首页
社区
课程
招聘
[分享]逆向整理包编译通过版鬼影3.0代码~
发表于: 2011-8-18 09:26 71805

[分享]逆向整理包编译通过版鬼影3.0代码~

2011-8-18 09:26
71805

话说,样本真操蛋~到处是花~~那个下载体Alg.exe我就不逆了~
逆完在VMWARE测试发现很多bug,很多bug啊~
修改,修改去把bootloader改的bug不多了~,PmVirus里肉眼可见的也改了不少了~但是还是开机卡住~不过从IDA里看没问题~纠结有boot调试环境的人来再改改吧~
开源,发代码,是我的习惯~有实力改改做坏事的人请自己淡定~

加个参考资料链接
http://blog.csdn.net/gaa_ra/article/details/6589324
http://blog.csdn.net/gaa_ra/article/details/6593860
http://blog.csdn.net/gaa_ra/article/details/6594815

0.这是个对样本的逆向整理的版本,不要当作真的病毒,只包编译通过,其中去掉了原始鬼影样本中加密解密部分!!!!!

1.编译环境需要:
MASM32v10
WINDOWS 2003 sp1 IFS DDK
VS 2010 sp1
WinSDK 7.0A

2.编译方法:
a.按F7生成解决方案
b.到bin目录执行 makebin.bat
c.选中MakeVirusContent点重新生成
d.到bin目录执行 cmd.bat 然后在命令行下输入 MakeVirusContent.exe 需要命令行参数!!将你的下载者打包进VirusContent
e.选中ShadowGhost3点重新生成
f.bin目录里的shadowGhost3.exe就是最后的毒了!

3.编译环境目录:

Masm32v10 请安装在D:\
Windows 2003 sp1 ifs ddk用默认路径安装于C:\盘

4.有关卡机卡住的bug的说明
a.ProtectModeVirus的pmVirus.asm代码里可能有些问题,可能是bootloader.asm修改其中代码发生了问题

目录:
│  ShadowGhost3.sln
│  ShadowGhost3.vssscc
│  说明.txt
│  
├─bin
│  │  Bin2Hex.exe
│  │  bootload.bin
│  │  bootload.h
│  │  bootload.obj
│  │  cmd.bat
│  │  Driver.h
│  │  Driver.sys
│  │  makebin.bat
│  │  MakeVirusContent.exe
│  │  makeVirusHead.bat
│  │  obj2bin.exe
│  │  PmVirus.bin
│  │  PmVirus.h
│  │  PmVirus.obj
│  │  ShadowGhost3.exe
│  │  VirusContent.bin
│  │  VirusContent.h
│  │  
│  └─i386
│          Bin2Hex.exe
│          Driver.sys
│         
├─Bin2Hex
│      Bin2Hex.cpp
│      Bin2Hex.vcxproj
│      Bin2Hex.vcxproj.filters
│      Bin2Hex.vcxproj.user
│      Bin2Hex.vcxproj.vspscc
│      buildfre_wnet_x86.log
│      ddkbuild.bat
│      ddkbuild.cmd
│      MAKEFILE
│      mybuild.bat
│      readme.txt
│      SOURCES
│      
├─MakeVirusContent
│      MakeVirusContent.cpp
│      MakeVirusContent.vcxproj
│      MakeVirusContent.vcxproj.filters
│      MakeVirusContent.vcxproj.user
│      MakeVirusContent.vcxproj.vspscc
│      ReadMe.txt
│      stdafx.cpp
│      stdafx.h
│      targetver.h
│      
├─obj2bin
│      obj2bin.cpp
│      obj2bin.vcxproj
│      obj2bin.vcxproj.filters
│      obj2bin.vcxproj.user
│      obj2bin.vcxproj.vspscc
│      ReadMe.txt
│      stdafx.cpp
│      stdafx.h
│      targetver.h
│      
├─ProtectModeVirus
│      make.bat
│      PmVirus.asm
│      ProtectModeVirus.vcxproj
│      ProtectModeVirus.vcxproj.filters
│      ProtectModeVirus.vcxproj.user
│      ProtectModeVirus.vcxproj.vspscc
│      readme.txt
│      
├─ShadowGhost3
│      drvss.cpp
│      drvss.h
│      ntdll.h
│      ntdll.lib
│      ReadMe.txt
│      ShadowGhost3.cpp
│      ShadowGhost3.vcxproj
│      ShadowGhost3.vcxproj.filters
│      ShadowGhost3.vcxproj.user
│      ShadowGhost3.vcxproj.vspscc
│      stdafx.cpp
│      stdafx.h
│      targetver.h
│      
├─Sys
│  │  buildfre_wnet_x86.log
│  │  ddkbuild.bat
│  │  ddkbuild.cmd
│  │  Main.c
│  │  MAKEFILE
│  │  mybuild.bat
│  │  ntifs_48.h
│  │  readme.txt
│  │  SOURCES
│  │  stdafx.h
│  │  Sys.vcxproj
│  │  Sys.vcxproj.filters
│  │  Sys.vcxproj.user
│  │  Sys.vcxproj.vspscc
│  │  zwfunc.h
│  │  
│  ├─Debug
│  │      Sys.log
│  │      
│  ├─driver
│  │  └─i386
│  │          Driver.pdb
│  │          Driver.sys
│  │         
│  ├─objfre_wnet_x86
│  │  │  _objects.mac
│  │  │  
│  │  └─i386
│  │          main.obj
│  │         
│  └─Release
│          Sys.log
│         
└─VirusMBR
    │  bootload.asm
    │  make.bat
    │  readme.txt
    │  VirusMBR.vcxproj
    │  VirusMBR.vcxproj.filters
    │  VirusMBR.vcxproj.user
    │  VirusMBR.vcxproj.vspscc
    │  
    ├─Debug
    │      VirusMBR.log
    │      
    └─Release
            VirusMBR.log
看附件吧~~
无聊了~感冒了,心情不好看这个样本然后结合各种东西,逆来逆去 花了3天时间各种调bug~然后不想再弄下去了,所性放了~

感冒好了,不准备搞TDL4逆向包编译通过鸟,忙着干别的,四处求donate~

TDL的MBR部分很简单就是把ldr16 Load进来,然后把控制权交给ldr16~
然后ldr16会hook int13,然后通过hook判断Mz头pe头(根据MZ和PE头的一些数据判断版本号和系统x64与否)来实现文件替换(其实kdcom在硬盘上是连续存放的,用ldr32/ldr64来替换)和签名绕过
巧妙的地方是修改绕过签名的/mini启动模式参数修改~
然后ldr32/ldr64会弄出对应drv32/drv64到内核~
好了说完了,基本上TDL就是这么个功能~
至于真正有趣的地方是丫的drv部分实现了HiddenPartDisk在Win下挂接自己的硬盘对象和自定义的文件系统HiddenFS——IoCreateDevice这个函数用的很好强大~


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 7
支持
分享
最新回复 (84)
雪    币: 172
活跃值: (40)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
2
被楼主抢先了 ~~~嘿嘿 昨晚刚把加密代码还原~~~
2011-8-18 09:30
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
3
下一步逆向TDL4吧~
2011-8-18 09:32
0
雪    币: 296
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
楼上可以也放一个上来。。。
2011-8-18 09:32
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
5
话说TDL4那个负责安装的exe太操蛋了
2011-8-18 09:35
0
雪    币: 492
活跃值: (53)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
6
LS的都是大牛啊~~~
2011-8-18 09:41
0
雪    币: 485
活跃值: (78)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
7
占楼膜拜V大
2011-8-18 09:44
0
雪    币: 210
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
纯粹是为了来膜拜V校的
2011-8-18 09:51
0
雪    币: 220
活跃值: (721)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
V大又发精了,强烈支持V大,期待TDL4开了!呵呵

这个好象不是鬼影,是外面说的那个魅影
2011-8-18 09:53
0
雪    币: 241
活跃值: (235)
能力值: ( LV13,RANK:240 )
在线值:
发帖
回帖
粉丝
10
来膜拜V校~~
2011-8-18 09:54
0
雪    币: 75
活跃值: (723)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
11

v大真v5阿
2011-8-18 09:54
0
雪    币: 242
活跃值: (25)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
12
所性放了~膜拜V大
2011-8-18 10:00
0
雪    币: 207
活跃值: (26)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
13
性放了.....
2011-8-18 10:06
0
雪    币: 822
活跃值: (380)
能力值: ( LV12,RANK:310 )
在线值:
发帖
回帖
粉丝
14
下载了,谢谢楼主的分享!
2011-8-18 10:12
0
雪    币: 22
活跃值: (443)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
样本也发上来吧
2011-8-18 10:17
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
16
样本不知去向了~
2011-8-18 10:34
0
雪    币: 172
活跃值: (40)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
17
没有 样本 没有时间 每天下班回家都7点 做个饭 吃个饭 洗个澡 都九点多了 11点半又要睡觉
鬼影 那个样本都在电脑里窝了好几个月了
2011-8-18 10:46
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
18
me too~
每天时间太少了~我还有50本新书要看,还有一整个booksky的手打要效验~~
2011-8-18 12:05
0
雪    币: 10962
活跃值: (2925)
能力值: ( LV5,RANK:71 )
在线值:
发帖
回帖
粉丝
20
坏人做到底吧
2011-8-18 12:28
0
雪    币: 233
活跃值: (285)
能力值: ( LV12,RANK:270 )
在线值:
发帖
回帖
粉丝
21
排队来膜拜V大~~
2011-8-18 13:05
0
雪    币: 405
活跃值: (2285)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
22
鬼影3那个比较简单,和魅影基本一个加载原理,就加了个保护的 驱动而已。TDL4的逆的很头痛,原理好搞,还原出代码来困难啊。
2011-8-18 13:41
0
雪    币: 135
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
不难吧 只要把它FS里的东西提取出来不就OK了么
2011-8-18 14:08
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
24
FS提取出来了,话说主要是太多bin要逆~而且跟鬼影类似的各种硬的要命的硬编地址~
2011-8-18 15:16
0
雪    币: 217
活跃值: (92)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
好下来学习一下哈哈
2011-8-18 16:45
0
游客
登录 | 注册 方可回帖
返回
//