[原创]某企鹅xxx-base分析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]某企鹅xxx-base分析

发表于: 2021-12-25 13:45 22722

[原创]某企鹅xxx-base分析

杰克王

活跃值

2021-12-25 13:45

22722

系统回调注册：
图片描述快乐周末开始了

这里样本会选择将系统回调拿到的信息先放到全局然后KeSetEvent通知其他地方处理

系统回调部分基本都是一些常规操作，所以这里就不赘述了。

图片描述快也搜这个创建线程
1.线程创建部分
用ark观察有3个线程的起始地址为SeSetAuditParameter函数内部的jmp rcx，
初始化线程地址：在SeSetAuditParameter内部搜0xff 0xe1

这里具体也可以参考大表哥的帖子，我按表哥帖子，结果发现那部分代码已经被vm了。

图片描述
g_StartRoutineHid0内容：

g_StartRoutineHid1内容：

g_StartRoutineHid2内容：

图片描述你怎么遍历我怎么遍历

这个是在线程里边的

这个是3环接口使用的

图片描述我就查一下怎么了

图片描述

回调接口部分的校验：
图片描述
驱动的接口函数

理论上还是不要偷它回调了，虽然楼主试过了。

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・22

免费・8

支持

分享

最新回复 (22)
如斯咩咩咩雪币： 4709 活跃值： (1575) 能力值： ( LV2，RANK：15 ) 在线值：发帖 1 回帖 154 粉丝 7 关注私信	如斯咩咩咩 2 楼浩哥牛逼 2021-12-25 21:49 0
killleer 雪币： 1556 活跃值： (2297) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 77 粉丝 10 关注私信	killleer 3 楼你们可做个人吧。。。 2021-12-25 22:36 0
LuciferAda 雪币： 2065 活跃值： (500) 能力值： (RANK：10 ) 在线值：发帖 2 回帖 61 粉丝 10 关注私信	LuciferAda 4 楼浩哥牛逼！！！！！！！！ 2021-12-26 15:46 0
L0x1c 雪币： 1015 活跃值： (5232) 能力值： ( LV12，RANK：312 ) 在线值：发帖 15 回帖 48 粉丝 118 关注私信	L0x1c 3 5 楼浩哥牛逼！！ 2021-12-27 10:48 0
值得怀疑雪币： 2325 活跃值： (4868) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 357 粉丝 0 关注私信	值得怀疑 6 楼 killleer 你们可做个人吧。。。最后一个图是什么工具？？ 2021-12-27 11:01 0
killleer 雪币： 1556 活跃值： (2297) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 77 粉丝 10 关注私信	killleer 7 楼值得怀疑最后一个图是什么工具？？大蜘蛛的沙箱，好像得企业申请，有人给这一类上传到大蜘蛛沙箱去了，所以vt那里能看到大蜘蛛沙箱的结果 2021-12-27 11:42 0
zx_348891 雪币： 73 活跃值： (923) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 257 粉丝 0 关注私信	zx_348891 8 楼配图怪。图片比文章有意思了，这样可不行呀，老铁。 2021-12-27 13:55 0
tutuj 雪币： 1918 活跃值： (6265) 能力值： ( LV7，RANK：118 ) 在线值：发帖 17 回帖 68 粉丝 61 关注私信	tutuj 9 楼牛逼，表情包偷一手 2021-12-27 14:55 0
杰克王雪币： 183 活跃值： (2427) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 63 粉丝 56 关注私信	杰克王 10 楼 killleer 你们可做个人吧。。。懂了马上去看其他驱动 2021-12-27 20:31 0
杰克王雪币： 183 活跃值： (2427) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 63 粉丝 56 关注私信	杰克王 11 楼 tutuj 牛逼，表情包偷一手快给我点表情包快用完了 2021-12-27 20:32 0
杰克王雪币： 183 活跃值： (2427) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 63 粉丝 56 关注私信	杰克王 12 楼 hixhi [em_85]配图怪。图片比文章有意思了，这样可不行呀，老铁。老铁我也不知道写啥子但是代码很清楚了 2021-12-27 20:32 0
杰克王雪币： 183 活跃值： (2427) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 63 粉丝 56 关注私信	杰克王 13 楼 L0x1c 浩哥牛逼！！元神牛逼 2021-12-27 20:33 0
杰克王雪币： 183 活跃值： (2427) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 63 粉丝 56 关注私信	杰克王 14 楼 LuciferAda 浩哥牛逼！！！！！！！！牛逼 2021-12-27 20:33 0
zx_348891 雪币： 73 活跃值： (923) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 257 粉丝 0 关注私信	zx_348891 15 楼杰克王老铁我也不知道写啥子但是代码很清楚了配图抢了代码的风头 2021-12-28 09:49 0
killleer 雪币： 1556 活跃值： (2297) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 77 粉丝 10 关注私信	killleer 16 楼杰克王 [em_13]懂了马上去看其他驱动危楼主最好做个人 2021-12-28 12:04 0
yirucandy 雪币： 6476 活跃值： (2357) 能力值： ( LV12，RANK：320 ) 在线值：发帖 23 回帖 100 粉丝 118 关注私信	yirucandy 6 17 楼牛逼牛逼，学习了！ 2021-12-31 16:17 0
xss 雪币： 471 活跃值： (4013) 能力值： ( LV9，RANK：170 ) 在线值：发帖 9 回帖 314 粉丝 5 关注私信	xss 4 18 楼菜鸟向大佬学习,好多都看不懂哇 2022-1-5 21:40 0
simmtech 雪币： 792 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 19 粉丝 1 关注私信	simmtech 19 楼专业性很强，学习了。 2022-1-6 07:41 0
SSH山水画雪币： 1475 活跃值： (14652) 能力值： ( LV12，RANK：380 ) 在线值：发帖 54 回帖 325 粉丝 374 关注私信	SSH山水画 3 20 楼 2022-1-12 10:43 0
yllen 雪币： 1258 活跃值： (1434) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 159 粉丝 0 关注私信	yllen 21 楼没学习，期待后续 2022-1-12 13:20 0
执着的追求雪币： 4001 活跃值： (4111) 能力值： ( LV8，RANK：120 ) 在线值：发帖 7 回帖 18 粉丝 166 关注私信	执着的追求 2 22 楼浩哥牛逼！！！！！！！！！！！！！！！ 2022-1-12 17:09 0
漆黑火焰魔法使雪币： 0 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	漆黑火焰魔法使 23 楼关于一些奥里给检查笑死我了牛逼 2023-1-8 00:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

杰克王

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

//