对某bootkit的驱动分析

最新推荐文章于 2023-02-24 15:43:25 发布
最新推荐文章于 2023-02-24 15:43:25 发布
阅读量2.2k 收藏 1
点赞数
分类专栏: 我的日记 文章标签: bootkit guntior
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cnbragon/article/details/8255238
版权 
一.基本信息
驱动文件名:1F273549.sys(驱动名称随机)
病毒类型:感染MBR
MD5:xxx
文件大小:9,104 字节
 
二.危害简介
1. hook了4个SSDT函数,用于对抗杀软的驱动加载,以及保护自身样本不被复制
2. 替换了Disk.sys的StartIo处理例程,隐藏MBR的修改
3. 根据上层传入的进程pid来杀进程,主要用于结束杀软的进程
4. 使用磁盘IO来直接操作MBR
三.详细分析
1.  DriverEntry
a)  创建设备名为\\Device\\Guntior的设备对象
b)  获取如下4个函数的地址
ZwLoadDriver
ZwSetSystemInformation
ZwSetValueKey
ZwReadFile
c)  SSDT hook以上的4个函数
d)  获取Disk.sys的DEVICE_OBJECT
e)  直接发IRP读取MBR
f)   对读取出的MBR内容进行判断,判断是否是感染过的MBR
g)  Hook Apapi StartIo
2.  SSDT hook函数的处理
a) ZwLoadDriver & ZwSetSystemInformation
这两个驱动都是判断要加载的驱动是否在如下的列表中,如果在,则拒绝。
在ZwLoadDriver的处理中还会删除相关的服务注册表项。
这个是用来对抗杀软的驱动加载的。
b)  ZwSetValueKey
这个函数的处理中主要是判断注册表路径是否包含如下的两个列表,如果有,则拒绝
c) ZwReadFile
样本hook了这个函数,主要是判断要读取的文件是否是sfc_os.dll,如果是,则拒绝。
这里sfc_os.dll已经被样本替换了。
3.  Device Io的处理
该驱动一共有4个Control Code,
Control Code 222440用于接收sfc_os.dll打下来的如下4个函数的地址以及函数内部的偏移和指令
MmGetSystemRoutineAddress
PspTerminaterProcessByPointer
KeInsertQueueApc
KiInterQueueApc
ControlCode 222444:
用于根据sfc_os.dll打下的进程pid来调用PspTerminaterProcessByPointer来结束进程,同时还会根据222440传入的指令来检查上面的4个函数是否被hook,如果有被hook,则恢复钩子。
Control Code 22243D用来通过磁盘IO来读取MBR,并且返回给上层的sfc_os.dll。
Control Code 222439主要是为磁盘IO的相关操作做前期的准备,比如硬盘状态的判断等。
4. StartIo处理
在Guntior的StartIo函数中,会根据IRP判断来隐藏MBR
cnbragon
关注
专栏目录
zwloaddriver
09-23
驱动加载工具zwloaddriver源代码
“暗云”BootKit木马详细技术分析
weixin_34319999的博客
03-08 955
腾讯电脑管家 · 2015/01/30 12:580x00 “暗云”木马简介:“暗云”是一个迄今为止最复杂的木马之一,感染了数以百万的计算机, 暗云木马使用了很多复杂的、新颖的技术来实现长期地潜伏在用户的计算机系统中。其使用了BootKit技术,直接感染磁盘的引导区,感染后即使重装系统格式化硬盘也无法清除该木马。该木马使用了很多创新的技术,有以下特点:第一、隐蔽性非常高,通过Hook磁盘驱动实现对...
Sinowal Bootkit 分析-中国红客网络技术联盟 - Powered by Discuz!
weixin_30679823的博客
07-07 137
訪问原文 (一)模块组成 感染过Sinowal的电脑,Sinaowal在硬盘中的分布例如以下图: ; Sector Offset Size Name ; -------------------------------------------...
后门BROOTKIT代码学习和原理分析
whatday的专栏
01-10 1641
周末闲来无事,想找点东西学习一下,随手翻到了之前看到的一篇关于brootkit的文章,知道它是用Bash写的一个后门程序。刚好最近在做Bash相关的工作,就想着学习一下这方面的知识,稍作整理之后就有了本文。 另:想好好看看brootkit是如何实现的也源于一位”高手”的指导:渗透过程中尽量使用系统原生/已有的功能、机制,不要引入过多的「外部程序」,比如在Windows早期系统上,尽量使用vb
MBR-BOOTKIT分析,样本
03-28
通过深入分析一个BOOTKIT样本,我们可以更全面地了解这类恶意软件的工作原理,从而提升对系统安全的保护能力。这涉及到多方面的技能,包括低级编程、操作系统原理、网络安全和逆向工程等。对于IT专业人员来说,这样...
