作 者:
水中雁
时 间: 2008-05-15,23:36
链 接: http://bbs.pediy.com/showthread.php?t=64902
3年前在看雪论坛注册了个号,但嫌ID不好听,因此一直没有发过帖。后来想换个ID,却发现不能注册了。昨天来逛逛,发现能注册了,终于注册了个自己比较喜欢的ID。
分析比较长,仅贴出驱动部分的分析。完整版请参看附件。(已贴附件)
附件包含:
机器狗0506技术剖析.pdf
dll_unpack.idb
sys.idb
由于自己能力有限,以及基本没有动态调试。故难免有所纰漏或错误,请各位不吝指正。
摘要
机器狗新变种使用了一些流行的技术,包含了修复SSDT Hook、修复FSD Hook、并对一些系统还原软件进行有针对的Hook,使能达到突破还原软件保护的目的。做了那么多,最终目的还是下载大量的木马到用户的系统上。
一、修复SSDT
1、获取内核第一个模块名(XP系统:ntkrnlpa.exe)及SVA(System Virtual Adrress),映射一份ntkrnlpa.exe到内存中,根据导出表获取KeServiceDescriptorTable的RVA转换成VA,为X,根据重定位表信息获得需要重定位的地址Y
时 间: 2008-05-15,23:36
链 接: http://bbs.pediy.com/showthread.php?t=64902
3年前在看雪论坛注册了个号,但嫌ID不好听,因此一直没有发过帖。后来想换个ID,却发现不能注册了。昨天来逛逛,发现能注册了,终于注册了个自己比较喜欢的ID。
分析比较长,仅贴出驱动部分的分析。完整版请参看附件。(已贴附件)
附件包含:
机器狗0506技术剖析.pdf
dll_unpack.idb
sys.idb
由于自己能力有限,以及基本没有动态调试。故难免有所纰漏或错误,请各位不吝指正。
摘要
机器狗新变种使用了一些流行的技术,包含了修复SSDT Hook、修复FSD Hook、并对一些系统还原软件进行有针对的Hook,使能达到突破还原软件保护的目的。做了那么多,最终目的还是下载大量的木马到用户的系统上。
一、修复SSDT
1、获取内核第一个模块名(XP系统:ntkrnlpa.exe)及SVA(System Virtual Adrress),映射一份ntkrnlpa.exe到内存中,根据导出表获取KeServiceDescriptorTable的RVA转换成VA,为X,根据重定位表信息获得需要重定位的地址Y