手杀主页劫持流氓软件

引流

        记一次带毒KMS激活工具的手杀过程。

                主页劫持|2345|激活工具|流氓软件|浏览器主页|锁主页

随便说说

        入职快一个月了，从一个天天摸摸鱼的大学生成为了一名光荣的打工人。不过在这一个月里也是学到很多东西，有句话大概是这么讲的：“你知道的越多，你就会觉得你不知道的越多！”这段时间不断看到新的东西不断学到新的知识。领导对我十分宽容，老师也时长来问问我的学习情况，上班的日子其实感觉还蛮不错。最大的感触莫过于能学到东西，最多的体会就是好累啊，今天学习中刚好看到补丁和启动项什么的知识，恰好我之前激活office全家桶主页被劫持了，用过公司的杀毒和火绒什么的全盘查杀还有一些什么防锁主页的软件，然鹅也根本没什么用。每次打开浏览器就是hao123简直了，于是今天就实际动手追查了一下，也算是对所学知识的一个横向拓展延伸学习。

分析开始

盲猜第一发

        我一开始也没什么头绪，百度了一下好像说劫持主页都是有进程在搞鬼，尝试找一下有没有什么启动项什么的。借助Dism++ 、火绒剑什么的看了一圈并没有什么头绪，似乎没有进程。

 盲 猜 失 败

        好吧，还是老老实实靠自己，百度一天就知道扯淡和莆田系。OK首先看下劫持主页什么行为。

观察行为

        经过观察，劫持行为是每次新开浏览器进程时会自动开一个固定url的窗，之后被重定向为Hao123的主页去，无论开IE、谷歌、Edge都是劫持的。

然后跳到Hao123，这个明显是个重定向。

工具初步分析

        所有浏览器都劫持，我直接盲猜，肯定是劫持了某个浏览器都要用到的DLL之类的，之后浏览器启动时直接就加载了恶意的dll然后处理了它。

        思索一番，这个太旧了。不可能。这种肯定会被杀毒发现，并且查杀。而且手动查看dll之后也没有发现什么可疑的dll什么的。暂时没有了头绪。

        打开任务管理器看一下进程启动参数

        我们发现了一个十分有意思的事情，启动后命令行参数存在。但是启动时并未传入任何参数。因此我们断定该劫持出现在创建进程期间。 

        灵机一动，我将IE重命名为123这种无明显浏览器特征的名字再次打开，发现并没有被劫持主页，于是得出结论这并不是劫持通用的库什么的来劫持主页的。

再度盲猜

        看到上面的结果我开始跃跃欲试，这很明显嘛，那肯定是进行了 憨憨匹配，将主流浏览器名字检测，然后进行了注入。我忽然觉得我悟了。那还能有谁，这不明摆着，很明显是劫持了父进程。为了佐证我这个想法。我随手打开CMD 输入IE的路径

        看到没，用CMd为父进程启动的进程也没有劫持，那这就太简单了呀。肯定是劫持了Explorer进程，创建进程时做了手脚来劫持的主页。我这时候已经开始想象我直接撸到这个流氓恶意程序的源头了。嘴角开始上扬。

        我已经迫不及待，直接打开CE：CTRL+G 输入CreateProcessW 回车

        哎呀，熟悉的JMP不会吧、不会吧。诺大一个劫持的流氓居然就用了个Inline Hook就企图搞定我？

        然后一口气还原，直接再打开IE。好的熟悉的被劫持主页。我哭了

        Ps：事后证明这个hook是火绒的hook的，好嘛。你hook能不能好好跳到模块，搞段shellcode干什么，弄得和恶意程序一样。

好戏开场

        经过上面的波折，我下断调试看了一下createprocessw的参数，基本就确定这个不是在父进程做的手脚了。

        其实就估计大概率在驱动层了，那首当其冲。而我的系统时20H1是十分新的系统，而这都能兼容（好多ark都不能兼容这个系统）。

第一步开上虚拟机 

        我的系统时20H1 这个系统太新了，由于内核结构什么的改变，好多ARK工具都没办法运行。也包括我们这次手杀的主角 PcHunter 1.57 。因此打开Vmware 装上win10 1903(18362) ，其实之前试过win7但是我的win7有点问题，ksm这个软件跑不起来，打补丁又要激活。只好装win10 了。

