Ring0下的病毒诊断程序终于完成了

最新推荐文章于 2023-11-13 10:24:13 发布
最新推荐文章于 2023-11-13 10:24:13 发布
阅读量4.5k 收藏 1
点赞数
文章标签: 测试 hook 虚拟机 blog api
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenhui530/article/details/2163206
版权

在蓝了我N次屏的情况下,昨天完成了Ring0秒 的病毒诊断分析程序,初步测试效果还不错,自己模拟了些感染型病毒也能智能分辨出来,试着调试了些程序还算稳定,冰刃通过,但是在调试自己的进程管理器竟然蓝了,现在还在找原因。

程序原理:
使用SSDT HOOK来实现API的监管。对文件,进程,内存(只针对写,已经读写内核空间的函数) ,线程,驱动的加载进行了拦截以及一些常用的注入方式也进行了拦截。拦截函数列表如下:

ZwCreateThread
ZwSetContextThread
ZwTerminateProcess
ZwQueueApcThread
ZwSetSystemInformation
ZwLoadDriver
ZwSetInformationFile
ZwReadFile
ZwWriteFile
ZwCreateFile
ZwOpenFile
ZwClose
ZwCreateKey
ZwDeleteKey
ZwDeleteValueKey
ZwTerminateJobObject
ZwCreateProcess
ZwWriteVirtualMemory

由于偷懒目前还没有进行用户交互选择,比如说创建了新的进程,
线程以及终止进程让用户选择,还有日志文件并没有直接写入文件
而是使用DbgView方式来察看,需要的可以把信息导出即可。

注意:由于是ring0下的东西最好还是在虚拟机中测试,我不敢100%保证程序的稳定性。

如果你在使用中发现了什么问题或者是一些建议可以联系我。

下载地址是:https://p-blog.csdn.net/images/p_blog_csdn_net/chenhui530/VirusMonitor.jpg
下载后把"VirusMonitor.jpg"改名成"VirusMonitor.rar"解压即可使用。

简单说下使用方法:
先运行解压出来的DbgView然后运行主程序VirusMonitor然后你可以在路径栏里指定你需要分析的文件,染确定即可分析,也支持拖放。一次只分析一个文件以及由它创建的所有子进程,主要是由于方便区分,要再次分析的先把程序退出即可。一但程序运行起请先不要把住程序退出,因为一退出程序会把驱动卸载。

