[原创]简单实现防止U盘传染-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]简单实现防止U盘传染

发表于: 2009-10-23 17:47 14552

[原创]简单实现防止U盘传染

moonife

2009-10-23 17:47

14552

一缘起：学校机房已经被弄得千疮百孔了，又没维护，U盘一插进去，感染的隐藏的，导致无法正常使用了。
很烦，就想到自己弄个试下当做学习，网上这样的工具应该不少了，现在可真是防不胜防啊！先分享下自己的简单实现，呵呵，不足之处还请大牛多指导下才好啊！

二实现原理简介：一般ring3下的感染是通过GetLogicalDrives然后在GetDriveType来判断是否存在移动设备的，所以就跟了下这两API，
发现在我的xp sp3下实现的有点出乎意料，大致描述如下：
DWORD GetLogicalDrives(VOID)
{
NtQueryInformationProcess((-1,0x17,ProcessInformation,36,NULL);//ProcessInformationClass=0x17 这个在MSDN中我没找到说明。
return *(LPDWORD)((DWORD)ProcessInformation);
}

DWORD GetDriveTypeW(LPCTSTR lpRootPathName)
{
BYTE i;
;对lpRootPathName的一些字符编码操作
NtQueryInformationProcess((-1,0x17,ProcessInformation,36,NULL);
i=*(LPBYTE)lpRootPathName-0x41;
i=*(LPBYTE)((DWORD)ProcessInformation+4+i);
switch(i)
{
case 2: //移动设备
return 2;
case 3: //硬盘
return 3;
case 5: //CD_ROM
return 5;
default:
;不是以上三种再根据lpRootPathName进一步的判断,后面的可以不管了，上面的就够了。
}
}
既然这样就变简单了好多，我们只要HOOK这个NtQueryInformationProcess，就可以实现目的了！

U盘检测示例代码：
BOOL Detect_u(void)
{
char DiskPath[5]="C:\\";
DWORD DrivesBitmap;
BYTE i;

DrivesBitmap=GetLogicalDrives();
for (i=0;i<24;i++)
{
DiskPath[0]='C'+i;
if ((DrivesBitmap & 1)==1)
{
if (GetDriveType(DiskPath)==2)
return TRUE;
}
DrivesBitmap>>=1;
}
return FALSE;
}

三代码实现：这里HOOK NtQueryInformationProcess的方法用了比较简单的SSDT hook,主要代码片段如下：
NTSTATUS __stdcall MyNtQueryInformationProcess(__in       HANDLE ProcessHandle,
         __in       PROCESSINFOCLASS ProcessInformationClass,
         __out       PVOID ProcessInformation,
                                             __in       DWORD ProcessInformationLength,
         __out_opt    LPDWORD ReturnLength
   )

{
NTSTATUS status;
DWORD    i;

status=RealNtQueryInformationProcess(ProcessHandle,ProcessInformationClass,ProcessInformation,ProcessInformationLength,ReturnLength);
if (ProcessInformationClass==0x17)
{
KdPrint(("OriValue:0x%08X",*(LPDWORD)((DWORD)ProcessInformation+8)));
*(LPDWORD)ProcessInformation<<=1; //GetLogicalDrives函数返回值drives bitmap <<1错乱对应关系，相当于HOOk GetLogicalDrives
(DWORD)ProcessInformation+=4;
for (i=0;i<26;i++)
{
if (*(LPBYTE)ProcessInformation==2)
{
KdPrint(("Address:0x%08X",ProcessInformation));
// KdPrint(("Have Ramovebel Device!"));
*(LPBYTE)ProcessInformation=3; //移动设备改成硬盘，相当于HOOk GetDriveType 两个都齐了！
}
(DWORD)ProcessInformation+=1;
}
KdPrint(("AffValue:0x%08X",*(LPDWORD)((DWORD)ProcessInformation-22)));
}

return status;
}

四总结：这样虽然可以防住一些普通的感染，但是对比较BT的和ring0下的还是不行的，如果你在自己电脑上试驱动部分，
(Addr=(DWORD)KeServiceDescriptorTable->ServiceTableBase+0x9A*4)这里面的NtQueryInformationProcess在SSSDT中的偏移0x9A需要改下，
还有其他平台下GetLogicalDrives和GetDriveTyped的实现可能就不是这样了，我的是xp sp3！

