QMRootkit:不会编程的军人不是好的安全研究员

最新推荐文章于 2023-12-26 19:58:29 发布
最新推荐文章于 2023-12-26 19:58:29 发布
阅读量135 收藏
点赞数 1
分类专栏: 安全开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43312649/article/details/117000247
版权

不懂逆向的开发人员不可能写出来对抗能力很强的软件,不会开发的逆向就像是没有手脚的大脑,没办法做出产品或者能推广成形的东西。逆向的学习最大提高点是去逆向自己编写的源代码程序。

逆向和开发相辅相成,安全开发和逆向分析自动化的需求也很大。

废话少说,本篇就介绍一个由本人开发的很沙雕的驱动Rootkit攻击模拟工具:QMRootkit

驱动功能板块

应用层使用MFC窗口界面开发,分为进线程操作、文件操作、网络操作和实际测试界面。
在这里插入图片描述
测试的界面如下所示。实现了9种驱动层对抗功能。主要演示进程是calc.exe,通过DeviceIoControl向驱动发送数据,之后实现驱动动作。驱动实现技术多数来自《windows黑客编程技术详解》,少部分从看雪论坛中获取。(processhacker.sys有空也可以研究一下)
在这里插入图片描述

下图是驱动代码程序,驱动的编译环境在vs2017+win10之前提到的搭建好的虚拟机中,支持win7 x86位,win7-win10可以全部支持,但是内核结构体和函数特征码不一样,所以需要比较大的精力去补充。由于驱动没有签名,所以暂时不支持自动释放加载,需要手动加载测试。
在这里插入图片描述

部分CTL控制码如下所示:

#define X86_CTL_HIDEPROCESS \
    CTL_CODE(FILE_DEVICE_UNKNOWN,0x830,METHOD_BUFFERED,FILE_ANY_ACCESS) 
#define WIN7X86_CTL_HIDEPROCESS \
    CTL_CODE(FILE_DEVICE_UNKNOWN,0x831,METHOD_BUFFERED,FILE_ANY_ACCESS)
#define X86_CTL_HIDEDRIVER \
    CTL_CODE(FILE_DEVICE_UNKNOWN,0x832,METHOD_BUFFERED,FILE_ANY_ACCESS)
#define X86_CTL_HOOKSSDT \
    CTL_CODE(FILE_DEVICE_UNKNOWN,0x833,METHOD_BUFFERED,FILE_ANY_ACCESS)
#define WIN7X86_CTL_HOOKIOPCREATEFILE \
    CTL_CODE(FILE_DEVICE_UNKNOWN,0x834,METHOD_BUFFERED,FILE_ANY_ACCESS)
#define X86_CTL_IRPPROTECTFILE \
    CTL_CODE(FILE_DEVICE_UNKNOWN,0x835,METHOD_BUFFERED,FILE_ANY_ACCESS)
#define X86_CTL_CMREGISTERCALLBACK \
    CTL_CODE(FILE_DEVICE_UNKNOWN,0x836,METHOD_BUFFERED,FILE_ANY_ACCESS)
#define X86_CTL_LOADIMAGECALLBACK \
    CTL_CODE(FILE_DEVICE_UNKNOWN,0x837,METHOD_BUFFERED,FILE_ANY_ACCESS)
#define X86_CTL_OBREGISTERCALLBACK \
    CTL_CODE(FILE_DEVICE_UNKNOWN,0x838,METHOD_BUFFERED,FILE_ANY_ACCESS)

除此之外本人对驱动层对抗技术也有所研究,大部分都来自于以往底层Rootkit病毒的技术,特制作了个表格。
在这里插入图片描述

进线程功能模块

look at this picture。进程枚举是通过CreateToolhelp32Snapshot,线程枚举是通过NtQueryInformationThread实现。这里进程其实是想现时启动时间的,因为这个时间我有特殊作用。
线程和进程基本都能干掉,干不掉就传给驱动让驱动干它。
在这里插入图片描述

文件遍历清理模块

这里主要是写了一个根据磁盘进行遍历的逻辑,后续想搞成勒索解密或者感染文件清理的模块。
最重要的是文件的最后一次修改时间。Infected?表明是否被感染病毒感染。
在这里插入图片描述
有时间再继续写吧

摔不死的笨鸟
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
Virut感染型病毒查杀工具
摔不死的笨鸟的博客
08-25 2675
职业病毒分析师的职责是为安全运营团队提供有力的后台支持,并能处置突发的大型感染病毒和勒索病毒。 下面是自己写的Virut一款感染型病毒的修复工具。该工具没有遍历文件,只是修复了C盘下被病毒感染后的一个文件:hypertrm.exe.V。有兴趣的可以研究交流。 // VirutRemoveTool.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include <Windows.h> #define BYTELENGTH 1024 int Restor
THREADINFOCLASS结构体与FILE_INFORMATION_CLASS结构体
摔不死的笨鸟的博客
10-10 1929
THREADINFOCLASS是一个枚举结构,其值旨在作为ZwQueryInformationThread和ZwSetInformationThread函数的输入。 查询或设置不同类型的信息选择不同的值。 自从Windows NT 3.51的设备驱动程序工具包(DDK)起,THREADINFOCLASS枚举的C语言定义已在NTDDK.H标头中公开可用。 它支持ZwSetInformationThr...
如何正确地进入基于x86-64Bit Windows系统的商业软件破解领域
热门推荐
其实我不是代码教父,我只是猪头三
03-31 1万+
[作者]猪头三个人网站:http://www.x86asm.com/[序言]从事Windows系统下的软件研发,已走过差不多9年的时光,在这段时间里认识不少朋友。在每认识一个新的朋友的时候,我都会被问到:如何学习破解,如何逆向,这类相关的问题。那么这篇文章我将会详细的介绍正确的方式。[本内容适用领域]1> 基于x86-64Bit Wi
安装不再支持的python2.7开发环境
摔不死的笨鸟的博客
07-01 4991
这里写自定义目录标题python2.7安装pip安装Pylint python2.7安装pip Python 2.7.9 + 或 Python 3.4+ 以上版本都自带 pip 工具。 安装Pylint pylint主要用来检查代码的正确性和规范性,防止有明显的语法错误。 python.exe -m pip install -U "pylint<2.0.0" --user ...
加解密与编解码基础知识
摔不死的笨鸟的博客
09-06 2194
BASE64编码 26个大写英文字母 26小写英文字母 10数字 ”+””/” 转换前 10101101,10111010,01110110 转换后 00101011, 00011011 ,00101001 ,00110110 十进制 43 27 41 54 对应码表中的值...
实现IDApython自动化加载模块PDB
摔不死的笨鸟的博客
07-24 1379
分析IDA加载PDB的过程分析 正常的 File---->LoadFile-----PDBfile操作的实质: 本文的目的就是去除手动操作,实现IDApython自动加载PDB的脚本程序。 IDA加载PDB有两种方式:一、使用vc\msdia90.dll这个DIA的API接口函数(优先) 二、使用Dbghelp.dll中的函数。(备用方式,老版本用) 图中可以看到必须安装VC2008可再发行的x64安装包第一种方式才会成功。这里是用的是第二种PDB加载方式——dbghelp加载方式。而且过程中出
GandCrab4.0勒索病毒解密工具
摔不死的笨鸟的博客
09-21 1314
GandCrab介绍 GandCrab是由一个十分猖狂的团队研发的勒索软件病毒,2018年开始活跃,一年内勒索了将近20亿美元。2019年可谓臭名远扬的勒索软件之王:GandCrab背后的运营团队在俄语论坛中发表官方声明称,GandCrab勒索病毒将停止更新。 为什么停止更新了呢?答案竟是,钱赚够了。然而这么猖狂的犯罪团伙,至今都没有被找到幕后团伙是谁。这就是GandCrab勒索软件的神奇传说。 今天分享就分析个去年写的GandCrab v4.0工具。 GandCrab勒索软件分析 白名单目录: \Pr
Windows驱动开发与调试
摔不死的笨鸟的博客
09-04 1212
配置目标: 1.VS2017+windows10.0.16299+WDK驱动开发机(虚拟机) 2.虚拟机WIN7 sp1驱动测试机 3.win10实体机windbg调试WIN7sp1驱动测试机 实际专业的驱动开发1和3是同一台实体机,也就是在实体机上编译和调试虚拟机内的驱动,如果驱动更加涉及底层,测试机也必须要用实体机,使用物理串口连接调试。 这里选择分开的原因是驱动开发机要编译的是Rootkit驱动,可能会损害实体机。是为了更加安全的一种防护措施,第二是方便以后移植直接拷贝虚拟机镜像文件就可以开发了。 驱
