首页
社区
课程
招聘
[原创]PE监控器(监控系统PE文件的创建和改写操作)(开源)
发表于: 2012-5-1 12:05 11748

[原创]PE监控器(监控系统PE文件的创建和改写操作)(开源)

2012-5-1 12:05
11748

标 题: 【原创】PE监控器(监控系统PE文件的创建和改写操作)(开源)
作 者: zhxfl
时 间: 2012-05-01
链 接: http://bbs.pediy.com/showthread.php?t=150065
附 件: PPE 开源.rar
blog :http://blog.sina.com.cn/zhenghuanxin

[I]软件来源:  [/I]

       每次在网上下载一个小工具,都担心他是否被捆版了感染型的病毒,然后自己YY了一下,得到这样的结论:感染型病毒有一个修改系统已有PE文件的功能,那么我需要一个工具,用来监控一个新的陌生的应用程序第一次在我的系统中运行的时候是否修改了系统本来的文件,然后这个蛋疼的工具就产生了。
这个思想绝对不是什么有创意的思想,但是对于像我一样的初学者,(6000行的框架代码看完了,总得联系一下吧,苦逼硬挤,弄出这么一个需求),思想不等大雅之堂,所以开源出来,只供练手,高手略过。

[I]开发环境:[/I]

Vc6.0+wdk

[I]Sys 编译指令:[/I]

先编译sfilter
在编译sflt_smpl
在cmd进入对应目录,然后my_build fre wxp即可。

[I]驱动安装 :[/I]

使用srvinstw.exe 安装服务(手工安装服务)
驱动服务名为:sflt_smpl


  


 安装驱动时那个输入路径是有bug的,直接黏贴路径进去即可。用cmd启动服务。

[I]功能说明 [/I]



图4 PEPS 界面以及运行效果
start   :连接驱动服务。
service1:开启服务类型1,只监控create和write行为,不做拦截。
service2:开启服务类型2,监控create行为,拦截对系统已有文件的write行为。
delete  :如果发现非法write行为,可以对create的文件做删除操作。清除病毒体。
exit    :关闭驱动服务,退出程序。
about   :版本信息。
num     :拦截操作序号。
path    :对应操作的路径。
operate :对应操作的类型。

[I]功能演示:    [/I]



按 start 连接通信,先不要开启服务,在C盘下放a的文件夹,运行1.exe,这时候a文件夹里面NOTEPAD.EXE被感染,感染的特性是必须启动Text.dll,所以运行是弹出“中毒了”的标志。


  
现在开启service2,然后重新放一个没有被感染的notepad.exe在a文件夹里面,发现同时拦截了改写系统文件的行为。运行一下notepad.exe,没有被感染。
有运行了codeblock的安装程序,监控只有create创建文件行为,没有非法的改写行为。然后在运行其他安装程序,这些安装程序都是第一次在系统安装(如果不是第一次,肯定有覆盖行为)



[I]改进空间:  [/I]
作为练手的工具,这里只讨论效率上面的东西,我需要在驱动里面记录windows所有的创建(create)的文件的路径,这里我用了一个链表,每次有一个write行为,获取其路径,然后去create链表里面线性查找,如果没找到,说明这个写行为改写的是系统本来的文件,那么系统就表示系统PE文件被感染了。
  这个做法看起来没什么问题,不过在链表里面线性查找,是一个不好的做法,要知道系统的文件请求IRP请求多得跟当年的日本鬼子一样,很快create的链表就会很长,而write操作也很多,所以复杂度就无法接受了。
  改进的方法是:把create路径存在一颗平衡二叉树里面(在应用层的STL里面有set和map,都是用红黑树),把每次查找的复杂度从O(n)降低到log(n),log(n)可以认为是一个很小的常数,所以复杂度就降低下来了。另外也可以将字符串转化成数字,然后开一个数组,之后去hash,这个理论复杂度是0(1)。
  之所以没弄这个优化,主要是因为驱动调试实在是有点困难,不像应用层,以后有时间在修改。见笑了。所以开了这个工具之后,要及时关闭。
  另外,由于驱动通信上面设计的不好(一大堆互斥锁,忙等之类的),所以退出的时候,请做一个拷贝PE文件的操作,使得驱动里面的忙等结束。


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 6
支持
分享
最新回复 (14)
雪    币: 601
活跃值: (256)
能力值: ( LV11,RANK:190 )
在线值:
发帖
回帖
粉丝
2
我想第一个下载来看看,谢谢

晕,高清无码....
2012-5-1 12:09
0
雪    币: 1149
活跃值: (888)
能力值: ( LV13,RANK:260 )
在线值:
发帖
回帖
粉丝
3
看一个o......呵呵minifilter 比较好一些,这样看起来 也显得有点臃肿 ,出了问题不好找啊....just advice ....ispe() 是不是 处理嘚.........改改吧,正规判断pe格式....
2012-5-1 12:14
0
雪    币: 145
活跃值: (105)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
4
上传错了附件,你重新下一下
2012-5-1 12:17
0
雪    币: 168
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
楼主,种子不少啊
2012-5-1 12:51
0
雪    币: 412
活跃值: (30)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
6
用哈希表是比较好的方法,
另外,用minifilter的话,可以省很多事情,当然对于学习来说,还是sfilter比较好。
2012-5-1 12:54
0
雪    币: 596
活跃值: (449)
能力值: ( LV12,RANK:320 )
在线值:
发帖
回帖
粉丝
7
表示标题有点大....
2012-5-1 13:08
0
雪    币: 145
活跃值: (105)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
8
焕然大悟,hash是0(1),而且容易实现
2012-5-1 13:14
0
雪    币: 145
活跃值: (105)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
9
只是为了交流学习而已,标题确实大了,有误导作用,已改小了
2012-5-1 13:15
0
雪    币: 58
活跃值: (1130)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
非常好,学习了!
2012-5-1 14:38
0
雪    币: 12
活跃值: (773)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
相当不错的~~
2012-5-2 16:12
0
雪    币: 105
活跃值: (38)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
12
惊现大牛。。。 如果是标题的话在ring3下面有很好的解决方案,不用Ring0则不用,google的做法。
2012-5-2 18:04
0
雪    币: 345
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
ring0好强大
2012-5-3 10:28
0
雪    币: 145
活跃值: (105)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
14
一下子就看出来了,确实偷懒没判断
2012-5-4 15:51
0
雪    币: 254
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
多谢你的分享!!!
2013-4-21 00:46
0
游客
登录 | 注册 方可回帖
返回
//