-
-
[原创]UTILMAN浅析
-
发表于: 2009-10-25 21:49 8832
-
UTILMAN是什么?
UTILMAN是辅助工具管理器,里面有放大镜,屏幕键盘,据说还有“讲述人”,是M$方便残疾人用的(放大镜是给近视用的?近视的也算残疾了?。。。。)。
为什么要弄它?
说WIN+U也是SYSTEM权限,传说WIN+U能调出UTILMAN。那把CMD命名成UTILMAN替换了不就行了。但是似乎没有这么简单。替换过后,WIN+U似乎没有出现我们想要的界面,但是进程是有的。没有让我们输入的CMD,怎么加用户?那就看看怎么回事吧!
黑盒分析:
正常WIN+U,会发现有两个UTILMAN进程,一个是ADMINISTRATOR用户的,一个是SYSTEM用户的。用Process Explorer查看,发现ADMINISTRATOR用户的父进程是SYSTEM用户的UTILMAN,而SYSTEM用户的UTILMAN的父进程是WINLOGON.可以YY一次啊,WIN+U让Winlogon启动了UTILMAN,然后这个UTILMAN又启动了一个UTILMAN,最终呈现给用户。
分析DEMO:直接把cmd.exe覆盖到system32目录和system32\dllcache目录下的utilman.exe,然后WIN+U。
结论:CMD没有向用户呈现出来,只发现一个UTILMAN进程。
那根据以上的现象,似乎可以判定另外一个UTILMAN就是UTILMAN本身创建的。
逆向分析:IDA+OD上。用IDA加载,OD单步,先是检查是否是PE文件,
.text:01004F02 mov eax, ds:100003Ch ; 查看文件是否是PE .text:01004F07 lea eax, [eax+1000000h] .text:01004F0D cmp dword ptr [eax], 4550h
.text:0100504B push ecx .text:0100504C push eax .text:0100504D push ebx .text:0100504E push 1000000h .text:01005053 call InitialUtilman
.text:01001B65 SetCurrentWorkStation proc near ; CODE XREF: InitialUtilman+7Ep
赞赏记录
参与人
雪币
留言
时间
Youlor
为你点赞~
2024-3-15 00:00
伟叔叔
为你点赞~
2024-1-6 04:26
QinBeast
为你点赞~
2024-1-4 04:21
shinratensei
为你点赞~
2023-11-21 00:06
一笑人间万事
为你点赞~
2023-11-19 00:43
心游尘世外
为你点赞~
2023-11-5 00:03
飘零丶
为你点赞~
2023-10-7 01:53
赞赏
他的文章
- [原创]A了Stuxnet的加载DLL代码--从内存中加载某个DLL 15190
- [下载]第二阶段 第一题 答案 4984
- [下载]第一阶段 第四题 答案 5276
- [下载]第一阶段 第三题 答案 4934
- 第一阶段 第二题 答案 3433
谁下载
kanxue
forgot
xIkUg
xingbing
marxixing
TeLeMan
鹰飞
suiyingjie
Lenus
amdey
VC菜鸟
stuwolf
lijingli
hackroad
cvcvxk
garasmc
yhan
ataovideo
SongLei
eosnfi
open[xgc]
loveqqc
hmilywen
Nukou
kazss
nicetom
littlewisp
dge
achillis
坏坏abc
yinghetao
Sysnap
riusksk
softmasm
三寸法师
JohnsonGuo
ownerscu
phthegreat
yangxingyu
jisshu
lynnux
hackerlx
sding
hyp
AASSMM
zysyyz
juedui
qihoocom
仙果
hblac
ohho
HelloCrack
WST
hahaaj
sssccc
yuandonghe
peoney
nwgao
mabingha
cf超
哭泣的泪
alexone
KooJiSung
wuhueixiao
neoGFH
小美
chhzh
菊冬
espzj
feifeixiao
caizhihong
lynnDGK
bestshow
izayoi
dahual
ximiimix
恩杰
LintChD
zhaohtao
qilinjiang
KeyKernel
石全
Liggle
SuperLucky
奔驰
cshany
张建龙
hzyking
gtict
fuestck
西班牙
lcfx
Phelibus
jerry沈
爱小宇
FrankErice
wosishie
O小皇帝O
无法毁灭
谁下载
kanxue
forgot
xIkUg
xingbing
marxixing
TeLeMan
鹰飞
suiyingjie
Lenus
amdey
VC菜鸟
stuwolf
lijingli
hackroad
cvcvxk
garasmc
yhan
ataovideo
SongLei
eosnfi
open[xgc]
loveqqc
hmilywen
Nukou
kazss
nicetom
littlewisp
dge
achillis
坏坏abc
yinghetao
Sysnap
riusksk
softmasm
三寸法师
JohnsonGuo
ownerscu
phthegreat
yangxingyu
jisshu
lynnux
hackerlx
sding
hyp
AASSMM
zysyyz
juedui
qihoocom
仙果
hblac
ohho
HelloCrack
WST
hahaaj
sssccc
yuandonghe
peoney
nwgao
mabingha
cf超
哭泣的泪
alexone
KooJiSung
wuhueixiao
neoGFH
小美
chhzh
菊冬
espzj
feifeixiao
caizhihong
lynnDGK
bestshow
izayoi
dahual
ximiimix
恩杰
LintChD
zhaohtao
qilinjiang
KeyKernel
石全
Liggle
SuperLucky
奔驰
cshany
张建龙
hzyking
gtict
fuestck
西班牙
lcfx
Phelibus
jerry沈
爱小宇
FrankErice
wosishie
O小皇帝O
无法毁灭
谁下载
kanxue
forgot
xIkUg
xingbing
marxixing
TeLeMan
鹰飞
suiyingjie
Lenus
amdey
VC菜鸟
stuwolf
lijingli
hackroad
cvcvxk
garasmc
yhan
ataovideo
SongLei
eosnfi
open[xgc]
loveqqc
hmilywen
Nukou
kazss
nicetom
littlewisp
dge
achillis
坏坏abc
yinghetao
Sysnap
riusksk
softmasm
三寸法师
JohnsonGuo
ownerscu
phthegreat
yangxingyu
jisshu
lynnux
hackerlx
sding
hyp
AASSMM
zysyyz
juedui
qihoocom
仙果
hblac
ohho
HelloCrack
WST
hahaaj
sssccc
yuandonghe
peoney
nwgao
mabingha
cf超
哭泣的泪
alexone
KooJiSung
wuhueixiao
neoGFH
小美
chhzh
菊冬
espzj
feifeixiao
caizhihong
lynnDGK
bestshow
izayoi
dahual
ximiimix
恩杰
LintChD
zhaohtao
qilinjiang
KeyKernel
石全
Liggle
SuperLucky
奔驰
cshany
张建龙
hzyking
gtict
fuestck
西班牙
lcfx
Phelibus
jerry沈
爱小宇
FrankErice
wosishie
O小皇帝O
无法毁灭
赞赏
雪币:
留言:
