[讨论]Rustock.C 感染Ntdlr的Boot RootKit 多态壳-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[讨论]Rustock.C 感染Ntdlr的Boot RootKit 多态壳

发表于: 2008-5-8 21:56 11973

[讨论]Rustock.C 感染Ntdlr的Boot RootKit 多态壳

QIQI

2008-5-8 21:56

11973

多态壳，反调试，反虚拟机
SOFTICE也断不住~加载完了就重启

老外的高级玩意儿，谁能脱了？

SYS在附件中，用drvload之类的工具加载

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

#系统底层

上传的附件：

111.rar （238.79kb，127次下载）

收藏・7

免费・0

支持

最新回复 (24)
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 2 楼世界需要大米 2008-5-8 22:51 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 3 楼世界需要forgot 2008-5-8 22:57 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 4 楼世界需要ccfer 2008-5-8 22:58 0
lunglungyu 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 339 粉丝 0 关注私信	lunglungyu 1 5 楼 debugman那看到了 2008-5-8 23:20 0
sunsjw 雪币： 8764 活跃值： (5240) 能力值： ( LV4，RANK：50 ) 在线值：发帖 47 回帖 1251 粉丝 15 关注私信	sunsjw 1 6 楼大米，厉害，读过大米的文章。。。膜拜 2008-5-9 00:32 0
dummy 雪币： 272 活跃值： (143) 能力值： ( LV15，RANK：930 ) 在线值：发帖 43 回帖 273 粉丝 6 关注私信	dummy 23 7 楼世界需要钢铁侠！ -- 不会脱，好蓝啊~ 2008-5-9 02:16 0
jskew 雪币： 124 活跃值： (70) 能力值： ( LV4，RANK：50 ) 在线值：发帖 30 回帖 352 粉丝 0 关注私信	jskew 1 8 楼刚看完钢铁侠 2008-5-9 03:33 0
lunglungyu 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 339 粉丝 0 关注私信	lunglungyu 1 9 楼有独孤求败吗? 世界需要你 2008-5-9 11:38 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 10 楼质疑一下,这个文件是dump出来的吗? 没有输入表,直接用OD跟了几步, 很快就有异常,似乎在MZ头应该有些地址数据,现在为0。在虚拟机下用KmdManager加载就挂了。 2008-5-9 12:34 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 11 楼 jmp下去好像就扭了 2008-5-9 13:09 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 12 楼我不明白，OD能调sys么? 2008-5-9 13:25 0
断水流雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 79 粉丝 0 关注私信	断水流 1 13 楼改成exe就可以调了。。。不过这个用od调到取PsLoadedModuleList的时候就挂了，会产生内存访问异常。。。我用windbg 跑到 .text:00011A8D mov esi, [esi] .text:00011A8F mov edi, [esi+3Ch] ;;;;;;;;;; .text:00011A92 add edi, esi 00011A8F 的时候又是一个内存访问异常，蓝了 2008-5-9 14:06 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 14 楼看来驱动程序和exe程序的只是扩展名和访问权限和工作的内存空间不一样，其它都一样， 2008-5-9 14:57 0
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 1 关注私信	QIQI 1 15 楼没人搞得定啊？老毛子们也在困惑着不知道怎么脱这个壳呢~ http://www.anti-malware.ru/forum/index.php?showtopic=4564&pid=37613&st=20&#entry37613 2008-5-9 15:23 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 16 楼看到RDTSC就不想搞了 2008-5-9 15:42 0
doskey 雪币： 329 活跃值： (343) 能力值： ( LV10，RANK：170 ) 在线值：发帖 36 回帖 462 粉丝 4 关注私信	doskey 4 17 楼懒。。 2008-5-9 16:26 0
firefly 雪币： 260 活跃值： (102) 能力值： ( LV9，RANK：170 ) 在线值：发帖 15 回帖 321 粉丝 0 关注私信	firefly 4 18 楼 [QUOTE=断水流;451438]改成exe就可以调了。。。不过这个用od调到取PsLoadedModuleList的时候就挂了，会产生内存访问异常。。。我用windbg 跑到 .text:00011A8D mov esi, [esi] .text:00011A8F ...[/QUOTE] 学习了！ 2008-5-9 19:08 0
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 1 关注私信	QIQI 1 19 楼哦。。。。````` 2008-5-13 00:12 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 20 楼丢虚拟机中跑了下 * 虚拟机内核堆栈故障 (硬件重置) * 虚拟机刚才遇到了内核模式中的堆栈故障。在一个真实电脑上，这将需要进行处理器重置。它可能是由于虚拟机配置不正确、操作系统错误或 VMware Workstation 软件中的问题所导致。按确定重新启动虚拟机或按取消关机。 2008-5-13 10:41 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 21 楼谁懂俄文的，这个到底讲啥 http://www.drweb.com/upload/56d8247826582537818c3a7de8949928_1210053981_DDOCUMENTSArticales_PRDrWEB_Rustock_rus.pdf 2008-5-13 11:04 0
PowerBoy 雪币： 229 活跃值： (65) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 32 粉丝 1 关注私信	PowerBoy 3 22 楼是一个反病毒的公司。帮助大公司做反病毒. 介绍一个公司。可能会介绍一些攻击方法，和这家公司的防御措施。但是更细节的东西应该没有。同学是搞俄语的,但是不懂编程,他只是简单看了看给我解释说没有什么实际的东西也许是他看不出来也不一定! 2008-5-13 14:03 0
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 1 关注私信	QIQI 1 23 楼看雪的众位到底行不行啊？ 2008-5-14 00:38 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 24 楼靠你了,QIQI.你们更是看雪的希望。 2008-5-14 12:32 0
Jeller 雪币： 209 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 186 粉丝 0 关注私信	Jeller 25 楼那就静态搞它吧 2008-5-14 14:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

