首页
社区
课程
招聘
[原创]病毒分析日志_Rootkit
发表于: 2020-10-30 19:50 6423

[原创]病毒分析日志_Rootkit

2020-10-30 19:50
6423


                                        Rootkit常用隐藏技术



1查壳:

     

VC编写的,无壳

2静态分析

   strings分析字符串


看到了文件操作,WriteFile表明将会在某个时间写文件

 


看到了OpenSCManagerA  StartServiceA  CreateServiceA  CloseServiceHandle表明创建了一个服务

看到了GetCommandLineA推测可能读取了命令行某个命令执行某个操作




  

看到virtualalloc猜测可能执行了远程线程注入

这里不全部列出,这里还要注意两个API调用,LoadResourceSizeOfResource表明对该程序的资源节做了某些处理


C:\Windows\System32\Mlwx486.sys表明程序在该位置创建了这个文件

可以多用一些工具

这里我们查看下资源节,因为我们前面发现了一些资源操作函数(有些骚的作者会在资源节隐藏shellcode)



资源节中包含一个PE头,资源节中是另一个可执行文件

向下拉

 


MmGetSystemRoutineAddress获取ntoskrnl模块导出的函数地址,原生API

 

     

3行为分析

打开procmon

查看进程树


Operation过滤



第一幅图的倒数第二行,创建了c:\WINDOWS\system32\Mlwx486.sys这个文件,第二幅图第一行创建了一个文件

我们猜测这是一个rootkit,原因有下:

1 根据我们用strings发现的API和在资源节发现的MmGetSystemRoutineAddress因为服务是进入内核的方式之一,其他的还有hook这里不做过多讨论。

2. sys后缀,

3. 我们运行这个恶意程序,没有任何症状发生,说明用了隐藏技术

4. 当我们去该目录下找该文件的时候发现找不到

Mlwx486.sys创建了一个服务,该服务名为486 WS Driver,如下图所示



4 动态分析

载入IDA

IDA中,同样可以看到服务名,调用的函数




检查该内核驱动是否被加载




驱动仍然在运行

在真机上打开WInDBG连接到虚拟机查看SSDT



如图,有一个地址位于nt模块的边界之外

恢复虚拟机到之前的状态,查看该位置原来的值


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 4
支持
分享
最新回复 (7)
雪    币: 471
活跃值: (4223)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
2
怎么在cmd下strings分析字符串?什么命令
2020-10-31 10:35
0
雪    币: 183
活跃值: (6634)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
3
xss 怎么在cmd下strings分析字符串?什么命令
cd 到strings目录,strings -a 目标文件目录
2020-10-31 10:44
0
雪    币: 256
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
4
https://docs.microsoft.com/zh-cn/sysinternals/downloads/strings
2020-10-31 10:51
0
雪    币: 471
活跃值: (4223)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
5
原来是个小工具  还在想type或者edit命令好像没有这么整齐显示出来
2020-10-31 22:34
0
雪    币: 1556
活跃值: (2312)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6

XP-32时代的话,推荐分析tdl/za系列,或者是equation系列,那些猛多了,期待楼主的分析(equation-grayfish的xp32内核0day后内核加载驱动到现在都没人分析过,至少卡巴的文章是不报的)

当然现在已经0202年了。。。楼主也可以研究研究现在是什么情况,期待楼主的大文章

上传的附件:
2020-10-31 23:21
0
雪    币: 341
活跃值: (1005)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
7
killleer XP-32时代的话,推荐分析tdl/za系列,或者是equation系列,那些猛多了,期待楼主的分析(equation-grayfish的xp32内核0day后内核加载驱动到现在都没人分析过,至少卡巴 ...

equation系列里面有几个漏洞利用。grayfish里面应该有个任意代码执行的利用来内核代码(相对于加载驱动了)。模块导出一个函数,PsCreateSystemThread将导出函数作为入口点拉起线程。

最后于 2020-11-2 14:19 被fatcateatrat编辑 ,原因:
2020-11-2 14:18
0
雪    币: 341
活跃值: (1005)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
8
fatcateatrat killleer XP-32时代的话,推荐分析tdl/za系列,或者是equation系列,那些猛多了,期待楼主的分析(equation-grayfish的xp3 ...
专业一点来说就是反射式加载驱动,原理 https://github.com/rokups/ReflectiveLdr;不过别人是反射加载的驱动
2023-5-10 12:02
0
游客
登录 | 注册 方可回帖
返回
//