“MJ”病毒技术细节

最新推荐文章于 2019-05-15 16:22:49 发布
最新推荐文章于 2019-05-15 16:22:49 发布
阅读量710 收藏
点赞数
分类专栏: 病毒汇编和调试逆向技术加脱壳 文章标签: 杀毒软件 hook api 扩展 防火墙 dos
本病毒是一个驱动型病毒,并专门感染扩展名为.sys的驱动文件。

    在病毒感染体程序中有“zjjmj2002”字样,根据以往的病毒分析经验并结合该样本的上下文来看,这应该是作者特意留下的签名。

    被感染的驱动程序文件加载后依次执行如下几部分操作:

    1.获取ntoskrnl.exe和hal.dll的基址:

    对于ntoskrnl的基址,病毒通过驱动入口函数的返回地址来寻找ntoskrnl的基址,对返回地址循环按页对齐向前遍历,搜索有效的DOS头。对于hal.dll的基址,病毒通过调用MmGetSystemRoutineAddress获取HalInitSystem的地址,再以该地址用搜索ntoskrnl基址相同的方法获取基址。

    2.获取Native API地址:

    该病毒采用搜索导入表对比函数名校验值的方法获取本地API地址。在该病毒入口偏移0x14处保存了两个函数名校验值的表,分别对应ntoskrnl和hal.dll。这两个表每个表项为一个DWORD值,以一个为0的DWORD值为结尾,每个DWORD值是一个函数名的校验值。在对应ntoskrnl.exe的表中有36个校验值,在对应hal.dll的表中有4个校验值。病毒在获取ntoskrnl和hal.dll的基址后,搜索其导入表,对比函数名的校验值和这两个表中的校验值,以此来获取API地址。

    3.执行病毒体:

    病毒在获取重定位地址、获取API地址等初始化后,调用ExAllocatePool函数分配大小为0x1000的内存块并将病毒体复制写入,然后跳到病毒体偏移0x3D8处开始执行。

    4.钩取 NtOpenFile:

    病毒首先通过打开文件、建立文件映射的方式读取ntdll.dll文件中的信息(导出函数索引等),以便挂钩 NtOpenFile函数,来达到感染用户访问的驱动文件的目的。该病毒尝试打开ntdll.dll时使用了硬编码的字符串“C:/Windows/System32/ntdll.dll”,如果目标系统与其不符合,将无法实现其它hook和感染工作。病毒通过修改cr0寄存器标志位的方法关闭写保护,然后修改NtOpenFile入口处5个字节的代码。病毒将NtOpenFile的前5个字节复制,然后改写为“Jmp xxxx”,hook过程的地址在病毒体偏移0x5C1处。

    5.循环反调试检测:

    在对NtOpenFile挂钩后,病毒将新分配内存并将病毒体偏移0x733处长度为0x93大小的代码写入,并将代码中调用系统API的地方填入正确的地址,然后调用这段代码(新分配内存区域的偏移0处)。在这段代码中,病毒对病毒体(内存中)的代码进行校验,以此来检查在病毒体代码上是否有软件断点。如果发现代码被改变,将通过调用KebugCheck(传参数0xE5)的方法使系统蓝屏崩溃。在这段代码中,病毒通过调用KeInitializeDpc、KeInitializeTimer、KeSetTimer来构建了一个定时循环结构。病毒将这段代码的开始地址作为DeferredRoutine传给KeInitializeDpc函数建立Dpc(延迟过程调用),然后将Dpc传给KeSetTimer函数,时间间隔为100毫秒,这样这段代码就会每隔100毫秒被执行一遍,定时循环检测病毒体的代码是否被改变。

    6.返回原文件入口点:

    在病毒体偏移0x58A处,是一条病毒在感染时写入的“Jmp 原入口点”指令,病毒在执行完前边所述的操作后,通过这条指令返回被感染的文件的入口点执行。

    7.NtOpenFile钩子过程:

    在Hook过程中,病毒记录调用地址,然后将一个位于病毒体内地址的地址压入堆栈,然后运行被复制的原NtOpenFile开始处的5个字节的代码并跳回到NtOpenFile继续执行。通过压入指向病毒体内的地址,使NtOpenFile返回后首先被病毒控制,病毒会检查打开的文件的扩展名是否是“.sys”,如是调用感染函数感染文件。

    8.感染驱动程序文件:

    病毒修改被感染驱动程序文件的最后一个节,将其扩大0x1000字节大小,并修改其属性使其可写、可执行,病毒将病毒体写入扩大的部分。病毒修改被感染文件的PE结构使其入口点指向病毒的入口(病毒体偏移0x200处),计算原驱动程序文件的入口点的相对位置,并以“Jmp 原入口点”的形式保存原入口点地址,以便病毒体执行完其功能后跳回原文件入口点执行。最后,病毒重新计算并写入被感染文件的校验和,以确保被感染的驱动程序文件能正常加载。

    另外,在病毒体偏移0xB2C处还有部分代码并没有被使用的,猜测该病毒仍有继续更新的可能。

安全建议:

    1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次。

    2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。

    3 不浏览不良网站,不随意下载安装可疑插件。

    4 不接收QQ、MSN、Emial等传来的可疑文件。

    5 上网时打开杀毒软件实时监控功能。

    6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。

清除办法:

    瑞星杀毒软件清除办法:

    安装瑞星杀毒软件,升级到19.47.02版以上,对电脑进行全盘扫描,按照软件提示进行操作,即可彻底查杀。

 
iiprogram
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSDT获取原始服务地址的方法与原理(灯灯灯灯,我肥来了..)
GaA.Ra的自留地 in Csdn
11-18 7340
好吧,我胡汉三肥来了..(确实肥了- -),几个月没发什么文章.其实.我也只是一个新丁~欢迎大家交流,高手勿喷,谢谢合作^_^     对于SSDT,不知道的同学请自己百度,判断出SSDT被HOOK之后,如何恢复成原始服务地址?主要方法有两个,简单来说,一个Ring0,一个Ring3的方法(可能分类不够准确),我今天除了介绍方法之外,主要还是讲讲里面的原理吧,原理神马的才是最吸引人的对吧.
[英语阅读]黑客以MJ之名传播病毒
张彤的专栏
07-03 602
Warning over Michael Jackson email virusSophos杀毒软件公司近日发出警告称,一种网络病毒正以流行天王迈克尔•杰克逊“神秘”歌曲和照片为掩护,通过电子邮件传播,网友收到此类邮件应立即删除。该公司设在新加坡的亚洲办事处发表声明说,附带这种病毒的电子邮件主题为“怀念迈克尔•杰克逊”,发件人为sarah@michaeljackson.com。发件人在邮件中提
获取操作系统的内核基地址
weixin_33724046的博客
11-05 434
操作系统的内核模块根据处理器的个数和是否支持PAE(Physical Address Extension物理地址扩展)分为以下四种 ntoskrnl.exe ---Uniprocessor单处理器,不支持PAE ntkrnlpa.exe ---Uniprocessor单处理器,支持PAE ntkrnlmp.exe ---Multiprocess...
《Undocumented Windows 2000 Secrets》翻译 --- 第四章(9)
Kendiv's Box
02-22 2350
第四章  探索Windows 2000的内存管理机制翻译:Kendiv( fcczj@263.net )更新:Tuesday, February 22, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。 Windows 2000的分段和描述符w2k_mem.exe的另一个很棒的选项是+e,该选项将显示和说明处理器的段寄存器和描述表的内容。示列
从键盘手动强制崩溃
ethread的专栏
03-15 1346
可以直接通过键盘手动造成系统崩溃。在Windows XP中,该功能在使用i8042prt端口键盘(PS/2)时可用,而在Windows Vista和之后的系统在USB键盘上也可用。可以通过注册表键来对按键进行完全的配置。   之前先要做两个预备工作: 1、如果希望创建崩溃转储文件,必须先启用dump文件,选择路径和文件名,并选择dump文件的大小。 2、使用PS/2键盘,必须现在注册表中启
MJ关键词midjourney特写细节整体细节词.xlsx
05-03
MJ关键词midjourney特写细节整体细节词 逼真细节 精致还原 纹理细节 细节丰富 精细模型 细节完美 复杂场景 细节刻画 真实还原 细节描绘 清晰呈现 细节纤毫 精准还原 细节之美 高清细节 细节呈现 细节严谨 逼真还原 ...
MJ802G的技术参数
12-10
产品型号:MJ802G类型:NPN集电极-发射集最小雪崩电压VCEO(V):100集电极最大电流IC(Max)(A):30直流电流增益hFE最小值(dB):25直流电流增益hFE最大值(dB):100最小电流增益带宽乘积Ft(MHz):2总功耗PD(W):200封装/温度(℃...
MJ21195G的技术参数
12-10
产品型号:MJ21195G类型:PNP集电极-发射集最小雪崩电压VCEO(V):250集电极最大电流IC(Max)(A):16直流电流增益hFE最小值(dB):25直流电流增益hFE最大值(dB):75最小电流增益带宽乘积Ft(MHz):4总功耗PD(W):250封装/温度...