QIQI

发帖

101

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 2 楼世界需要大米 2008-5-8 22:51 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 3 楼世界需要forgot 2008-5-8 22:57 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 4 楼世界需要ccfer 2008-5-8 22:58 0
lunglungyu 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 339 粉丝 0 关注私信	lunglungyu 1 5 楼 debugman那看到了 2008-5-8 23:20 0
sunsjw 雪币： 8764 活跃值： (5240) 能力值： ( LV4，RANK：50 ) 在线值：发帖 47 回帖 1251 粉丝 15 关注私信	sunsjw 1 6 楼大米，厉害，读过大米的文章。。。膜拜 2008-5-9 00:32 0
dummy 雪币： 272 活跃值： (143) 能力值： ( LV15，RANK：930 ) 在线值：发帖 43 回帖 273 粉丝 6 关注私信	dummy 23 7 楼世界需要钢铁侠！ -- 不会脱，好蓝啊~ 2008-5-9 02:16 0
jskew 雪币： 124 活跃值： (70) 能力值： ( LV4，RANK：50 ) 在线值：发帖 30 回帖 352 粉丝 0 关注私信	jskew 1 8 楼刚看完钢铁侠 2008-5-9 03:33 0
lunglungyu 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 339 粉丝 0 关注私信	lunglungyu 1 9 楼有独孤求败吗? 世界需要你 2008-5-9 11:38 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 10 楼质疑一下,这个文件是dump出来的吗? 没有输入表,直接用OD跟了几步, 很快就有异常,似乎在MZ头应该有些地址数据,现在为0。在虚拟机下用KmdManager加载就挂了。 2008-5-9 12:34 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 11 楼 jmp下去好像就扭了 2008-5-9 13:09 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 12 楼我不明白，OD能调sys么? 2008-5-9 13:25 0
断水流雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 79 粉丝 0 关注私信	断水流 1 13 楼改成exe就可以调了。。。不过这个用od调到取PsLoadedModuleList的时候就挂了，会产生内存访问异常。。。我用windbg 跑到 .text:00011A8D mov esi, [esi] .text:00011A8F mov edi, [esi+3Ch] ;;;;;;;;;; .text:00011A92 add edi, esi 00011A8F 的时候又是一个内存访问异常，蓝了 2008-5-9 14:06 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 14 楼看来驱动程序和exe程序的只是扩展名和访问权限和工作的内存空间不一样，其它都一样， 2008-5-9 14:57 0
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 1 关注私信	QIQI 1 15 楼没人搞得定啊？老毛子们也在困惑着不知道怎么脱这个壳呢~ http://www.anti-malware.ru/forum/index.php?showtopic=4564&pid=37613&st=20&#entry37613 2008-5-9 15:23 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 16 楼看到RDTSC就不想搞了 2008-5-9 15:42 0
doskey 雪币： 329 活跃值： (343) 能力值： ( LV10，RANK：170 ) 在线值：发帖 36 回帖 462 粉丝 4 关注私信	doskey 4 17 楼懒。。 2008-5-9 16:26 0
firefly 雪币： 260 活跃值： (102) 能力值： ( LV9，RANK：170 ) 在线值：发帖 15 回帖 321 粉丝 0 关注私信	firefly 4 18 楼 [QUOTE=断水流;451438]改成exe就可以调了。。。不过这个用od调到取PsLoadedModuleList的时候就挂了，会产生内存访问异常。。。我用windbg 跑到 .text:00011A8D mov esi, [esi] .text:00011A8F ...[/QUOTE] 学习了！ 2008-5-9 19:08 0
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 1 关注私信	QIQI 1 19 楼哦。。。。````` 2008-5-13 00:12 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 20 楼丢虚拟机中跑了下 * 虚拟机内核堆栈故障 (硬件重置) * 虚拟机刚才遇到了内核模式中的堆栈故障。在一个真实电脑上，这将需要进行处理器重置。它可能是由于虚拟机配置不正确、操作系统错误或 VMware Workstation 软件中的问题所导致。按确定重新启动虚拟机或按取消关机。 2008-5-13 10:41 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 21 楼谁懂俄文的，这个到底讲啥 http://www.drweb.com/upload/56d8247826582537818c3a7de8949928_1210053981_DDOCUMENTSArticales_PRDrWEB_Rustock_rus.pdf 2008-5-13 11:04 0
PowerBoy 雪币： 229 活跃值： (65) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 32 粉丝 1 关注私信	PowerBoy 3 22 楼是一个反病毒的公司。帮助大公司做反病毒. 介绍一个公司。可能会介绍一些攻击方法，和这家公司的防御措施。但是更细节的东西应该没有。同学是搞俄语的,但是不懂编程,他只是简单看了看给我解释说没有什么实际的东西也许是他看不出来也不一定! 2008-5-13 14:03 0
QIQI 雪币： 214 活跃值： (46) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 101 粉丝 1 关注私信	QIQI 1 23 楼看雪的众位到底行不行啊？ 2008-5-14 00:38 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 24 楼靠你了,QIQI.你们更是看雪的希望。 2008-5-14 12:32 0
Jeller 雪币： 209 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 186 粉丝 0 关注私信	Jeller 25 楼那就静态搞它吧 2008-5-14 14:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复