[原创]某企鹅xxx-base分析

2021-12-25 13:45 21626

[原创]某企鹅xxx-base分析

杰克王

活跃值

2021-12-25 13:45

21626

系统回调部分

系统回调注册：
图片描述快乐周末开始了

这里样本会选择将系统回调拿到的信息先放到全局然后KeSetEvent通知其他地方处理

系统回调部分基本都是一些常规操作，所以这里就不赘述了。

驱动线程部分

图片描述快也搜这个创建线程
1.线程创建部分
用ark观察有3个线程的起始地址为SeSetAuditParameter函数内部的jmp rcx，
初始化线程地址：在SeSetAuditParameter内部搜0xff 0xe1

这里具体也可以参考大表哥的帖子，我按表哥帖子，结果发现那部分代码已经被vm了。

1	`2.反手hook创建线程得到真实的线程地址。`

图片描述
g_StartRoutineHid0内容：

g_StartRoutineHid1内容：

g_StartRoutineHid2内容：

句柄表遍历

图片描述你怎么遍历我怎么遍历

这个是在线程里边的

这个是3环接口使用的

部分信息查询

图片描述我就查一下怎么了

页目录初始化

图片描述

驱动回调部分

回调接口部分的校验：
图片描述
驱动的接口函数

理论上还是不要偷它回调了，虽然楼主试过了。

关于一些奥里给检查

图片描述

快抹PE头

关于一部分标志检查

图片描述给我看看

参考

https://bbs.pediy.com/thread-260331.htm
https://bbs.pediy.com/thread-254276.htm
图片描述表哥牛逼

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界

收藏・22

点赞・8

打赏

分享

最新回复 (22)
如斯咩咩咩雪币： 4709 活跃值： (1549) 能力值： ( LV2，RANK：15 ) 在线值：发帖 -2 回帖 165 粉丝 7 关注私信	如斯咩咩咩 2021-12-25 21:49 2 楼 0 浩哥牛逼
killleer 雪币： 1556 活跃值： (2107) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 10 关注私信	killleer 2021-12-25 22:36 3 楼 0 你们可做个人吧。。。
LuciferAda 雪币： 2063 活跃值： (501) 能力值： (RANK：10 ) 在线值：发帖 2 回帖 60 粉丝 10 关注私信	LuciferAda 2021-12-26 15:46 4 楼 0 浩哥牛逼！！！！！！！！
L0x1c 雪币： 961 活跃值： (4972) 能力值： ( LV12，RANK：297 ) 在线值：发帖 15 回帖 35 粉丝 113 关注私信	L0x1c 3 2021-12-27 10:48 5 楼 0 浩哥牛逼！！
值得怀疑雪币： 2663 活跃值： (3807) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 362 粉丝 0 关注私信	值得怀疑 2021-12-27 11:01 6 楼 0 killleer 你们可做个人吧。。。最后一个图是什么工具？？
killleer 雪币： 1556 活跃值： (2107) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 10 关注私信	killleer 2021-12-27 11:42 7 楼 0 值得怀疑最后一个图是什么工具？？大蜘蛛的沙箱，好像得企业申请，有人给这一类上传到大蜘蛛沙箱去了，所以vt那里能看到大蜘蛛沙箱的结果
hixhi 雪币： 73 活跃值： (893) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 262 粉丝 0 关注私信	hixhi 2021-12-27 13:55 8 楼 0 配图怪。图片比文章有意思了，这样可不行呀，老铁。
tutuj 雪币： 1928 活跃值： (5904) 能力值： ( LV7，RANK：118 ) 在线值：发帖 17 回帖 50 粉丝 61 关注私信	tutuj 2021-12-27 14:55 9 楼 0 牛逼，表情包偷一手
杰克王雪币： 189 活跃值： (2406) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 58 粉丝 51 关注私信	杰克王 2021-12-27 20:31 10 楼 0 killleer 你们可做个人吧。。。懂了马上去看其他驱动
杰克王雪币： 189 活跃值： (2406) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 58 粉丝 51 关注私信	杰克王 2021-12-27 20:32 11 楼 0 tutuj 牛逼，表情包偷一手快给我点表情包快用完了
杰克王雪币： 189 活跃值： (2406) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 58 粉丝 51 关注私信	杰克王 2021-12-27 20:32 12 楼 0 hixhi [em_85]配图怪。图片比文章有意思了，这样可不行呀，老铁。老铁我也不知道写啥子但是代码很清楚了
杰克王雪币： 189 活跃值： (2406) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 58 粉丝 51 关注私信	杰克王 2021-12-27 20:33 13 楼 0 L0x1c 浩哥牛逼！！元神牛逼
杰克王雪币： 189 活跃值： (2406) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 58 粉丝 51 关注私信	杰克王 2021-12-27 20:33 14 楼 0 LuciferAda 浩哥牛逼！！！！！！！！牛逼
hixhi 雪币： 73 活跃值： (893) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 262 粉丝 0 关注私信	hixhi 2021-12-28 09:49 15 楼 0 杰克王老铁我也不知道写啥子但是代码很清楚了配图抢了代码的风头
killleer 雪币： 1556 活跃值： (2107) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 10 关注私信	killleer 2021-12-28 12:04 16 楼 0 杰克王 [em_13]懂了马上去看其他驱动危楼主最好做个人
yirucandy 雪币： 5103 活跃值： (1237) 能力值： ( LV12，RANK：220 ) 在线值：发帖 19 回帖 58 粉丝 16 关注私信	yirucandy 4 2021-12-31 16:17 17 楼 0 牛逼牛逼，学习了！
xss 雪币： 471 活跃值： (3162) 能力值： ( LV9，RANK：170 ) 在线值：发帖 6 回帖 312 粉丝 5 关注私信	xss 4 2022-1-5 21:40 18 楼 0 菜鸟向大佬学习,好多都看不懂哇
simmtech 雪币： 792 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 19 粉丝 1 关注私信	simmtech 2022-1-6 07:41 19 楼 0 专业性很强，学习了。
SSH山水画雪币： 1453 活跃值： (14614) 能力值： ( LV12，RANK：380 ) 在线值：发帖 54 回帖 304 粉丝 363 关注私信	SSH山水画 3 2022-1-12 10:43 20 楼 0
yllen 雪币： 1257 活跃值： (1424) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 164 粉丝 0 关注私信	yllen 2022-1-12 13:20 21 楼 0 没学习，期待后续
执着的追求雪币： 3010 活跃值： (3535) 能力值： ( LV6，RANK：80 ) 在线值：发帖 6 回帖 10 粉丝 122 关注私信	执着的追求 1 2022-1-12 17:09 22 楼 0 浩哥牛逼！！！！！！！！！！！！！！！
漆黑火焰魔法使雪币： 0 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	漆黑火焰魔法使 2023-1-8 00:43 23 楼 0 关于一些奥里给检查笑死我了牛逼
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

返回

杰克王

发帖

回帖

RANK

关注

他的文章

[原创]xhunter1针对DWM行为分析

[分享]BE内核线程分析

[原创]某企鹅xxx-base分析

AsmJit

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区