[原创]A了Stuxnet的加载DLL代码--从内存中加载某个DLL-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]A了Stuxnet的加载DLL代码--从内存中加载某个DLL

发表于: 2013-6-15 21:20 15186

[原创]A了Stuxnet的加载DLL代码--从内存中加载某个DLL

phthegreat 活跃值

2013-6-15 21:20

15186

Stuxnet出来很久很久了，之前看过分析文档，觉得它的加载DLL的方式比较有意思，一直没有时间来整，近段时间比较空闲，于是就有了这篇文章

首先，Stuxnet加载DLL的方式，不是传统的PE LOADER，而是将一片内容重新映射，这样做的效果就是，映射过后，这个DLL没有出现在模块列表中，但是可以GetProcAddress获得DLL的导出函数，Stuxnet调用15号导出函数就是这么干的。

Stuxnet的做法如下：
HOOK了6个ntdll的函数，分别为：

ZwCreateSection
ZwClose
ZwMapViewOfSection
ZwOpenFile
ZwQueryAttributesFile
ZwQuerySection

.text:10001B87 loc_10001B87:                 ; DATA XREF: sub_100017F5+108o
.text:10001B87                                         ; .text:off_10001AB2o
.text:10001B87                 pop     edx
.text:10001B88                 test    dl, dl
.text:10001B8A                 jz      short loc_10001BB1 ; ZwMapViewOfSection
.text:10001B8C                 dec     dl
.text:10001B8E                 jz      loc_10001C16    ; ZwCreateSection
.text:10001B94                 dec     dl
.text:10001B96                 jz      loc_10001C57    ; ZwOpenFile
.text:10001B9C                 dec     dl
.text:10001B9E                 jz      loc_10001CA2    ; ZwClose
.text:10001BA4                 dec     dl
.text:10001BA6                 jz      loc_10001CEC    ; ZwQueryAttributesFile
.text:10001BAC                 jmp     loc_10001D3D    ; ZwQuerySection

.text:10001CF5                 push    eax
.text:10001CF6                 push    edx
.text:10001CF7                 push    edi
.text:10001CF8                 mov     edi, [esp+14h]
.text:10001CFC                 call    CompareName
.text:10001D01                 pop     edi
.text:10001D02                 pop     edx
.text:10001D03                 test    eax, eax
.text:10001D05                 jz      short loc_10001D1A
.text:10001D07                 pop     eax
.text:10001D08                 test    edx, edx
.text:10001D0A                 jz      short loc_10001D17
.text:10001D0C                 mov     edx, [esp+0Ch]
.text:10001D10                [COLOR="red"] mov     dword ptr [edx+20h], 80h[/COLOR]
.text:10001D17
.text:10001D17 loc_10001D17:                           ; CODE XREF: .text:10001D0Aj
.text:10001D17                 xor     eax, eax
.text:10001D19                 retn
.text:10001D1A ; ---------------------------------------------------------------------------
.text:10001D1A
.text:10001D1A loc_10001D1A:                           ; CODE XREF: .text:10001D05j
.text:10001D1A                 pop     eax
.text:10001D1B
.text:10001D1B loc_10001D1B:                           ; CODE XREF: .text:10001CF3j
.text:10001D1B                 push    edx
.text:10001D1C                 call    sub_10001DF1
.text:10001D21                 cmp     dword ptr [edx+4], 0
.text:10001D25                 jnz     short loc_10001D30
.text:10001D27                 pop     edx
.text:10001D28                 lea     edx, [esp+8]
.text:10001D2C                 int     2Eh             ; DOS 2+ internal - EXECUTE COMMAND
.text:10001D2C                                         ; DS:SI -> counted CR-terminated command string
.text:10001D2E                 jmp     short locret_10001D3C
.text:10001D30 ; ---------------------------------------------------------------------------
.text:10001D30
.text:10001D30 loc_10001D30:                           ; CODE XREF: .text:10001D25j
.text:10001D30                 pop     edx
.text:10001D31                 lea     edx, [esp+8]
.text:10001D35                 call    large dword ptr fs:0C0h
.text:10001D3C
.text:10001D3C locret_10001D3C:                        ; CODE XREF: .text:10001D2Ej
.text:10001D3C                 retn

