[原创]改一个字节轻松免杀，从蓝屏电脑发现腾讯“暗云Ⅲ木马专杀”的坑爹技术-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]改一个字节轻松免杀，从蓝屏电脑发现腾讯“暗云Ⅲ木马专杀”的坑爹技术

发表于: 2017-6-14 18:34 12836

[原创]改一个字节轻松免杀，从蓝屏电脑发现腾讯“暗云Ⅲ木马专杀”的坑爹技术

韭菜仙子

2017-6-14 18:34

12836

杀毒厂商喜欢包装概念，每次病毒出来都是“史上、最、超级、无敌”的，这些天被冠以“史上最XXXX”的病毒名叫暗云Ⅲ，腾讯管家又是弹窗又是连发N条微博，让大家赶快用它的专杀工具。

一脸蒙圈的群众不知道这病毒厉害不厉害，反正好像每次都很厉害，有人就用了腾讯管家的暗云Ⅲ专杀，把电脑杀得一片蓝屏，恍惚间以为永恒之蓝又卷土重来。

于是一个新的名词诞生了：暗云之蓝。

其实刚开始我以为蓝屏是病毒搞的，这个锅腾讯管家不背。直到看到一份公告，据说是腾讯管家和某机构合作发的：

既然腾讯管家自曝可能出现蓝屏，那就看看为什么杀着毒电脑会蓝。作为曾经有三位数rank的白帽子，逆向一个专杀工具也颇费了不少功夫，终于搞清楚腾讯管家暗云Ⅲ木马专杀的原理：

