[原创]病毒分析日志_Rootkit-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]病毒分析日志_Rootkit

发表于: 2020-10-30 19:50 6530

[原创]病毒分析日志_Rootkit

Golden_Boy 活跃值

2020-10-30 19:50

6530

Rootkit常用隐藏技术

1查壳：

VC编写的,无壳

2静态分析

strings分析字符串

看到了文件操作，WriteFile表明将会在某个时间写文件

看到了OpenSCManagerA StartServiceA CreateServiceA CloseServiceHandle表明创建了一个服务

看到了GetCommandLineA推测可能读取了命令行某个命令执行某个操作

看到virtualalloc猜测可能执行了远程线程注入

这里不全部列出，这里还要注意两个API调用，LoadResource和SizeOfResource表明对该程序的资源节做了某些处理

C:\Windows\System32\Mlwx486.sys表明程序在该位置创建了这个文件

可以多用一些工具

这里我们查看下资源节，因为我们前面发现了一些资源操作函数(有些骚的作者会在资源节隐藏shellcode)

资源节中包含一个PE头，资源节中是另一个可执行文件

向下拉

MmGetSystemRoutineAddress获取ntoskrnl模块导出的函数地址，原生API

3行为分析

打开procmon

查看进程树

Operation过滤

第一幅图的倒数第二行，创建了c:\WINDOWS\system32\Mlwx486.sys这个文件，第二幅图第一行创建了一个文件

我们猜测这是一个rootkit，原因有下：

1 根据我们用strings发现的API和在资源节发现的MmGetSystemRoutineAddress因为服务是进入内核的方式之一，其他的还有hook这里不做过多讨论。

2. sys后缀,

3. 我们运行这个恶意程序，没有任何症状发生，说明用了隐藏技术

4. 当我们去该目录下找该文件的时候发现找不到

Mlwx486.sys创建了一个服务，该服务名为486 WS Driver,如下图所示

4 动态分析

载入IDA

在IDA中，同样可以看到服务名，调用的函数

检查该内核驱动是否被加载

驱动仍然在运行

在真机上打开WInDBG连接到虚拟机查看SSDT表

如图，有一个地址位于nt模块的边界之外

恢复虚拟机到之前的状态，查看该位置原来的值

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#病毒木马

收藏・11

免费・4

支持

最新回复 (7)
xss 雪币： 471 活跃值： (4438) 能力值： ( LV9，RANK：170 ) 在线值：发帖 9 回帖 315 粉丝 5 关注私信	xss 4 2 楼怎么在cmd下strings分析字符串?什么命令 2020-10-31 10:35 0
Golden_Boy 雪币： 183 活跃值： (6669) 能力值： ( LV7，RANK：110 ) 在线值：发帖 31 回帖 110 粉丝 74 关注私信	Golden_Boy 3 楼 xss 怎么在cmd下strings分析字符串?什么命令 cd 到strings目录，strings -a 目标文件目录 2020-10-31 10:44 0
wx_123456 雪币： 256 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 31 粉丝 0 关注私信	wx_123456 4 楼 7a2K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6V1L8$3y4K6i4K6u0W2L8h3W2U0M7X3!0K6L8$3k6@1i4K6u0W2j5$3!0E0i4K6u0r3P5X3S2Q4x3X3c8U0L8W2)9J5c8Y4y4&6M7$3W2F1N6r3g2J5L8X3q4D9M7#2)9J5c8X3c8G2N6$3&6D9L8$3q4V1M7#2)9J5c8Y4y4@1M7X3W2F1k6%4x3`. 2020-10-31 10:51 0
xss 雪币： 471 活跃值： (4438) 能力值： ( LV9，RANK：170 ) 在线值：发帖 9 回帖 315 粉丝 5 关注私信	xss 4 5 楼原来是个小工具还在想type或者edit命令好像没有这么整齐显示出来 2020-10-31 22:34 0
killleer 雪币： 1556 活跃值： (2327) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 11 关注私信	killleer 6 楼 XP-32时代的话，推荐分析tdl/za系列，或者是equation系列，那些猛多了，期待楼主的分析（equation-grayfish的xp32内核0day后内核加载驱动到现在都没人分析过，至少卡巴的文章是不报的）当然现在已经0202年了。。。楼主也可以研究研究现在是什么情况，期待楼主的大文章上传的附件： grayfish (1).zip （476.99kb，12次下载） zeroaccess.rar （199.63kb，8次下载） 2020-10-31 23:21 0
fatcateatrat 雪币： 341 活跃值： (1005) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 114 粉丝 4 关注私信	fatcateatrat 7 楼 killleer XP-32时代的话，推荐分析tdl/za系列，或者是equation系列，那些猛多了，期待楼主的分析（equation-grayfish的xp32内核0day后内核加载驱动到现在都没人分析过，至少卡巴 ... equation系列里面有几个漏洞利用。grayfish里面应该有个任意代码执行的利用来内核代码(相对于加载驱动了)。模块导出一个函数，PsCreateSystemThread将导出函数作为入口点拉起线程。最后于 2020-11-2 14:19 被fatcateatrat编辑，原因： 2020-11-2 14:18 0
fatcateatrat 雪币： 341 活跃值： (1005) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 114 粉丝 4 关注私信	fatcateatrat 8 楼 fatcateatrat killleer XP-32时代的话，推荐分析tdl/za系列，或者是equation系列，那些猛多了，期待楼主的分析（equation-grayfish的xp3 ... 专业一点来说就是反射式加载驱动,原理 3bfK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6J5L8$3E0#2M7s2y4Q4x3V1k6d9k6h3k6D9k6h3y4@1K9i4k6W2e0r3c8J5i4@1g2r3i4@1u0o6i4K6W2n7i4@1f1@1i4@1t1^5i4K6S2p5i4@1f1^5i4@1u0r3i4K6R3%4i4@1f1#2i4K6R3^5i4@1q4n7i4@1f1@1i4@1u0m8i4@1u0m8i4@1f1$3i4K6V1^5i4@1q4r3i4@1f1#2i4K6S2r3i4K6S2p5i4@1f1#2i4@1t1H3i4K6R3@1i4@1f1#2i4K6S2m8i4@1p5H3i4@1f1^5i4@1u0p5i4@1u0p5i4@1f1%4i4K6W2m8i4K6R3@1i4@1f1&6i4@1p5&6i4@1t1I4i4@1f1#2i4K6S2m8i4@1p5^5 2023-5-10 12:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Golden_Boy