.text:10001C60                 push    eax
.text:10001C61                 push    edi
.text:10001C62                 mov     edi, [esp+18h]
.text:10001C66                 call    CompareName
.text:10001C6B                 mov     edx, eax
.text:10001C6D                 pop     edi
.text:10001C6E                 pop     eax
.text:10001C6F                 test    edx, edx
.text:10001C71                 jz      short loc_10001C80
.text:10001C73                 mov     eax, [esp+8]
.text:10001C77                 mov     dword ptr [eax], 0AE1982AEh
.text:10001C7D                 xor     eax, eax
.text:10001C7F                 retn
.text:10001C80 ; ---------------------------------------------------------------------------
.text:10001C80
.text:10001C80 loc_10001C80:                           ; CODE XREF: .text:10001C5Ej
.text:10001C80                                         ; .text:10001C71j
.text:10001C80                 push    edx
.text:10001C81                 call    sub_10001DF1
.text:10001C86                 cmp     dword ptr [edx+4], 0
.text:10001C8A                 jnz     short loc_10001C95
.text:10001C8C                 pop     edx
.text:10001C8D                 lea     edx, [esp+8]
.text:10001C91                 int     2Eh             ; DOS 2+ internal - EXECUTE COMMAND
.text:10001C91                                         ; DS:SI -> counted CR-terminated command string
.text:10001C93                 jmp     short locret_10001CA1
.text:10001C95 ; ---------------------------------------------------------------------------
.text:10001C95
.text:10001C95 loc_10001C95:                           ; CODE XREF: .text:10001C8Aj
.text:10001C95                 pop     edx
.text:10001C96                 lea     edx, [esp+8]
.text:10001C9A                 call    large dword ptr fs:0C0h
.text:10001CA1
.text:10001CA1 locret_10001CA1:                        ; CODE XREF: .text:10001C93j
.text:10001CA1                 retn
.text:10001CA2 ; ---------------------------------------------------------------------------
.text:10001CA2
.text:10001CA2 loc_10001CA2:                           ; CODE XREF: .text:10001B9Ej
.text:10001CA2                 [COLOR="Red"]cmp     dword ptr [esp+8], 0AE1982AEh[/COLOR]
.text:10001CAA                 jnz     short loc_10001CAF
.text:10001CAC                 xor     eax, eax
.text:10001CAE                 retn

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

MyLoadLibrary.rar （657.94kb，227次下载）

收藏・30

免费・5

支持

最新回复 (18)
qqlinhai 雪币： 114 活跃值： (180) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 288 粉丝 0 关注私信	qqlinhai 2 楼此贴必火，前排招租位。。 2013-6-15 21:32 0
xiejienet 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 639 粉丝 0 关注私信	xiejienet 3 楼版主,快来射... 2013-6-15 21:34 0
封心锁爱雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 170 粉丝 1 关注私信	封心锁爱 4 楼菜鸟先mark 2013-6-15 22:21 0
dayang 雪币： 220 活跃值： (721) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 5 楼前来支持，有码就是好 2013-6-15 22:50 0
loveqqc 雪币： 276 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 226 粉丝 0 关注私信	loveqqc 6 楼膜拜楼主，不错啊，学习 2013-6-16 07:40 0
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 394 粉丝 0 关注私信	boainfall 7 楼菜鸟过来学习 2013-6-16 09:05 0
zzcc 雪币： 243 活跃值： (247) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 377 粉丝 0 关注私信	zzcc 8 楼 dll貌似是国产中望cad 2013-6-16 09:43 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 9 楼话说stuxnet的代码A了某老外论坛里的残疾版Loader。完整版Loader，某些人手里有。我的老帖子也是讨论这个问题： http://bbs.pediy.com/showthread.php?t=159743 2013-6-16 10:06 0
Rookietp 雪币： 1042 活跃值： (495) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 10 楼 Mark 123456 有时间学习 2013-6-16 10:18 0
phthegreat 雪币： 66 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 43 粉丝 1 关注私信	phthegreat 11 楼原来V大早有研究，学习学习 2013-6-16 12:28 0
hezhang 雪币： 677 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 123 粉丝 0 关注私信	hezhang 12 楼学习了感谢LZ 2013-6-17 18:40 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 13 楼用这种方式加载DLL的好处是什么呢？就是为了隐藏DLL模块？为了在程序里面再加载另外一个DLL，费劲HOOK一堆函数。如果单单为了研究技术，那也没什么。如果用于其他方面，看不出有什么优势~~ 2013-6-18 11:11 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 14 楼关键是能支持VMP和C#~~~ 2013-6-18 11:37 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 15 楼我是来膜拜楼上的楼上那么多精华文章的。 2013-6-18 12:58 0
lhwqqq 雪币： 47 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 87 粉丝 0 关注私信	lhwqqq 16 楼 AV组合真是形影不离啊 2013-6-22 09:49 0
phthegreat 雪币： 66 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 43 粉丝 1 关注私信	phthegreat 17 楼顿时感觉层次不够了。。看来还需要继续锻炼啊。。 2013-7-4 14:15 0
suiyu 雪币： 1283 活跃值： (46) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 133 粉丝 0 关注私信	suiyu 18 楼在俺的电脑上编译了之后，跑不起来， DWORD GetEAX() { DWORD dwEAX; _asm { mov dwEAX,eax; } return dwEAX; } 此函数返回的EAX的值是一长串数字，不是需要Hook的入口数字。。。。所以，在DWORD ZwDetour()这个总是返回0咯。。。XP系统，VC6编译！ 2013-7-11 14:44 0
_九公子雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	_九公子 19 楼楼主有木有震网病毒的样本呀，，，可不可以分享下，，， 2020-5-25 21:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

