黑盒分析:
正常WIN+U,会发现有两个UTILMAN进程,一个是ADMINISTRATOR用户的,一个是SYSTEM用户的。用Process Explorer查看,发现ADMINISTRATOR用户的父进程是SYSTEM用户的UTILMAN,而SYSTEM用户的UTILMAN的父进程是WINLOGON.可以YY一次啊,WIN+U让Winlogon启动了UTILMAN,然后这个UTILMAN又启动了一个UTILMAN,最终呈现给用户。
分析DEMO:直接把cmd.exe覆盖到system32目录和system32\dllcache目录下的utilman.exe,然后WIN+U。
结论:CMD没有向用户呈现出来,只发现一个UTILMAN进程。
那根据以上的现象,似乎可以判定另外一个UTILMAN就是UTILMAN本身创建的。
逆向分析:IDA+OD上。用IDA加载,OD单步,先是检查是否是PE文件,

 .text:01004F02                 mov     eax, ds:100003Ch ; 查看文件是否是PE

.text:01004F07                 lea     eax, [eax+1000000h]

.text:01004F0D                 cmp     dword ptr [eax], 4550h
.text:0100504B                 push    ecx

.text:0100504C                 push    eax

.text:0100504D                 push    ebx

.text:0100504E                 push    1000000h

.text:01005053                 call    InitialUtilman
.text:01001B65 SetCurrentWorkStation proc near         ; CODE XREF: InitialUtilman+7Ep

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 7
支持
分享
最新回复 (1)
雪    币: 433
活跃值: (1870)
能力值: ( LV17,RANK:1820 )
在线值:
发帖
回帖
粉丝
2
飘过留名!!!
2009-10-25 22:22
0
游客
登录 | 注册 方可回帖
返回
//