发帖

110

回帖

110

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (7)
xss 雪币： 471 活跃值： (4438) 能力值： ( LV9，RANK：170 ) 在线值：发帖 9 回帖 315 粉丝 5 关注私信	xss 4 2 楼怎么在cmd下strings分析字符串?什么命令 2020-10-31 10:35 0
Golden_Boy 雪币： 183 活跃值： (6669) 能力值： ( LV7，RANK：110 ) 在线值：发帖 31 回帖 110 粉丝 74 关注私信	Golden_Boy 3 楼 xss 怎么在cmd下strings分析字符串?什么命令 cd 到strings目录，strings -a 目标文件目录 2020-10-31 10:44 0
wx_123456 雪币： 256 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 31 粉丝 0 关注私信	wx_123456 4 楼 7a2K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6V1L8$3y4K6i4K6u0W2L8h3W2U0M7X3!0K6L8$3k6@1i4K6u0W2j5$3!0E0i4K6u0r3P5X3S2Q4x3X3c8U0L8W2)9J5c8Y4y4&6M7$3W2F1N6r3g2J5L8X3q4D9M7#2)9J5c8X3c8G2N6$3&6D9L8$3q4V1M7#2)9J5c8Y4y4@1M7X3W2F1k6%4x3`. 2020-10-31 10:51 0
xss 雪币： 471 活跃值： (4438) 能力值： ( LV9，RANK：170 ) 在线值：发帖 9 回帖 315 粉丝 5 关注私信	xss 4 5 楼原来是个小工具还在想type或者edit命令好像没有这么整齐显示出来 2020-10-31 22:34 0
killleer 雪币： 1556 活跃值： (2327) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 11 关注私信	killleer 6 楼 XP-32时代的话，推荐分析tdl/za系列，或者是equation系列，那些猛多了，期待楼主的分析（equation-grayfish的xp32内核0day后内核加载驱动到现在都没人分析过，至少卡巴的文章是不报的）当然现在已经0202年了。。。楼主也可以研究研究现在是什么情况，期待楼主的大文章上传的附件： grayfish (1).zip （476.99kb，12次下载） zeroaccess.rar （199.63kb，8次下载） 2020-10-31 23:21 0
fatcateatrat 雪币： 341 活跃值： (1005) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 114 粉丝 4 关注私信	fatcateatrat 7 楼 killleer XP-32时代的话，推荐分析tdl/za系列，或者是equation系列，那些猛多了，期待楼主的分析（equation-grayfish的xp32内核0day后内核加载驱动到现在都没人分析过，至少卡巴 ... equation系列里面有几个漏洞利用。grayfish里面应该有个任意代码执行的利用来内核代码(相对于加载驱动了)。模块导出一个函数，PsCreateSystemThread将导出函数作为入口点拉起线程。最后于 2020-11-2 14:19 被fatcateatrat编辑，原因： 2020-11-2 14:18 0
fatcateatrat 雪币： 341 活跃值： (1005) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 114 粉丝 4 关注私信	fatcateatrat 8 楼 fatcateatrat killleer XP-32时代的话，推荐分析tdl/za系列，或者是equation系列，那些猛多了，期待楼主的分析（equation-grayfish的xp3 ... 专业一点来说就是反射式加载驱动,原理 3bfK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6J5L8$3E0#2M7s2y4Q4x3V1k6d9k6h3k6D9k6h3y4@1K9i4k6W2e0r3c8J5i4@1g2r3i4@1u0o6i4K6W2n7i4@1f1@1i4@1t1^5i4K6S2p5i4@1f1^5i4@1u0r3i4K6R3%4i4@1f1#2i4K6R3^5i4@1q4n7i4@1f1@1i4@1u0m8i4@1u0m8i4@1f1$3i4K6V1^5i4@1q4r3i4@1f1#2i4K6S2r3i4K6S2p5i4@1f1#2i4@1t1H3i4K6R3@1i4@1f1#2i4K6S2m8i4@1p5H3i4@1f1^5i4@1u0p5i4@1u0p5i4@1f1%4i4K6W2m8i4K6R3@1i4@1f1&6i4@1p5&6i4@1t1I4i4@1f1#2i4K6S2m8i4@1p5^5 2023-5-10 12:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复