phthegreat

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
qqlinhai 雪币： 114 活跃值： (180) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 288 粉丝 0 关注私信	qqlinhai 2 楼此贴必火，前排招租位。。 2013-6-15 21:32 0
xiejienet 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 639 粉丝 0 关注私信	xiejienet 3 楼版主,快来射... 2013-6-15 21:34 0
封心锁爱雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 170 粉丝 1 关注私信	封心锁爱 4 楼菜鸟先mark 2013-6-15 22:21 0
dayang 雪币： 220 活跃值： (721) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 5 楼前来支持，有码就是好 2013-6-15 22:50 0
loveqqc 雪币： 276 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 226 粉丝 0 关注私信	loveqqc 6 楼膜拜楼主，不错啊，学习 2013-6-16 07:40 0
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 394 粉丝 0 关注私信	boainfall 7 楼菜鸟过来学习 2013-6-16 09:05 0
zzcc 雪币： 243 活跃值： (247) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 377 粉丝 0 关注私信	zzcc 8 楼 dll貌似是国产中望cad 2013-6-16 09:43 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 9 楼话说stuxnet的代码A了某老外论坛里的残疾版Loader。完整版Loader，某些人手里有。我的老帖子也是讨论这个问题： http://bbs.pediy.com/showthread.php?t=159743 2013-6-16 10:06 0
Rookietp 雪币： 1042 活跃值： (495) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 10 楼 Mark 123456 有时间学习 2013-6-16 10:18 0
phthegreat 雪币： 66 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 43 粉丝 1 关注私信	phthegreat 11 楼原来V大早有研究，学习学习 2013-6-16 12:28 0
hezhang 雪币： 677 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 123 粉丝 0 关注私信	hezhang 12 楼学习了感谢LZ 2013-6-17 18:40 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 13 楼用这种方式加载DLL的好处是什么呢？就是为了隐藏DLL模块？为了在程序里面再加载另外一个DLL，费劲HOOK一堆函数。如果单单为了研究技术，那也没什么。如果用于其他方面，看不出有什么优势~~ 2013-6-18 11:11 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 14 楼关键是能支持VMP和C#~~~ 2013-6-18 11:37 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 15 楼我是来膜拜楼上的楼上那么多精华文章的。 2013-6-18 12:58 0
lhwqqq 雪币： 47 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 87 粉丝 0 关注私信	lhwqqq 16 楼 AV组合真是形影不离啊 2013-6-22 09:49 0
phthegreat 雪币： 66 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 43 粉丝 1 关注私信	phthegreat 17 楼顿时感觉层次不够了。。看来还需要继续锻炼啊。。 2013-7-4 14:15 0
suiyu 雪币： 1283 活跃值： (46) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 133 粉丝 0 关注私信	suiyu 18 楼在俺的电脑上编译了之后，跑不起来， DWORD GetEAX() { DWORD dwEAX; _asm { mov dwEAX,eax; } return dwEAX; } 此函数返回的EAX的值是一长串数字，不是需要Hook的入口数字。。。。所以，在DWORD ZwDetour()这个总是返回0咯。。。XP系统，VC6编译！ 2013-7-11 14:44 0
_九公子雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	_九公子 19 楼楼主有木有震网病毒的样本呀，，，可不可以分享下，，， 2020-5-25 21:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复