首页
社区
课程
招聘
[原创]360开发思路分析
发表于: 2016-6-28 11:18 17135

[原创]360开发思路分析

2016-6-28 11:18
17135

扯个淡,互联网对我帮助到现在 我也想向互联网贡献自己的一份微薄之力。
本篇主要作为分享360的开发思路,并非介绍逆向或其他内容

最近工作需要,需要过UAC,目前国内比较出名的就是360了 分析之。
360的服务为“ZhuDongFangYu.exe” 没加壳 扔到IDA内分析之

找到Main函数入口

小提示:凡是被IDA识别出的函数除了会显示函数名外还是高亮哦,想要找到他并不难呢。

可以看到入口中函数并不算多,从第一个进去分析之。

很明显,从API可以看到是获取xx.dll的路径,并将算出来的路径赋值到某全局变量内
OK,看下一个函数

内容不多,使用线程锁,在中间对某指针赋值,值是某个函数
继续下一个函数

好吧,还是线程中赋值

第四个函数中调用了某DLL的创建对象函数,猜测是com或是某个类,值得注意的是 他调用后立马就给释放掉了,看样子是某些一次性函数 比如设置系统 设置令牌之类的


OK,第五个函数,从参数上一看就知道是核心函数了,他将服务的所有启动参数都带入了进去,跟进之


这个函数比较大,所以头部我就没截图了,第一行是GetCommandLine,用处是获取程序的启动参数。第二行内容叫做,跟进看之

进去之后看到共有四个函数,其中有两个函数是一样的,相当于是三个函数,为了避免浪费时间,一些不重要内容的函数直接跳过了
看第三个个函数,传入进去了一个文件版本结构,跟进之

OK,我注释写的够清楚了,我觉得这个是一个亮点,首先可以确定的是这个函数用来获取系统版本的,
但令我不明白的是,就是因为哪些原因,导致了360的开发人员不直接使用api 而是使用ntoskrnl.exe这个内核文件的版本呢? 我不知道,但这么做一定有他的理由。

OK,回到第往上两次的函数体继续跟进查看

上面的已经分析明白了,看下面的,很明了是一些启动参数的判断,如果启动参数是什么则执行什么,

为了避免文章过于庞大,所以一些不是很重要的内容我仅进行稍微的介绍

他死思路是进入函数提后获取参数, 先进行参数判断,是否有参数,如果有参数则执行while的参数判断函数提并执行相应的命令,如果没有参数则跳转到LABEL_9

执行  跟进查看主要的函数“设置服务函数体”

关于服务程序稍微介绍一下,写过服务的都知道,服务的函数提并不是我们自己调用的,而是在Main函数中给某个结构体中赋值,而被赋值的值则是我们真正的服务

函数提的函数指针,而这个函数指针将会由系统进行调用运行,现在查看这个函数体


OK,显而易见,fun_360server函数提就是360的主函数了(被我修改了函数名,嘿嘿,方便识别) 修改方法是选中函数的Name按下x键 注意,头部不能携带sub关键

非常的抱歉,因为时间关系,这篇文章来来回回折腾了三天 太忙了,因为本篇文章主要是作为思路分享,所以过程我就不在继续往下了 而是直接上结果,请看↓

注意:本张图片大小为14Mde bmp格式,如无法预览请选择图片链接进行下载查看


首先自启动部分是服务先启动,而后循环判断文件管理器是否启动,如果文件管理器启动了则启动360程序,实现过UAC  
其次,在系统已经运行的情况下 用户双击打开360的文件时是被360的驱动拦截并干掉启动进程 然后通知服务重新启动进程

最后希望可以给某些需要的人一些帮助


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 3
支持
分享
最新回复 (34)
雪    币: 19
活跃值: (1086)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
不错,分析的很好
2016-6-28 13:03
0
雪    币: 44
活跃值: (30)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
3
牛逼。。分析的很好

这图片 怎么回事。报毒
上传的附件:
2016-6-28 13:06
0
雪    币: 83
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
最后一张图 让我忍不住回下贴顶一下~~~~~~
2016-6-28 13:22
0
雪    币: 12848
活跃值: (9147)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
5
读ntoskrnl.exe是为了防止兼容模式
2016-6-28 13:28
0
雪    币: 26
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
看不懂······
2016-6-28 13:43
0
雪    币: 22
活跃值: (458)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
我只想知道 过UAC的 到底分析出来没有  ...
2016-6-28 15:58
0
雪    币: 3246
活跃值: (374)
能力值: (RANK:20 )
在线值:
发帖
回帖
粉丝
8
精力充沛呀,逆了这么多,不过UAC的关键流程好像还没理清楚
2016-6-28 16:46
0
雪    币: 457
活跃值: (218)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
9
理清楚了 因为他的是主动防御与驱动配合完成UAC操作的 我是通过动态调试来确定的 所以就没有说明了 方法就是帖子结尾说的 驱动干掉用户启动的进程 然后通知服务 服务启动进程
2016-6-28 18:03
0
雪    币: 457
活跃值: (218)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
10
[QUOTE=MDebug;1435093]牛逼。。分析的很好