chenhui530
关注
Windows蓝屏错误代码解释
weixin_33757609的博客
05-08 1229
windows蓝屏错误代码解释10×00000001不正确的函数。20×00000002系统找不到指定的档案。30×00000003系统找不到指定的路径。40×00000004系统无法开启档案。50×00000005拒绝存取。60×00000006无效的代码。70×00000007储存体控制区块已毁。80×00000008储存体空间不足,无法...
NJFU计算机题库
CSDN_Novice的博客
07-24 3842
计算机题库 1(152).下列关于字节的四条叙述中,正确的一条是(C ). A) 字节通常用英文单词"bit"来表示,有时也可以写作"b" B) 目前广泛使用的Pentium机其字长为5个字节 C) 计算机中将8个相邻的二进制位作为一个单位,这种单位称为字节 D) 计算机的字长并不一定是字节的整数倍 2(84).能描述计算机的运算速度的是(B). A) 二进制位 B) MIPS C) MHz D) MB 计算机运算速度是指每秒钟所能执行的指令条数,一般用“百万条指令/ 秒”来描述。MIPS(Million
利用NTLDR进入RING0的方法及MGF病毒技术分析
iwmd24iwmd
01-17 216
利用NTLDR进入RING0的方法及MGF病毒技术分析 2010年08月02日   [b]以前看了莫国防病毒的源代码。摸到了一个进入RING0的方法。今天又在EST论坛看到了代码,随手写一个笔记吧。其实wowocock已经提及过这个了。我就在简单的说说,各位就别拍我了。笔记而已。。。主要要说的就是病毒进入RING0的方法,虽然现在说起来MGF病毒进入RING0的方法,已经算老技术了,但是...
邪恶的RING0注射SHELLCODE
08-22 1233
ZwCreateProcessEx 是个非常非常好的东西,虽然他是个UNDOC.但是如果你仔细阅读过WIN2K的SRC,并且非常了解PE的运行机制,你会发现一些很有趣的东西。这对目前的所有NT内核的系统来说都是致命的可以用来做什么1. 制造漏洞2. 提升权限3. 拿来写病毒4. 拿来写各种木马5. 各种ROOTKI但是这里我只想很简单的说一下原理。我只希望这样的东西只用来讨论而已,
病毒编写教程2
流氓小李的专栏
08-24 1436
5. Ring3下的病毒技术在Ring3下编写病毒,最主要的是利用Windows提供的各种API函数。就像前面提到的那样,可以通过引入库的方式来进行调用。这是我极力推荐的方法----使用简单,而且不会出错:-D此外,也可以使用网上很多文章介绍的方法,通过搜索来定位kernel32.dll,并进而定位LoadLibrary和GetProcAddress两个函数来调用API。由于这涉及到关于P
(8)亲密接触恶意代码之文件感染和内存驻留
p123456789p的专栏
03-20 716
亲密接触恶意代码之文件感染和内存驻留  PE 文件的修改和感染策略  既然已经能够搜索磁盘及网络共享文件中的所有文件,要实现寄生,那么自然下一步就是对搜索到的PE文件进行感染了。感染PE的很重要的一个考虑就是将病毒代码写入到PE 文件的哪个位置。读写文件一般利用Win32 API CreateFile、CreateFileMapping、MapViewOfFile等API以内存映射
FusionCloud云数据中心安全解决方案.pptx
10-11
2. CPU虚拟化:通过Ring0和Ring3的特权级别以及ROOT模式,实现操作系统与应用程序的隔离,确保指令调度的安全。 3. 内存虚拟化:内存隔离和调度机制保证了不同虚拟机之间的内存安全,防止信息泄露。 总结,...
红队系列-shellcode AV bypass Evasion免杀合集
最新发布
aming小老弟
11-13 1422
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode。
红队专题-REVERSE汇编/二进制PWN/逆向/反编译
aming小老弟
10-10 1271
ROP(Return-Oriented Programming)链是一种计算机安全领域中的攻击技术,用于绕过内存执行保护措施,实现利用漏洞进行代码注入和控制流劫持。由一系列已存在于程序内存中的代码片段(称为gadget)组成的,这些片段通常是程序的合法指令序列。通过将这些gadget按照特定的顺序串联起来,攻击者可以构造出一条可执行的ROP链,用于实现特定的攻击目的。ROP链的基本原理依赖于已存在的代码片段,而不是插入自定义的恶意代码。这样可以避免执行数据区域中的恶意代码,
Zw 系列函数
huanongying131的博客
11-19 3684
转:http://blog.sina.com.cn/s/blog_4a1acc7f0100cfud.html      896  37F 0000D379 ZwAcceptConnectPort         897  380 0000D38E ZwAccessCheck         898  381 0000D3A3 ZwAccessCheckAndAuditAlarm         ...
Windows NT内核函数大全
qq_42577465的博客
06-06 1623
Nt内核函数大全 NtLoadDriver服务控制管理器加载设备驱动. NtUnloadDriver服务控制管理器支持卸载指定的驱动程序. NtRegisterNewDevice加载新驱动文件. NtQueryIntervalProfile返回数据. NtSetIntervalProfile指定采样间隔. NtStartProfile开始取样. NtStopProfile停止采样...
漫谈兼容内核之十九:Windows线程间的强相互作用
周寅的专栏
03-13 1908
     在现代的计算机系统中,一项作业(Job)往往需要多个进程或线程的协作,而操作系统则要为进程或线程间的协作提供基础设施和机制上的支持。操作系统、特别是内核,提供什么样的设施和手段,系统中的进程之间和线程之间就会有什么样的相互作用。如果把一个系统比作一个社会,那么系统中的进程和线程就好像是社会中的成员。成员的行为和成员之间的关系有其“社会性”的一面、即互相影响的一面。例如一个线程的调度优先级
过TP驱动4(硬件断点部分)
guoyi987的专栏
03-17 2745
NtGetThreadContext NtSetThreadContext 需要处理一下    概念性代码:   NTSTATUS MyNtGetThreadContext(HANDLE hThread, PCONTEXT pContext) { PEPROCESS p = IoGetCurrentProcess(); NTSTATUS status ; if ( s
特权指令与虚拟化
pty_2007的专栏
02-24 3016
CPU发展到x86的时代,其工作模式已经不是简单的只有实时模式(real mode)了。现在用的CPU都支持四种保护级别,分别对应这不同的CPU模式,即ring0,ring1,ring2,ring3。windows只使用了ring0和ring3.操作系统核心使用ring0,其他应用的应用程序基本都是在ring3级别上。     虚拟化技术中,操作系统将安装在虚拟机中。那么就有个问题需要关注:虚拟
OD Anti Debug 研究笔记
09-06 455
V盾网络验证 Anti Debug 1.V盾debug.exe 0044B77C . FF15 D0F24700 call dword ptr ds:[<&KERNEL32.CreateThre>; \CreateThread 创建线程api CreateThread (OD附加程序后 按T可以看到程序调用的线程地址) 001...
Win32下常见反调试技术
HexRain的专栏
12-17 4939
1 探索内存差异 跟到的一个IceSword用户层程序中的一个反调试代码: (跟Kernel32!IsDebuggerPresent函数的实现方法一致) mov     eax, dword ptr fs:[18]     当前进程TEB->Ptr32 _NT_TIB mov     eax, dword ptr [eax+30]     eax+30h是peb的地址 movzx
对抗debugport清零的另一种方法
kingswb的博客
06-15 2783
这篇文章大家还是别看了,有几处代码错误,因为是用notepad++写的,而且没有造成显式的错误,所以我起先也没发现,后来在看雪上贴了段时间,我又把代码几处错误改了,然后再次调试,到前几天为止,基本确认思路存在问题了……至于为什么,讲起来很麻烦的说 不过貌似因为这篇帖子,看雪给了我枚邀请码,很开心哈……因为这是我在看雪发的第一篇帖子嘛,而且,还是个半成品 前几天晚上看intel手册突
构建最小WDM驱动程序:汇编语言版Ring0内核编程指南
这段代码演示了如何在Ring0下执行特权操作,以及如何确保驱动程序符合WDM的规范。 在编写WDM驱动时,必须遵循特定的编程模型和规则,包括调用约定、异常处理和驱动入口点。示例代码最后通过MASM进行编译,并使用...
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值