[原创]去一个小广告-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]去一个小广告

发表于: 2018-9-5 04:22 10146

[原创]去一个小广告

xiaofu

2018-9-5 04:22

10146

0x1:

在Store里面找到一个看书的软件

打开后发现右边一直有个广告。

找到对应的进程WWAHost.exe和其挂载的应用目录

调试器挂上去调试了一下，发现它就是个嵌着网页的东西。于是就跑到这个应用的目录下面

果然发现了一些HTML的文件，里面还有醒目的广告层，意思是让我赶快去掉。

Program Files\WindowsApps是你装的UWP应用。既然找到了要修改的文件，那改完就完事了。删掉ad-viewer的div，保存后提示

0x2:

一开始我以为只是简单的文件夹权限问题，于是把文件夹的所有者改为了我的当前用户，再把当前用户的权限设为完全控制，不过仍然是失败的

那么问题出在哪里呢，简单测试一下,看看是什么情况,用PsExec拉起system权限的cmd

报错

为什么系统正常的进程可以打开，而我们的进程不能打开呢。

于是我怀疑系统在minifilter上做了过滤，先随便找一个Create pre的回调

看下其调用栈

我们就知道了minifilter的irp_mj_create prefunc是由

FLTMGR!FltpPerformPreCallbacks

负责调用的，看一下它对应的代码

在这里做一个HOOK，调用回调后检测它设否设置了STATUS_ACCESS_DENIED.

