-
-
[原创]对于极虎病毒驱动,啰嗦两句
-
发表于: 2012-5-4 10:16
-
这个,本来极虎病毒的驱动没啥要说的来着,因为自己一时疏忽,当初得到的驱动样本是用Xuetr在内存中Dump出来的。。。自己忘了这一点。于是乎丢进IDA一片硬编码,一片红,自己还去问人家咋回事,难怪没人回。。。
但是呢,我用这个Dump出来的驱动做了分析,经过一些处理之后,基本还原了本来的面貌,流程什么的都比较清楚了,完全可以跟原始的驱动文件分析达到相同效果。
下面就记录一下,算是长点经验。。。
1、一开始丢进IDA是这个样子的:
从IDA看到加载基地址指向0x00400000,而绝对编码地址都在0xf8000000以上,流程完全出不来
在DriverEntry函数里面有一条指令 push 0F8C46EA4h,用Windbg查看这个地址是字符串"\\Device\\Forter",同时在IDA文件地址00400EA4处找到了这个字符串,偏移都是EA4,于是果断用WinHex把Forter.sys的ImageBase改成了F8C46000,再重新丢进IDA分析,就明了了许多。
2、查看导入表,是这个样子的
又是一头雾水。。。
经过第一步的修改,DriverEntry已经变成了这个样子:
可以看到字符串都已经修正了,但多了一个ntoskrnl_2026139886,猜测是RtlInitUnicodeString函数,算是乱撞吧,2026139886==0x787C470EE,查看驱动的0xF87C470EE处,正好是RtlInitUnicodeString字符串,
依照这样一步步修改,就差不多了
有些硬编码的地址,可以使用WinDbg直接查看是什么函数
附上Dump出来的驱动,希望对大家有些帮助
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
学习了........
|
|
|
|
|
|
|
|
|
又学一招!!
|
|
|
|
|
|
|
|
|
|
