机器狗病毒技术分析

最新推荐文章于 2023-06-12 16:52:28 发布
最新推荐文章于 2023-06-12 16:52:28 发布
阅读量1.4k 收藏
点赞数
分类专栏: 病毒汇编和调试逆向技术加脱壳 文章标签: hook object dll patch 算法 c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/2509515
版权
作 者: 水中雁时 间: 2008-05-15,23:36链 接: http://bbs.pediy.com/showthread.php?t=649023年前在看雪论坛注册了个号,但嫌ID不好听,因此一直没有发过帖。后来想换个ID,却发现不能注册了。昨天来逛逛,发现能注册了,终于注册了个自己比较喜欢的ID。分析比较长,仅贴出驱动部分的分析。完整版请参看附件。(已贴附件)附件包含:机器狗0506技
摘要由CSDN通过智能技术生成
作 者: 水中雁
时 间: 2008-05-15,23:36
 链 接: http://bbs.pediy.com/showthread.php?t=64902

3年前在看雪论坛注册了个号,但嫌ID不好听,因此一直没有发过帖。后来想换个ID,却发现不能注册了。昨天来逛逛,发现能注册了,终于注册了个自己比较喜欢的ID。
分析比较长,仅贴出驱动部分的分析。完整版请参看附件。(已贴附件)
附件包含:
机器狗0506技术剖析.pdf
dll_unpack.idb
sys.idb
由于自己能力有限,以及基本没有动态调试。故难免有所纰漏或错误,请各位不吝指正。