        装上虚拟机，配置好基本的东西，设置主机共享文件

重现恶意软件劫持场景       

         芜湖起飞，然后凭借记忆，去找了半天找到了我下载激活工具的网站，然后下载后传到虚拟机里运行。

        可以发现激活工具一旦运行，他就给你劫持了。不会管你有没用激活功能。从此刻起杀毒也奈何不了它了。

 驱动分析

        既然开始劫持了，我们就要打开ARK工具开始看是不是有可以驱动什么的了，之前说过他的兼容性能到20H2 算是兼容性十分好的恶意程序，因此首要怀疑的肯定是微软提供的回调编程接口。因此我们直接查看回调相关的东西。

        在写博客之前我其实实验了好几次（设置虚拟机快照还原），因此有截图看未被劫持的内核存在的回调实例。

        对比上面两图，我们可以轻易发现，多了两个驱动。离谱的是签名校验也能过。可以看到他在PC里是黑色的，因此是被认定为合法签名的驱动。

        之后我们切换到驱动详情页面，这边直接查看加载顺序最后的驱动就行了。因为还未重启就已经劫持，因此肯定驱动已经工作。能看见的话一定在加载顺序最后。

        我们可以看到，非常的神奇啊。要不是我断定它是恶意程序，还真以为他是“正经人”。可以看到被识别为微软的驱动，并且签名校验通过。

锁定恶意文件，再入迷雾

        既然都找到了，直接用pc拉。拉，，，，

        我擦，怎么是灰色的，拉不了。而且也不能修改启动方式，这说明注册表被删除了。这个可以理解，删除注册表常有的操作，表示完全理解。

        于是我们直接打开Explorer 要从drivers目录把这俩文件揪出来，结果居然没这俩文件。

我当时就蒙了，这PC下不是红色代表文件是存在的。但是居然没有，PC有但是本机看不见。

        我猜，难道是文件过滤？OK，PC大哥安排它。我对这个也不熟，不过盲猜文件过滤和回调类似也就能理解了。直接看看。

        这里我用pc提取了一次，发现文件居然是一样的，273k的俩相同文件。应该也是文件过滤的问题。直接摘除了吧。

        这次直接能看到文件，复制两个文件是正确的了，好的。到此就把罪魁祸首找到了。

水落石出

        到这里我们基本明白是怎么回事了，这玩意儿确实在驱动搞了动作来劫持的。回头看一下回调有些什么把。

        可以清除地看到，这倆驱动注册了进程回调，线程回调，注册表，以及关机。既然知道在哪里动了它，就尝试去还原掉把。最简单摘除进程和线程回调，这俩嫌疑最大。

收官总结

        上面我们只是追查和分析了表象，最后细细揣摩。

        1、该恶意程序加载了驱动，并且使用的回调接口，因此兼容性很好，也保证了合法性。

        2、使用过期签名的方式保证驱动能被加载。

        3、驱动加载后对注册表可能是进行了删除操作，而对文件进行了过滤保护。

        4、对文件驱动对应文件内容过滤，替换为合法文件内容。并使的应用层不可见。

        5、回调保证关机时写回注册表，保证下次能正常启动。

        因此我们可以大胆猜测，这个恶意病毒是设置为系统或者引导启动型的加载方式。使得在最早阶段加载驱动，并且保护自身和处理注册表。因此杀毒软件无法发现它，之后在关机时将注册表写回，保证下次正常加载。

写在最后

        其实这个恶意程序文件依然落地了，但是采取了比较巧妙的方式让自身能够存活。但是从整个原理来讲，始终是微软绕操作系统的调度和资源分配进行。

        而这里就是在进程创建的时候找机会来实现恶意的过程，没有绝对的安全也没有绝对的不安全。不过这个配合面杀就可以做到无缝衔接，保持机器上线了。稍微改动一下就可以做好多事情啊。

        最后附上带马KMS工具的网站和恶意驱动吧！

恶意KMS工具来源：http://windows.lanshangsg.cn/kms/

好像没有附件，那算了，就不传了。