mov rax, qword ptr [rdi+18h] 我们在这里做一个HOOK

在执行每个回调后，我们输出一下回调设置的状态值，然而可以看到，每个回调都设置的是STATUS_SUCCESS

可是cmd仍然返回拒绝访问。并不是minifilter中所过滤的。那会不会是我们的打开方式不对呢。

先看下在安装软件的时候，是谁写入的文件

AppXSvc是一个服务，我们可以手动运行命令来控制

net start AppXSvc

net stop AppXSvc

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・24

免费・4

支持

最新回复 (28) 1 2 ▶
tdsss 雪币： 954 活跃值： (123) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 57 粉丝 4 关注私信	tdsss 2 楼好文章，支持一下。 2018-9-5 04:50 0
有毒雪币： 15191 活跃值： (16857) 能力值： (RANK：730 ) 在线值：发帖 56 回帖 529 粉丝 327 关注私信	有毒 10 3 楼这需要好好学习一下啊 2018-9-5 08:40 0
Diabloking 雪币： 350 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 117 粉丝 0 关注私信	Diabloking 4 楼棒 2018-9-5 08:50 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 5 楼这一顿钩子的连招把我吓傻了 2018-9-5 09:04 0
瀚海云烟雪币： 293 活跃值： (287) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 531 粉丝 1 关注私信	瀚海云烟 1 6 楼令人窒息的操作 2018-9-5 10:12 0
HadesW 雪币： 9217 活跃值： (1886) 能力值： ( LV6，RANK：90 ) 在线值：发帖 2 回帖 54 粉丝 87 关注私信	HadesW 2 7 楼哇，好强啊！ 2018-9-5 10:18 0
zplusplus 雪币： 689 活跃值： (422) 能力值： ( LV11，RANK：190 ) 在线值：发帖 14 回帖 146 粉丝 28 关注私信	zplusplus 1 8 楼看到开头我以为只是删掉一段html代码，万万没想到啊。。。。。。 2018-9-5 10:19 0
syser 雪币： 3574 活跃值： (4719) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 231 粉丝 8 关注私信	syser 9 楼万万没想到... 2018-9-5 10:42 0
wsc 雪币： 42 活跃值： (5259) 能力值： ( LV3，RANK：20 ) 在线值：发帖 132 回帖 573 粉丝 54 关注私信	wsc 10 楼好骚的操作 2018-9-5 10:44 0
二娃雪币： 6314 活跃值： (952) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 56 粉丝 3 关注私信	二娃 11 楼感谢楼主分享 2018-9-5 12:38 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 12 楼意思就是，explorer进程没有System权限就不能修改WindowsApps里面的文件 2018-9-5 14:09 0
咖啡_741298 雪币： 6 活跃值： (3290) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 142 粉丝 1 关注私信	咖啡_741298 13 楼 system权限的cmd再设置一下 protected process 也要可以访问吗？ 2018-9-5 16:13 0
kakasasa 雪币： 576 活跃值： (2035) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 294 粉丝 5 关注私信	kakasasa 14 楼学习了 2018-9-7 20:53 0
聖blue 雪币： 6818 活跃值： (153) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 358 粉丝 1 关注私信	聖blue 15 楼不错！！！最后于 2018-9-19 23:48 被聖blue编辑，原因：安错了！！！ 2018-9-19 23:47 0
SnowFox 雪币： 8107 活跃值： (1955) 能力值： ( LV8，RANK：122 ) 在线值：发帖 17 回帖 303 粉丝 11 关注私信	SnowFox 16 楼这一连串的钩来钩去, 看呆了 2018-9-20 08:53 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 17 楼其实完全不必要，文件粉碎机一下干掉 2018-9-20 09:35 0
jackwolail 雪币： 737 活跃值： (513) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 35 粉丝 1 关注私信	jackwolail 18 楼好好学习,天天向上 2018-9-20 18:09 0
wx_aomo 雪币： 221 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wx_aomo 19 楼能不能用另外一个系统，如u盘里的Linux live，启动后找到这个文件，再修改保存？ 2018-9-22 18:06 0
alexbro 雪币： 1 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	alexbro 20 楼 19楼的方法是这么多回复中唯一靠谱的，不过LINUX下访问NTFS系统盘也有不少陷阱。最后于 2018-9-22 18:47 被alexbro编辑，原因： 2018-9-22 18:46 0
wx_nihaowoshizq 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wx_nihaowoshizq 21 楼 wx_aomo 能不能用另外一个系统，如u盘里的Linux live，启动后找到这个文件，再修改保存？ Pe可以访问吗？ 2018-9-22 19:27 0
coneco 雪币： 4942 活跃值： (4658) 能力值： ( LV10，RANK：171 ) 在线值：发帖 10 回帖 135 粉丝 74 关注私信	coneco 3 22 楼思路学习了，谢谢最后于 2018-9-22 20:19 被coneco编辑，原因： 2018-9-22 20:18 0
养乐多A 雪币： 495 活跃值： (147) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 84 粉丝 2 关注私信	养乐多A 23 楼被你钩晕了直接 win pe 简单粗暴最后于 2018-9-24 00:24 被养乐多A编辑，原因：打错字了 2018-9-24 00:24 0
Ox9A82 雪币： 799 活跃值： (457) 能力值： ( LV12，RANK：280 ) 在线值：发帖 18 回帖 116 粉丝 28 关注私信	Ox9A82 3 24 楼真"暴力去除" 2018-11-7 16:31 0
joker陈雪币： 10962 活跃值： (2925) 能力值： ( LV5，RANK：71 ) 在线值：发帖 18 回帖 339 粉丝 4 关注私信	joker陈 25 楼 orz,思路很重要。ring0了，什么都是浮云 2018-11-7 16:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

xiaofu

118

发帖

638

回帖

420

RANK

关注

私信

他的文章

[原创]EasyAnticheat的内存特征算法 21327
[原创]X64 Kernel Shellcode获取Ntos Base 11914
[讨论]Eac对抗HyperVisor的实现 12626
新TP的内存保护技术 (仅修改一个字节) 29977
[原创]be新加的hypervisor检测 11745