摘要
机器狗新变种使用了一些流行的技术,包含了修复SSDT Hook、修复FSD Hook、并对一些系统还原软件进行有针对的Hook,使能达到突破还原软件保护的目的。做了那么多,最终目的还是下载大量的木马到用户的系统上。
一、修复SSDT
1、获取内核第一个模块名(XP系统:ntkrnlpa.exe)及SVA(System Virtual Adrress),映射一份ntkrnlpa.exe到内存中,根据导出表获取KeServiceDescriptorTable的RVA转换成VA,为X,根据重定位表信息获得需要重定位的地址Y࿰
最低0.47元/天 解锁文章
iiprogram
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
进程创建监控
zzmzzff的博客
03-28 670
上次讲了下进程保护原理,这次讲一下进程监控。监视进程创建,也就是监视EXE程序启动,就要hook掉创建进程的API,创建进程的API有ntdll!ZwCreateProcessEx、ZwCreateSection、ZwCreateThread等,kernel32里有CreateProcessA(W)和CreateProcessInternalA(W),hook ZW函数比较麻烦,因为那时进...
使用Native API 创建进程
misterliwei的专栏
08-18 5444
<!--v/:* {behavior:url(#default#VML);}o/:* {behavior:url(#default#VML);}w/:* {behavior:url(#default#VML);}.shape {behavior:url(#default#VML);}--> Normal 0 7.8 磅 0 2
远程线程注入之突破Session0隔离会话
最新发布
xf555er的博客
06-12 1188
当我们使用远程线程注入将dll注入至系统服务进程中往往会失败,这是因为大多数系统服务都是在Session0中运行的 "Session 0"是Windows操作系统中的一个特殊的会话,专门用于运行系统服务和其他在用户登录之前就需要运行的程序。从Windows Vista和Windows Server 2008开始,为了提高安全性,Windows将用户和系统服务分隔在不同的会话中。具体来说,所有的服务和系统任务都在Session 0中运行,而所有用户交互任务都在其他会话中运行
Win10_X64远线程注入dll(非CreateRemoteThread)
Anansi的博客
09-27 3130
谈到远线程注入,首先肯定会想到使用CreateRemoteThread,但这个API无法对系统进程进行注入,而且根据我个人的验证发现这个函数在win10下也无法正常将dll注入进记事本进程(淦!)。好在在我的不懈努力的百度、google下发现了另一种思路,那就是使用ZwCreateThread这个内核API,CreateRemoteThread在底层也调用了这个API,CreateRemoteThread底层会调用内核函数ZwCreateThreadEx,而系统调用此函数时,如果发现是系统进程,会把函数的第
注入技术
qq_41071646的博客
01-08 947
本博客代码 均来自 windows黑客编程技术详解 这章我还是看了好久 而且我在windows10下成功运行但是没有弹出来窗口 不知道怎么回事   但是注入是成功的   那么我还是看了看这章的内容 全局钩子的注入 其实也就是利用了微软提供的钩子函数 这里 的函数是 setwindowshookex  这个函数 第一个参数是 钩子类型 第二个是 钩子程序的指针  也就是我们提供钩子函数的地方...
机器病毒攻击原理分析论文
06-17
论文对近年来关于机器病毒的研究进行了全面梳理,包括病毒的发现、分析、防范技术的发展以及实际案例的研究,为深入理解机器病毒提供了理论基础。 五、任务书与开题报告 任务书中明确了研究目标,即深度剖析...
360机械
03-20
"360机械"通过实时监控、深度扫描和行为分析技术,能够有效地识别并阻止这类威胁,保护用户的计算机免受侵害。 此外,"360机械"强调了对还原软件的保护。还原软件一般指能够将系统恢复到某个已知安全状态的...
易语言机器检测客户端源码,易语言机器检测服务端源码,易语言
07-19
在本压缩包中,包含的是易语言编写的机器检测客户端和服务端的源代码,这对于理解和学习易语言,以及网络安全中的反病毒策略具有很高的价值。 机器,通常是指那些恶意软件或病毒,它们通过模仿正常程序的行为来...
(汇编 C++)病毒分析 (全)
01-05
6. **机器源码**:“_机器源码(C语言的).rar”提供了用C语言编写的机器病毒源码。机器病毒是一种知名的蠕虫病毒,学习其源码可以帮助我们理解病毒如何利用系统漏洞进行感染和控制。 7. **熊猫烧香源码**...
计算机病毒分析师必看书籍
03-02
机器”可能是指一种特定的计算机病毒或蠕虫,而“计算机病毒基础知识.ppt”则可能是一份介绍计算机病毒基本概念和分析方法的教程。 通过学习这些材料,计算机病毒分析师可以了解到如何识别、追踪和阻止病毒的...
【原创】从内核创建用户态线程
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-03 3361
http://bbs.pediy.com/showthread.php?p=1304480#post1304480
机器病毒专杀和机器病毒样本研究
编制者的专栏
04-29 1871
 转自 "The Savager Blog" ,原文链接:http://www.xiji.org/article.asp?id=420版权归原作者所有,转载请注明出处!机器病毒专杀和机器病毒样本研究:日前,一种可以穿透各种还原软件与硬件还原卡的机器病毒异常肆虐。此病毒通过 pcihdd.sys驱动文件抢占还原软件的硬盘控制权。并修改用户初始化文件userinit.exe来实现隐藏自身的目的。
安全之路 —— 利用内核函数实现注入系统进程
dengdao1372的博客
03-26 353
简介 在之前的文章中曾说过利用CreateRemoteThread函数进行远线程注入是最经典的一种方式。但是这种方式却无法成功注入系统进程,因为系统进程是处在SESSION0高权限级别的会话层,用户进程在执行CreateRemoteThread函数时会失败。所以经过前辈们的研究发现,CreateRemoteThread底层会调用内核函数ZwCreateThreadEx,而系统调用此函数...
虚拟机技术研究
yujiankk的专栏
10-27 3195
虚拟机技术研究 1. 背景 虚拟机技术是在一个物理主机上创建一个或多个可执行环境的技术。每个虚拟机代表了一个潜在的物理主机的实例,并且互不干扰。这种隔离的属性使虚拟机可以成为安全系统和错误容忍应用程序的基石。 我们将介绍一个基于Windows的操作系统层虚拟机体系结构,我们称其为AVM。AVM虚拟机的主要思想是命名空间虚拟化(Namespace Virtualization),即在系统调用接
Windows DLL 注入技术
旋律的博客
11-15 949
Windows DLL 注入技术 本文主要介绍四种常见的 Windows DLL 注入技术。 分别为全局钩子、远线程钩子、突破 SESSION 0 隔离的远线程注入和 APC 注入。 全局钩子注入 Windows 中大部分应用是基于 Windows 的消息机制,Windows提供截获这些消息的钩子函数。 根据钩子作用的不同范围,钩子可以被分为全局和局部钩子。局部钩子是针对某个线程的,全局钩子是只要有使用消息机制的应用。接下来我们主要来看下利用SetWindowsHookEx实现全局钩子。 SetWind
新版“机器病毒详细分析资料
01-23 2754
报告名称:新版“机器病毒详细分析资料(全部资料的一少部分)报告类型:病毒原理逆向反汇编分析播报编写作者:Coderui编写日期:2008年01月15日>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>-------------------------------------------------
简单实现注册表受保护部分的只读
求索
02-16 1885
简单实现注册表受保护部分的只读
机器运动仿真实验结果及分析
06-06
机器运动仿真实验结果及分析可以从以下几个方面进行分析: 1. 机器身体结构与运动机制对运动表现的影响 机器的身体结构和运动机制对其运动表现有很大的影响。例如,机器的腿部关节数目、腿部长度、腿部运动...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值