暗云Ⅲ木马会挂内核钩子来保护MBR，还注册了DPC函数来保护钩子，相当于双层保护，不让杀毒软件读写MBR。

腾讯管家专杀的方案，首先在内核抹掉DPC函数，再摘掉钩子，然后应用层便可以读取检测和修复MBR了。

接下来，让人大跌眼镜的一幕出现了！

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・7

免费・1

支持

最新回复 (28) 1 2 ▶
郎的诱惑雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	郎的诱惑 2 楼 2017-6-14 18:37 0
kz丶cn 雪币： 256 活跃值： (48) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 67 粉丝 1 关注私信	kz丶cn 3 楼所谓暗云所谓专杀 2017-6-14 18:43 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 4 楼现在不都GPT了么怎么还有人写MBR的 2017-6-14 19:51 0
asd 雪币： 7150 活跃值： (3741) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 161 粉丝 1 关注私信	asd 5 楼 hzqst 孩子去刷图 2017-6-14 20:28 0
mjsxjy 雪币： 94 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	mjsxjy 6 楼哈哈哈~ 2017-6-15 09:25 0
易始雪币： 193 活跃值： (548) 能力值： ( LV6，RANK：80 ) 在线值：发帖 14 回帖 45 粉丝 2 关注私信	易始 1 7 楼什么叫专杀工具，你还指望专杀工具能自带杀毒引擎了？人家开发人员熬夜加班开发专杀工具给广大网民，你这样喷的有意思吗 2017-6-15 09:56 0
CyberATT 雪币： 109 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 66 粉丝 0 关注私信	CyberATT 8 楼马化腾也就骗骗小鱼儿 2017-6-15 10:26 0
elapseyear 雪币： 326 活跃值： (56) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 112 粉丝 0 关注私信	elapseyear 9 楼内核抹掉DPC函数，再摘掉钩子。那个病毒驱动卸不掉吗。 2017-6-15 11:16 0
zhangtaopy 雪币： 125 活跃值： (161) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 146 粉丝 0 关注私信	zhangtaopy 1 10 楼没毛病，只要能解决问题，都可以好吧。 2017-6-15 11:38 0
wumnkx 雪币： 137 活跃值： (1548) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 109 粉丝 6 关注私信	wumnkx 11 楼作者的文笔很幽默 2017-6-15 12:24 0
韭菜仙子雪币： 46 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	韭菜仙子 12 楼 elapseyear 内核抹掉DPC函数，再摘掉钩子。那个病毒驱动卸不掉吗。没驱动，内核代码保护 2017-6-15 12:59 0
elapseyear 雪币： 326 活跃值： (56) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 112 粉丝 0 关注私信	elapseyear 13 楼启动就在MBR里hook了东东，感觉分析起来好麻烦。 2017-6-15 13:47 0
youxiaxy 雪币： 2058 活跃值： (1666) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 226 粉丝 3 关注私信	youxiaxy 14 楼都体谅点，哪个公司的开发都是赶时间的、 2017-6-17 08:01 0
巫云雪遥雪币： 36 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	巫云雪遥 15 楼没有选择，只能用tx的。要不你来个完美的通杀 2017-6-18 10:31 0
supersoar 雪币： 573 活跃值： (222) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 196 粉丝 0 关注私信	supersoar 16 楼 win10 还用 mbr ? 2017-6-18 15:30 0
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 17 楼 hzqst 现在不都GPT了么怎么还有人写MBR的 Win10同时支持MBR与UEFI启动，除非电脑是品牌电脑并且预装的是Win8以上系统，否则大部分还是MBR启动方式。纯UEFI启动还没你想象的哪么普及的，就说下面几个： 1.现在出厂的品牌电脑，如果出厂就预装了Win7，哪么肯定是MBR方式启动。虽然Win7支持UEFI启动，但是不支持Secure Boot，因为Win7的bootmgr.efi/winload.efi在引导过程中需要CSM支持，然而如果开启Secure Boot就需要关闭CSM，这是互相冲突的。 2. MBR方式和UEFI方式启动有本质不同，即使从Win7升级到Win10，如果不去刻意转换分区格式到GPT，哪么肯定还是继续使用MBR。所以，如果要是购买的电脑是预装了Win8及以上的系统，哪么100%是UEFI方式启动的。 3.兼容主板厂商在产品出厂的时候，大部分默认还是用CSM来启动的。这里需要搞清楚的是，2010年以后，各大主板厂商陆续开始向UEFI平台过渡，直到今日，绝大部分的主板构架都是UEFI的，但是UEFI为了兼容以前的老系统，提供了CSM模块。这个CSM就是用来模拟老BIOS平台的中断服务的，用来启动老版本的系统的。你可以切换主板的引导模式为CSM/UEFI+CSM/UEFI + Secure Boot,这个设置取决于安装系统的人或厂商，而不是装了什么系统。所以，如果还是使用CSM模式启动，哪么感染MBR还是可以起效的。 2017-6-19 04:21 0
QuietBar 雪币： 1101 活跃值： (158) 能力值： ( LV6，RANK：80 ) 在线值：发帖 6 回帖 20 粉丝 8 关注私信	QuietBar 18 楼我尝试修改MBR的内容，为什么win7 家庭版可以，而旗舰版不能？ 2017-6-20 11:09 0
不改网名雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	不改网名 19 楼 TX威武。。。哈哈哈 2017-6-22 10:19 0
xssysing 雪币： 938 活跃值： (948) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 60 粉丝 0 关注私信	xssysing 20 楼求暗云三写MBR的EXE 楼主。。。 2017-6-22 10:39 0
xssysing 雪币： 938 活跃值： (948) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 60 粉丝 0 关注私信	xssysing 21 楼韭菜仙子没驱动，内核代码保护求暗云三写MBR的EXE，楼主留下你的QQ号，或者加我的 457991 2017-6-22 10:42 0
Goldtulip 雪币： 174 活跃值： (62) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 32 粉丝 0 关注私信	Goldtulip 22 楼这样的专杀救救急就罢了，不服的是tx牛吹的太神奇。。。 2017-6-29 09:32 0
wooyunking 雪币： 1037 活跃值： (1780) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 148 粉丝 3 关注私信	wooyunking 23 楼楼主怎么这么像乌云白帽子紫霞仙子啊 2017-6-29 16:31 0
panjunfude 雪币： 283 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 37 粉丝 1 关注私信	panjunfude 24 楼虽然细节看不到，大体流程看懂了。揭秘了腾讯的不负责，同时也让我们明白了暗云也不是神秘的东西 2017-11-12 16:50 0
黑洛雪币： 6124 活跃值： (4676) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 72 关注私信	黑洛 1 25 楼不然呢，我觉得这是赶工最好的处理方法了，怎么这也要拿出来喷一下。 2017-12-21 02:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