Rootkits and Bootkits 2019 English edition_pdf_Bootkit_rootkit_e
09-30
6. **案例分析**:历史上著的RootkitBootkit案例,如Sony BMG的XCP和First 4 Internet的CD Star Rootkit事件,以及一些知Bootkit如Stuxnet和Alureon。 7. **安全最佳实践**:定期进行系统扫描、使用安全...
Bootkit相关
01-07
为了深入研究Bootkit,开发者可以查看README文件获取项目信息,运行或分析`pingv`和`sample`文件以理解Bootkit的运作机制,同时参考`build`目录下的文件学习如何构建和测试Bootkit。不过,由于Bootkit涉及的是非法和...
Rovnix bootkit改装版
04-06
Rovnix bootkit感染的是VBR引导代码。本人吸取了Gapz bootkit的技术简单的改装了下,只感染VBR4个字节就可以实现启动! http://www.welivesecurity.com/2012/07/13/rovnix-bootkit-framework-updated/ ...
Stoned Bootkit
12-05
bootkit的主要目的是为用户重新获取对系统的控制权,特别是对于Windows Vista及其后续版本通过签驱动程序策略限制了未签驱动程序加载的情况。 #### 特征与用途 Stoned Bootkit允许加载未签驱动程序,这...
内核级结束进程 结束冰刃进程 结束360等杀软进程
12-24
内核级结束进程 内核级结束进程 结束冰刃进程 结束360等杀软进程 其进程不能被冰刃结束
关于Stoned Bootkit v2编译和Bochs调试软盘MBR的吐槽(伤不起啊..)
GaA.Ra的自留地 in Csdn
06-17 7853
昨天晚上弄着弄着搞到2点多,早上眼睛睁开,6点40,想着问题没解决,很是不爽,脑海里浮现n种方案(n>2),果断下床继续干活.天不负我..泪流满面.终于停在该死的0x7c00上面了..阿西..上图     图片发到微薄上就删了..大家将就着看吧.     下面不是进入正题,今天没有正题,今天就是吐槽...     前几天看群里三哥发了鬼影3的无壳样本,决心分析一下,结果无奈不是exe,只
使用ZwLoadDriver加载驱动
xuplus的专栏
04-21 3881
#include #include typedef struct _LSA_UNICODE_STRING {    USHORT Length;    USHORT MaximumLength;    PVOID Buffer;} LSA_UNICODE_STRING, *PLSA_UNICODE_STRING; typedef LSA_UNICODE_STRING UNICODE_STRING,
加载windows驱动的几种方式
最新发布
要把所有那些负面的信息当做对自身行为的评价,而不是对自身价值的评判。
02-24 1096
windows api加载驱动的几种方式:
阻止反外挂GPK/sys加载思路
暗组-萬歲
07-20 4756
思路建议: sys 驱动加载之前,要 CreateService ,试试拦截这个api?或者更底层? 不重启的话,Hook ZwLoadDriver,ZwSetSysteminformation基本就差不多了createservice,zwloaddriver,zwsetsyst
驱动、设备和设备文件的关系
qq_42230338的博客
08-10 2221
编写一个驱动文件的时候生成一个name1.ko文件,这个name1就是驱动,使用insmod name1.ko指令之后,用lsmod能看见一个为name1的驱动 在调用了alloc_chrdev_region函数或register_chrdev_region函数时传入的最后一个参数为设备,如果传入的为name2,则表示该设备为name2,使用cat /proc/devices指令可以看到该设备 使用mknod指令指定的文件为设备文件,该字为使用open函数时打开的文件 设备节点被创建在/de
【原创】Windows处理驱动Path流程
OSReact的专栏
07-12 1195
昨天写了一个类似SC查询驱动服务的信息的程序,发现获取到的路径ImagePath是\??\c:\xxxxx,导致我用CreateFile什么的函数,居然失败!就比较好奇windows是怎么处理驱动服务一类的路径处理。我知道windows是在注册表中记录的启动服务信息,直接用注册表打开查看如下: <img title="称: reg.JPG 查看次数: 311 文件大小: 58.7 KB
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值