关于我们

联系我们

企业服务

看雪公众号

最新回复 (28) 1 2 ▶
tdsss 雪币： 954 活跃值： (123) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 57 粉丝 4 关注私信	tdsss 2 楼好文章，支持一下。 2018-9-5 04:50 0
有毒雪币： 15191 活跃值： (16857) 能力值： (RANK：730 ) 在线值：发帖 56 回帖 529 粉丝 327 关注私信	有毒 10 3 楼这需要好好学习一下啊 2018-9-5 08:40 0
Diabloking 雪币： 350 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 117 粉丝 0 关注私信	Diabloking 4 楼棒 2018-9-5 08:50 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 5 楼这一顿钩子的连招把我吓傻了 2018-9-5 09:04 0
瀚海云烟雪币： 293 活跃值： (287) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 531 粉丝 1 关注私信	瀚海云烟 1 6 楼令人窒息的操作 2018-9-5 10:12 0
HadesW 雪币： 9217 活跃值： (1886) 能力值： ( LV6，RANK：90 ) 在线值：发帖 2 回帖 54 粉丝 87 关注私信	HadesW 2 7 楼哇，好强啊！ 2018-9-5 10:18 0
zplusplus 雪币： 689 活跃值： (422) 能力值： ( LV11，RANK：190 ) 在线值：发帖 14 回帖 146 粉丝 28 关注私信	zplusplus 1 8 楼看到开头我以为只是删掉一段html代码，万万没想到啊。。。。。。 2018-9-5 10:19 0
syser 雪币： 3574 活跃值： (4719) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 231 粉丝 8 关注私信	syser 9 楼万万没想到... 2018-9-5 10:42 0
wsc 雪币： 42 活跃值： (5259) 能力值： ( LV3，RANK：20 ) 在线值：发帖 132 回帖 573 粉丝 54 关注私信	wsc 10 楼好骚的操作 2018-9-5 10:44 0
二娃雪币： 6314 活跃值： (952) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 56 粉丝 3 关注私信	二娃 11 楼感谢楼主分享 2018-9-5 12:38 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 12 楼意思就是，explorer进程没有System权限就不能修改WindowsApps里面的文件 2018-9-5 14:09 0
咖啡_741298 雪币： 6 活跃值： (3290) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 142 粉丝 1 关注私信	咖啡_741298 13 楼 system权限的cmd再设置一下 protected process 也要可以访问吗？ 2018-9-5 16:13 0
kakasasa 雪币： 576 活跃值： (2035) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 294 粉丝 5 关注私信	kakasasa 14 楼学习了 2018-9-7 20:53 0
聖blue 雪币： 6818 活跃值： (153) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 358 粉丝 1 关注私信	聖blue 15 楼不错！！！最后于 2018-9-19 23:48 被聖blue编辑，原因：安错了！！！ 2018-9-19 23:47 0
SnowFox 雪币： 8107 活跃值： (1955) 能力值： ( LV8，RANK：122 ) 在线值：发帖 17 回帖 303 粉丝 11 关注私信	SnowFox 16 楼这一连串的钩来钩去, 看呆了 2018-9-20 08:53 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 17 楼其实完全不必要，文件粉碎机一下干掉 2018-9-20 09:35 0
jackwolail 雪币： 737 活跃值： (513) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 35 粉丝 1 关注私信	jackwolail 18 楼好好学习,天天向上 2018-9-20 18:09 0
wx_aomo 雪币： 221 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wx_aomo 19 楼能不能用另外一个系统，如u盘里的Linux live，启动后找到这个文件，再修改保存？ 2018-9-22 18:06 0
alexbro 雪币： 1 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	alexbro 20 楼 19楼的方法是这么多回复中唯一靠谱的，不过LINUX下访问NTFS系统盘也有不少陷阱。最后于 2018-9-22 18:47 被alexbro编辑，原因： 2018-9-22 18:46 0
wx_nihaowoshizq 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wx_nihaowoshizq 21 楼 wx_aomo 能不能用另外一个系统，如u盘里的Linux live，启动后找到这个文件，再修改保存？ Pe可以访问吗？ 2018-9-22 19:27 0
coneco 雪币： 4942 活跃值： (4658) 能力值： ( LV10，RANK：171 ) 在线值：发帖 10 回帖 135 粉丝 74 关注私信	coneco 3 22 楼思路学习了，谢谢最后于 2018-9-22 20:19 被coneco编辑，原因： 2018-9-22 20:18 0
养乐多A 雪币： 495 活跃值： (147) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 84 粉丝 2 关注私信	养乐多A 23 楼被你钩晕了直接 win pe 简单粗暴最后于 2018-9-24 00:24 被养乐多A编辑，原因：打错字了 2018-9-24 00:24 0
Ox9A82 雪币： 799 活跃值： (457) 能力值： ( LV12，RANK：280 ) 在线值：发帖 18 回帖 116 粉丝 28 关注私信	Ox9A82 3 24 楼真"暴力去除" 2018-11-7 16:31 0
joker陈雪币： 10962 活跃值： (2925) 能力值： ( LV5，RANK：71 ) 在线值：发帖 18 回帖 339 粉丝 4 关注私信	joker陈 25 楼 orz,思路很重要。ring0了，什么都是浮云 2018-11-7 16:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复