韭菜仙子

发帖

回帖

RANK

关注

私信

他的文章

[原创]改一个字节轻松免杀，从蓝屏电脑发现腾讯“暗云Ⅲ木马专杀”的坑爹技术 12837

关于我们

联系我们

企业服务

看雪公众号

最新回复 (28) 1 2 ▶
郎的诱惑雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	郎的诱惑 2 楼 2017-6-14 18:37 0
kz丶cn 雪币： 256 活跃值： (48) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 67 粉丝 1 关注私信	kz丶cn 3 楼所谓暗云所谓专杀 2017-6-14 18:43 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 4 楼现在不都GPT了么怎么还有人写MBR的 2017-6-14 19:51 0
asd 雪币： 7150 活跃值： (3741) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 161 粉丝 1 关注私信	asd 5 楼 hzqst 孩子去刷图 2017-6-14 20:28 0
mjsxjy 雪币： 94 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	mjsxjy 6 楼哈哈哈~ 2017-6-15 09:25 0
易始雪币： 193 活跃值： (548) 能力值： ( LV6，RANK：80 ) 在线值：发帖 14 回帖 45 粉丝 2 关注私信	易始 1 7 楼什么叫专杀工具，你还指望专杀工具能自带杀毒引擎了？人家开发人员熬夜加班开发专杀工具给广大网民，你这样喷的有意思吗 2017-6-15 09:56 0
CyberATT 雪币： 109 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 66 粉丝 0 关注私信	CyberATT 8 楼马化腾也就骗骗小鱼儿 2017-6-15 10:26 0
elapseyear 雪币： 326 活跃值： (56) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 112 粉丝 0 关注私信	elapseyear 9 楼内核抹掉DPC函数，再摘掉钩子。那个病毒驱动卸不掉吗。 2017-6-15 11:16 0
zhangtaopy 雪币： 125 活跃值： (161) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 146 粉丝 0 关注私信	zhangtaopy 1 10 楼没毛病，只要能解决问题，都可以好吧。 2017-6-15 11:38 0
wumnkx 雪币： 137 活跃值： (1548) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 109 粉丝 6 关注私信	wumnkx 11 楼作者的文笔很幽默 2017-6-15 12:24 0
韭菜仙子雪币： 46 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	韭菜仙子 12 楼 elapseyear 内核抹掉DPC函数，再摘掉钩子。那个病毒驱动卸不掉吗。没驱动，内核代码保护 2017-6-15 12:59 0
elapseyear 雪币： 326 活跃值： (56) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 112 粉丝 0 关注私信	elapseyear 13 楼启动就在MBR里hook了东东，感觉分析起来好麻烦。 2017-6-15 13:47 0
youxiaxy 雪币： 2058 活跃值： (1666) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 226 粉丝 3 关注私信	youxiaxy 14 楼都体谅点，哪个公司的开发都是赶时间的、 2017-6-17 08:01 0
巫云雪遥雪币： 36 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	巫云雪遥 15 楼没有选择，只能用tx的。要不你来个完美的通杀 2017-6-18 10:31 0
supersoar 雪币： 573 活跃值： (222) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 196 粉丝 0 关注私信	supersoar 16 楼 win10 还用 mbr ? 2017-6-18 15:30 0
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 17 楼 hzqst 现在不都GPT了么怎么还有人写MBR的 Win10同时支持MBR与UEFI启动，除非电脑是品牌电脑并且预装的是Win8以上系统，否则大部分还是MBR启动方式。纯UEFI启动还没你想象的哪么普及的，就说下面几个： 1.现在出厂的品牌电脑，如果出厂就预装了Win7，哪么肯定是MBR方式启动。虽然Win7支持UEFI启动，但是不支持Secure Boot，因为Win7的bootmgr.efi/winload.efi在引导过程中需要CSM支持，然而如果开启Secure Boot就需要关闭CSM，这是互相冲突的。 2. MBR方式和UEFI方式启动有本质不同，即使从Win7升级到Win10，如果不去刻意转换分区格式到GPT，哪么肯定还是继续使用MBR。所以，如果要是购买的电脑是预装了Win8及以上的系统，哪么100%是UEFI方式启动的。 3.兼容主板厂商在产品出厂的时候，大部分默认还是用CSM来启动的。这里需要搞清楚的是，2010年以后，各大主板厂商陆续开始向UEFI平台过渡，直到今日，绝大部分的主板构架都是UEFI的，但是UEFI为了兼容以前的老系统，提供了CSM模块。这个CSM就是用来模拟老BIOS平台的中断服务的，用来启动老版本的系统的。你可以切换主板的引导模式为CSM/UEFI+CSM/UEFI + Secure Boot,这个设置取决于安装系统的人或厂商，而不是装了什么系统。所以，如果还是使用CSM模式启动，哪么感染MBR还是可以起效的。 2017-6-19 04:21 0
QuietBar 雪币： 1101 活跃值： (158) 能力值： ( LV6，RANK：80 ) 在线值：发帖 6 回帖 20 粉丝 8 关注私信	QuietBar 18 楼我尝试修改MBR的内容，为什么win7 家庭版可以，而旗舰版不能？ 2017-6-20 11:09 0
不改网名雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	不改网名 19 楼 TX威武。。。哈哈哈 2017-6-22 10:19 0
xssysing 雪币： 938 活跃值： (948) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 60 粉丝 0 关注私信	xssysing 20 楼求暗云三写MBR的EXE 楼主。。。 2017-6-22 10:39 0
xssysing 雪币： 938 活跃值： (948) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 60 粉丝 0 关注私信	xssysing 21 楼韭菜仙子没驱动，内核代码保护求暗云三写MBR的EXE，楼主留下你的QQ号，或者加我的 457991 2017-6-22 10:42 0
Goldtulip 雪币： 174 活跃值： (62) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 32 粉丝 0 关注私信	Goldtulip 22 楼这样的专杀救救急就罢了，不服的是tx牛吹的太神奇。。。 2017-6-29 09:32 0
wooyunking 雪币： 1037 活跃值： (1780) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 148 粉丝 3 关注私信	wooyunking 23 楼楼主怎么这么像乌云白帽子紫霞仙子啊 2017-6-29 16:31 0
panjunfude 雪币： 283 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 37 粉丝 1 关注私信	panjunfude 24 楼虽然细节看不到，大体流程看懂了。揭秘了腾讯的不负责，同时也让我们明白了暗云也不是神秘的东西 2017-11-12 16:50 0
黑洛雪币： 6124 活跃值： (4676) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 72 关注私信	黑洛 1 25 楼不然呢，我觉得这是赶工最好的处理方法了，怎么这也要拿出来喷一下。 2017-12-21 02:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复