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

U_Try.rar （4.11kb，100次下载）

收藏・3

免费・7

支持

最新回复 (20)
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 2 楼 moonife果然不一样呀貌似病毒已经不用这种手段了，直接26个字母。。。 2009-10-23 17:51 0
amwmqj 雪币： 44 活跃值： (24) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 69 粉丝 0 关注私信	amwmqj 1 3 楼很黄很暴力。。。因为你在编写此程序的时候一定会不停的插、拔。。文章不错，顶。 2009-10-23 18:51 0
feierin 雪币： 474 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 314 粉丝 0 关注私信	feierin 4 楼这个用来学习HOOK 拿来练练手还是很不错的但真正的防U盘病毒还是不靠谱至少我写U盘病毒不会GetLogicalDrives BT点的病毒都很少用API 楼主的代码风格不错赞一个 2009-10-23 19:12 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 5 楼 hook这个啥用都没有，人家可以直接取PEB里的device map... 2009-10-23 19:34 0
ImHolly 雪币： 412 活跃值： (30) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 293 粉丝 1 关注私信	ImHolly 1 6 楼可以防住一些，防不住所有，毕竟各种U盘病毒实现不一样前段时间我也写过类似工具，不过和楼主思路不一样。。。 BTW：貌似有些系统GetDriveType用的是ZwQueryVolumeInformationFile 2009-10-23 20:33 0
hljleo 雪币： 564 活跃值： (42) 能力值： ( LV12，RANK：230 ) 在线值：发帖 13 回帖 130 粉丝 2 关注私信	hljleo 5 7 楼 typedef enum _PROCESSINFOCLASS { ProcessBasicInformation, // 0 Y N ProcessQuotaLimits, // 1 Y Y ProcessIoCounters, // 2 Y N ProcessVmCounters, // 3 Y N ProcessTimes, // 4 Y N ProcessBasePriority, // 5 N Y ProcessRaisePriority, // 6 N Y ProcessDebugPort, // 7 Y Y ProcessExceptionPort, // 8 N Y ProcessAccessToken, // 9 N Y ProcessLdtInformation, // 10 Y Y ProcessLdtSize, // 11 N Y ProcessDefaultHardErrorMode, // 12 Y Y ProcessIoPortHandlers, // 13 N Y ProcessPooledUsageAndLimits, // 14 Y N ProcessWorkingSetWatch, // 15 Y Y ProcessUserModeIOPL, // 16 N Y ProcessEnableAlignmentFaultFixup, // 17 N Y ProcessPriorityClass, // 18 N Y ProcessWx86Information, // 19 Y N ProcessHandleCount, // 20 Y N ProcessAffinityMask, // 21 N Y ProcessPriorityBoost, // 22 Y Y ProcessDeviceMap, // 23 Y Y ProcessSessionInformation, // 24 Y Y ProcessForegroundInformation, // 25 N Y ProcessWow64Information // 26 Y N } PROCESSINFOCLASS; 2009-10-23 20:43 0
三根火柴雪币： 268 活跃值： (40) 能力值： ( LV10，RANK：170 ) 在线值：发帖 32 回帖 255 粉丝 0 关注私信	三根火柴 4 8 楼支持一个，不错 2009-10-24 09:17 0
xiejienet 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 639 粉丝 0 关注私信	xiejienet 9 楼 4楼，不用api的程序是啥样子，我想象不出来 2009-10-25 07:44 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 10 楼 U盘病毒范围太窄了，应该是AUTORUN病毒，这个连硬盘都感染所以hook那几个API冇用 2009-10-25 09:49 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 11 楼 support!支持moonife兄弟 2009-10-25 19:32 0
maplelxf 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 99 粉丝 0 关注私信	maplelxf 12 楼不错，学习一下， 2009-10-26 20:37 0
huangqiang 雪币： 454 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 103 粉丝 1 关注私信	huangqiang 13 楼要搞那么复杂么？在每个盘的根目录下建个autorun.inf只读目录不就行了 2009-10-26 21:47 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 14 楼看看某人写的程序，就明白了 2009-10-26 22:27 0
gddcxysqw 雪币： 40 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 221 粉丝 0 关注私信	gddcxysqw 15 楼 13L 貌似正解只是.. 2010-1-20 15:23 0
mssam 雪币： 52 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	mssam 16 楼现在U盘病毒比原来的autorun多多了，有很多方法可以实现感染。通过感染U盘文件照样可以实现传播啊 2010-1-21 16:43 0
东新网络雪币： 221 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	东新网络 17 楼直接全盘免疫AUTORUN 这个文件不就好了吗？ 2010-1-22 11:16 0
没有风雪币： 486 活跃值： (13) 能力值： ( LV9，RANK：430 ) 在线值：发帖 24 回帖 152 粉丝 0 关注私信	没有风 10 18 楼好东西,顶. 2010-1-24 19:37 0
shuili 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 45 粉丝 0 关注私信	shuili 19 楼一般我用U盘都喜欢建个特殊文件夹，把EXE放进里面，貌似不容易被感染。。。 2010-2-5 09:31 0
kevinch 雪币： 155 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 94 粉丝 0 关注私信	kevinch 20 楼把U盘格式化成NTFS格式,然后建个文件夹命名为autorun.inf,再在安全里把全部所有者删除,这样只有创建者能改了,我一直这样用,不知这方法管不管用 2010-2-7 12:27 0
yncm 雪币： 211 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 30 粉丝 0 关注私信	yncm 21 楼某些弱智的驱动光盘（eg: hp打印机 hsp1xxx）把设置保存在autorun.inf中，全盘免疫AUTORUN 这个文件就无法正常安装该驱动了 2010-3-26 09:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