MJ15024G的技术参数
12-10
**MJ15024G晶体管技术详解** 在电子工程领域,晶体管是不可或缺的基础元件,它们在放大电流、开关电路以及构建逻辑门等方面扮演着核心角色。本文将详细探讨型号为MJ15024G的NPN型晶体管,分析其主要技术参数及其在...
MJ11015G的技术参数
12-10
产品型号:MJ11015G类型:PNP集电极-发射集最小雪崩电压VCEO(V):120集电极最大电流IC(Max)(A):30直流电流增益hFE最小值(dB):200直流电流增益hFE最大值(dB):1000最小电流增益带宽乘积Ft(MHz):4总功耗PD(W):200封装/...
内核编程之SSDTHook(1)原理
zuishikonghuan的博客
03-11 9021
本博文由CSDN博主zuishikonghuan所作,版权归zuishikonghuan所有,转载请注明出处: 说驱动开发这么长时间了,也玩玩内核钩子,钩子(Hook)技术是一种截获对某一对象访问的技术,不仅在Windows平台,Linux平台上也有Hook技术。Hook技术种类繁多,实现细节也不同,还可以灵活使用。 我之前写过两篇Ring3下的API Inline Hook的博文,这
Windows NT 驱动程序开发人员提示——应注意避免的事项
人是会思考的一棵苇草
05-09 1906
下面是开发人员在使用 Windows NT 设备驱动程序时应当避免的事项列表: 1. 一定不要在没有标注 I/O 请求数据包 (IRP) 挂起 (IoMarkIrpPending) 的情况下通过调度例程返回 STATUS_PENDING。 2
Windows内核情景分析 第二章 从用户空间发起系统调用的过程(仅供自赏)
For Geek
05-15 835
系统调用/系统服务存在的需求 从应用程序的角度看,内核的作用在于提供了一组可供应用程序调用的接口。这组调用我们称为“系统调用”。也可以认为系统调用是内核提供的一种服务。所以系统调用也称为系统服务。 从程序运行的角度来看:进程是主动的,有活性的,是发出调用请求的一方。而内核是被动的,只是应程序的需求来提供相应的服务。 从整个系统的角度看:内核也有活性的一面,只不过从应用程序本身是看不到的,隐形的。诸...
获取ntoskrnl的基址
十年磨一剑,霜刃未曾试!
08-01 1142
使用NtQuerySystemInformation来检索加载的模块,从加载模块里面搜索出ntoskrnl.exe模块 NTSTATUS Status; PUCHAR BaseAddress = NULL; NTSTATUS ntStatus; PMODULES pModules; ULONG NeededSize; pModules = (PMODULES)&pModules;
《Undocumented Windows 2000 Secrets》翻译 --- 第六章(2)
Kendiv's Box
05-05 2963
第六章  在用户模式下调用内核API函数翻译:Kendiv( fcczj@263.net )更新:Friday, May 13, 2005 声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。在运行时链接到系统模块在实现了基本的内核调用接口之后,接下来的问题是将符号化的函数名解析为线性地址,这一地址时CALL指令所需要的(见列表6-2)。这一步很重要,因为你不能确定内核API函数的入
获取内核ntoskrnl.exe基地址的几种常见办法
11-09 5050
 作 者: combojiang如果大家写过shellcode一定还记得,shellcode中开头要找kernel32.dll模块的内存加载地址。同样,如果大家要写一个内核的类似东东的话,第一步也是要找出ntoskrnl.exe模块的内存加载位置。有三种常见办法在这里咱们大体描述下:1。利用ZwQuerySystemInformation 来检索加载的模块,从加载模块里面搜索出ntoskrnl.e
KeBugCheck2的第6个参数
03-22 6907
大家知道,DDK公开了两个内核API用于产生BSOD,分别是KeBugCheck()和KeBugCheckEx()。其原型分别如下:VOID   KeBugCheck(IN ULONG  BugCheckCode    );VOID   KeBugCheckEx(IN ULONG BugCheckCode,    IN ULONG_PTR  BugCheckParameter1,    I
[毕业设计]VB环境下电脑销售与财务管理系统开发(ACCESS+源代码+论文).zip
最新发布
08-05
[毕业设计]VB环境下电脑销售与财务管理系统开发(ACCESS+源代码+论文)
ZigBee技术发展历程:R13规范突破与未来展望
在市场竞争方面,文中列举了多个ZigBee开发工具和解决方案,如FREESCALE BeeKIT提供3个月免费试用期,MICROCHIP的ZigBee 2004采用免费的MJ2440RF,而Jennic LTD的解决方案则内嵌了ZigBee技术并附加微控制器。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值