扯个淡,互联网对我帮助到现在 我也想向互联网贡献自己的一份微薄之力。
本篇主要作为分享360的开发思路,并非介绍逆向或其他内容
最近工作需要,需要过UAC,目前国内比较出名的就是360了 分析之。
360的服务为“ZhuDongFangYu.exe” 没加壳 扔到IDA内分析之
找到Main函数入口
小提示:凡是被IDA识别出的函数除了会显示函数名外还是高亮哦,想要找到他并不难呢。
可以看到入口中函数并不算多,从第一个进去分析之。
很明显,从API可以看到是获取xx.dll的路径,并将算出来的路径赋值到某全局变量内
OK,看下一个函数
内容不多,使用线程锁,在中间对某指针赋值,值是某个函数
继续下一个函数
好吧,还是线程中赋值
第四个函数中调用了某DLL的创建对象函数,猜测是com或是某个类,值得注意的是 他调用后立马就给释放掉了,看样子是某些一次性函数 比如设置系统 设置令牌之类的
OK,第五个函数,从参数上一看就知道是核心函数了,他将服务的所有启动参数都带入了进去,跟进之
这个函数比较大,所以头部我就没截图了,第一行是GetCommandLine,用处是获取程序的启动参数。第二行内容叫做,跟进看之
进去之后看到共有四个函数,其中有两个函数是一样的,相当于是三个函数,为了避免浪费时间,一些不重要内容的函数直接跳过了
看第三个个函数,传入进去了一个文件版本结构,跟进之
OK,我注释写的够清楚了,我觉得这个是一个亮点,首先可以确定的是这个函数用来获取系统版本的,
但令我不明白的是,就是因为哪些原因,导致了360的开发人员不直接使用api 而是使用ntoskrnl.exe这个内核文件的版本呢? 我不知道,但这么做一定有他的理由。
OK,回到第往上两次的函数体继续跟进查看
上面的已经分析明白了,看下面的,很明了是一些启动参数的判断,如果启动参数是什么则执行什么,
为了避免文章过于庞大,所以一些不是很重要的内容我仅进行稍微的介绍
他死思路是进入函数提后获取参数, 先进行参数判断,是否有参数,如果有参数则执行while的参数判断函数提并执行相应的命令,如果没有参数则跳转到LABEL_9
执行 跟进查看主要的函数“设置服务函数体”
关于服务程序稍微介绍一下,写过服务的都知道,服务的函数提并不是我们自己调用的,而是在Main函数中给某个结构体中赋值,而被赋值的值则是我们真正的服务
函数提的函数指针,而这个函数指针将会由系统进行调用运行,现在查看这个函数体
OK,显而易见,fun_360server函数提就是360的主函数了(被我修改了函数名,嘿嘿,方便识别) 修改方法是选中函数的Name按下x键 注意,头部不能携带sub关键
非常的抱歉,因为时间关系,这篇文章来来回回折腾了三天 太忙了,因为本篇文章主要是作为思路分享,所以过程我就不在继续往下了 而是直接上结果,请看↓
注意:本张图片大小为14Mde bmp格式,如无法预览请选择图片链接进行下载查看
首先自启动部分是服务先启动,而后循环判断文件管理器是否启动,如果文件管理器启动了则启动360程序,实现过UAC
其次,在系统已经运行的情况下 用户双击打开360的文件时是被360的驱动拦截并干掉启动进程 然后通知服务重新启动进程
最后希望可以给某些需要的人一些帮助
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)