moonife

133

发帖

852

回帖

350

RANK

关注

私信

他的文章

[注意]邀请码发放公布（06.15~07.14） 7209

关于我们

联系我们

企业服务

看雪公众号

最新回复 (20)
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 2 楼 moonife果然不一样呀貌似病毒已经不用这种手段了，直接26个字母。。。 2009-10-23 17:51 0
amwmqj 雪币： 44 活跃值： (24) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 69 粉丝 0 关注私信	amwmqj 1 3 楼很黄很暴力。。。因为你在编写此程序的时候一定会不停的插、拔。。文章不错，顶。 2009-10-23 18:51 0
feierin 雪币： 474 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 314 粉丝 0 关注私信	feierin 4 楼这个用来学习HOOK 拿来练练手还是很不错的但真正的防U盘病毒还是不靠谱至少我写U盘病毒不会GetLogicalDrives BT点的病毒都很少用API 楼主的代码风格不错赞一个 2009-10-23 19:12 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 5 楼 hook这个啥用都没有，人家可以直接取PEB里的device map... 2009-10-23 19:34 0
ImHolly 雪币： 412 活跃值： (30) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 293 粉丝 1 关注私信	ImHolly 1 6 楼可以防住一些，防不住所有，毕竟各种U盘病毒实现不一样前段时间我也写过类似工具，不过和楼主思路不一样。。。 BTW：貌似有些系统GetDriveType用的是ZwQueryVolumeInformationFile 2009-10-23 20:33 0
hljleo 雪币： 564 活跃值： (42) 能力值： ( LV12，RANK：230 ) 在线值：发帖 13 回帖 130 粉丝 2 关注私信	hljleo 5 7 楼 typedef enum _PROCESSINFOCLASS { ProcessBasicInformation, // 0 Y N ProcessQuotaLimits, // 1 Y Y ProcessIoCounters, // 2 Y N ProcessVmCounters, // 3 Y N ProcessTimes, // 4 Y N ProcessBasePriority, // 5 N Y ProcessRaisePriority, // 6 N Y ProcessDebugPort, // 7 Y Y ProcessExceptionPort, // 8 N Y ProcessAccessToken, // 9 N Y ProcessLdtInformation, // 10 Y Y ProcessLdtSize, // 11 N Y ProcessDefaultHardErrorMode, // 12 Y Y ProcessIoPortHandlers, // 13 N Y ProcessPooledUsageAndLimits, // 14 Y N ProcessWorkingSetWatch, // 15 Y Y ProcessUserModeIOPL, // 16 N Y ProcessEnableAlignmentFaultFixup, // 17 N Y ProcessPriorityClass, // 18 N Y ProcessWx86Information, // 19 Y N ProcessHandleCount, // 20 Y N ProcessAffinityMask, // 21 N Y ProcessPriorityBoost, // 22 Y Y ProcessDeviceMap, // 23 Y Y ProcessSessionInformation, // 24 Y Y ProcessForegroundInformation, // 25 N Y ProcessWow64Information // 26 Y N } PROCESSINFOCLASS; 2009-10-23 20:43 0