这图片 怎么回事。报毒 [/QUOTE]

- -  绝对是搜狗**的问题  我用的云存储做的图床 速度快且稳定 而且一张图片都报毒 他是不是傻
2016-6-28 18:05
0
雪    币: 3246
活跃值: (374)
能力值: (RANK:20 )
在线值:
发帖
回帖
粉丝
11
不是这样的

2016-6-28 18:05
0
雪    币: 4470
活跃值: (3691)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
楼主用的绘图软件是?
2016-6-28 19:37
0
雪    币: 341
活跃值: (143)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
13
图666
2016-6-28 20:50
0
雪    币: 47147
活跃值: (20490)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
14
图片没了,建议上传到论坛本地。
2016-6-28 21:52
0
雪    币: 780
活跃值: (2394)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
15
写的很好,虽然IDA到现在用的还不是很熟练。。。。
2016-6-28 22:29
0
雪    币: 155
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
这也叫分析。。。关键信息一点没有。
2016-6-29 08:27
0
雪    币: 82
活跃值: (18)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
大神降临~
2016-6-29 08:55
0
雪    币: 457
活跃值: (218)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
18
我是通过调试器调试文件管理器给创建进程下断电 执行完创建函数后就暂停住 这样程序就不会运行,但进程依然成功运行了,打开任务管理器发现多出来一个360的进程 与我刚才创建的被暂停的进程一模一样 所以推断是这样的过UAC方法
2016-6-29 09:01
0
雪    币: 237
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
辛苦,尤其是最后一张图
2016-6-29 22:15
0
雪    币: 970
活跃值: (1269)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
文档写的很详细
2016-6-30 03:26
0
雪    币: 135
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
14m大的bmp~

就不会转化成 png?
转化后才 400k

png是无损压缩,不会影响图片质量。
2016-6-30 07:54
0
雪    币: 1258
活跃值: (1434)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
过UAC不是这样...
发一个以前分析样本遇到的bypass 方法吧。

   UAC(User Account Control,用户帐户控制)是微软为提高系统安全而在Windows Vista中引入的新技术,它要求用户在执行可能会影响计算机运行的操作或执行更改影响其他用户的设置的操作之前,提供权限或管理员*密码。通过在这些操作启动前对其进行验证,UAC 可以帮助防止恶意软件和间谍软件在未经许可的情况下在计算机上进行安装或对计算机进行更改。
在分析过程中,发现本样本在双击之后,不会弹出用户确认窗口,而且在其应用程序配置清单中,权限申明并非系统管理员权限,所以断定样本自身有绕过UAC行为。

绕过流程:

5.1 在C:\Windows\system32\ 路径下寻找的exe,判断其资源清单文件中是否满足下列属性
<autoElevate>true</autoElevate>
<requestedExecutionLevel level="requireAdministrator"/>
5.2 从找到的exe中解析其导入模块,寻找不在 KnownDLLs 键值下的 dll,以便用来劫持
5.3 复制找到的dll到 %temp% 目录下,对其进行patch,使其入口点完成
WinExec(“[样本当前路径] -eval [当前进程PID]” ,SW_SHOWNORMAL),调用ExitProcess退出
5.4 以挂起方式创建explorer进程,修改其上下文,写入shellcode完成在C:\Windows\system32\创建新目录,将找        到的EXE与DLL复制到文件夹中,并通过ShellExecute 来执行exe
5.5 当exe成功执行后,样本通过判断窗体类Shell_TrayWnd 的属性 cerber_uac_status 的值 ,来判断pass uac是        否成功,若判断成功则会退出当前程序,若失败则继续寻找exe + dll
2016-7-20 11:45
0
雪    币: 457
活跃值: (218)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
23
看了好几遍 但还是没有很明白 可以仔细说下吗
2016-7-25 15:03
0
雪    币: 11131
活跃值: (17666)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
楼主技术厉害了,来支持了
2016-7-25 15:40
0
雪    币: 11
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
赞一个,楼主
2016-7-26 12:11
0
游客
登录 | 注册 方可回帖
返回
//