三根火柴雪币： 268 活跃值： (40) 能力值： ( LV10，RANK：170 ) 在线值：发帖 32 回帖 255 粉丝 0 关注私信	三根火柴 4 8 楼支持一个，不错 2009-10-24 09:17 0
xiejienet 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 639 粉丝 0 关注私信	xiejienet 9 楼 4楼，不用api的程序是啥样子，我想象不出来 2009-10-25 07:44 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 10 楼 U盘病毒范围太窄了，应该是AUTORUN病毒，这个连硬盘都感染所以hook那几个API冇用 2009-10-25 09:49 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 11 楼 support!支持moonife兄弟 2009-10-25 19:32 0
maplelxf 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 99 粉丝 0 关注私信	maplelxf 12 楼不错，学习一下， 2009-10-26 20:37 0
huangqiang 雪币： 454 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 103 粉丝 1 关注私信	huangqiang 13 楼要搞那么复杂么？在每个盘的根目录下建个autorun.inf只读目录不就行了 2009-10-26 21:47 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 14 楼看看某人写的程序，就明白了 2009-10-26 22:27 0
gddcxysqw 雪币： 40 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 221 粉丝 0 关注私信	gddcxysqw 15 楼 13L 貌似正解只是.. 2010-1-20 15:23 0
mssam 雪币： 52 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	mssam 16 楼现在U盘病毒比原来的autorun多多了，有很多方法可以实现感染。通过感染U盘文件照样可以实现传播啊 2010-1-21 16:43 0
东新网络雪币： 221 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	东新网络 17 楼直接全盘免疫AUTORUN 这个文件不就好了吗？ 2010-1-22 11:16 0
没有风雪币： 486 活跃值： (13) 能力值： ( LV9，RANK：430 ) 在线值：发帖 24 回帖 152 粉丝 0 关注私信	没有风 10 18 楼好东西,顶. 2010-1-24 19:37 0
shuili 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 45 粉丝 0 关注私信	shuili 19 楼一般我用U盘都喜欢建个特殊文件夹，把EXE放进里面，貌似不容易被感染。。。 2010-2-5 09:31 0
kevinch 雪币： 155 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 94 粉丝 0 关注私信	kevinch 20 楼把U盘格式化成NTFS格式,然后建个文件夹命名为autorun.inf,再在安全里把全部所有者删除,这样只有创建者能改了,我一直这样用,不知这方法管不管用 2010-2-7 12:27 0
yncm 雪币： 211 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 30 粉丝 0 关注私信	yncm 21 楼某些弱智的驱动光盘（eg: hp打印机 hsp1xxx）把设置保存在autorun.inf中，全盘免疫AUTORUN 这个文件就无法正常安装该驱动了 2010-3-26 09:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复