Yara引擎编译和发布
摔不死的笨鸟的博客
08-05 1176
我们自己设计软件时有很多情况都需要集成yara引擎 项目-管理NuGet程序包,下载几个包并安装 确保是git上最新代码即可编译 package目录下的include和lib是自动添加到项目中的。 发布时要注意除了yara编译需要依赖的jansson、libcrypto、libssl这几个库,把libyara编译好放一块。 除了需要的jansson.h和jansson_config.h,openssl以外,包含yara.h和yara项目中用到的头文件。 ...
C++编写遍历文件RSA与AES加解密程序时需要注意的问题
摔不死的笨鸟的博客
07-10 927
遍历文件的程序架构 void EnumFile(LPCWSTR path, LPCWSTR filetail) { BOOL ret = FALSE; CHAR Filepath[MAX_PATH]{0}; WIN32_FIND_DATA FindFileData; wsprintf(enumpath, L"%s%s", path,L"\\*");//重中之重 HANDLE hFile = FindFirstFile(enumpath, &FindFileData); //标准LPCW
python按位取反的问题
摔不死的笨鸟的博客
07-07 910
python按位取反
vx-underground样本文件快速获取方法
摔不死的笨鸟的博客
07-14 840
python爬虫
现有安全工具对进程加载dll模块的数字签名检测的问题
摔不死的笨鸟的博客
07-14 814
最近在做一个检验全进程dll签名情况的程序。发现了现有安全工具一些比较沙雕的行为。 PChunter 首先点名PChunter,查找没有数字签名模块,但是C:\Tools\Sanbox\SbieDll.dll我看了下明明具有数字签名,而且签名还正常,它是沙箱的一个正常dll。证据确凿,有什么好狡辩的。 Procexp 用微软自己出的procexp检查进程的模块签名情况时,发现一些db都往模块里搞。看了下文件的确只是个DB,根本不是PE格式。当然还有一些PNG格式也在模块列表中,服。 伟大发明 看我的工具
Makefile常见错误日志及解决方法
摔不死的笨鸟的博客
12-26 756
错误日志:/usr/bin/ld: cannot open output file build/config: No such file or directory。错误日志:fatal error: tcpd.h: No such file or directory.解决方案:安装libwrap0-dev(Debian 上的名称)解决方案:新建build目录。
检测工具介绍:Loki的IOCs检测和Pesieve的内存注入检测
摔不死的笨鸟的博客
01-07 684
LOKI控制行命令 命令选项 功能参数 -h 显示此帮助消息并退出 -p 要扫描的路径 -s (千字节为单位) 以KB为单位的最大文件大小(默认为5000 KB) -l 日志文件 -r 远程syslog系统 -t 远程系统日志端口 -a 警报级别的警报分数 -w 警告级别的警报分数 -n 通知级别的通知分数 –printall 打印所有扫描的文件 –allreasons 打印导致得分的所有原因 –noprocscan 跳过进程扫描 –nofi
MFC工作线程的创建与控件控制
摔不死的笨鸟的博客
09-04 682
为什么要用MFC? 不是专业开发,只是做个工具。 MFC的主界面是在界面线程运行的,如果在button的响应函数中写了一个用时很长的函数,那么就要考虑运用工作线程,否则MFC程序主界面就会卡住不动,直到函数运行完才会响应消息。 开启工作线程的正确姿势 那就是用MFC封装好的线程函数AfxBeginThread。 CString strFolderPath = L"C:\\"; CWinThread* pThread = NULL; pThread = AfxBeginThread((AFX_THREADP
chromedriver-mac-arm64_126.0.6474.0.zip
07-31
chromedriver-mac-arm64_126.0.6474.0.zip
chromedriver-mac-arm64_128.0.6548.0.zip
最新发布
07-31
chromedriver-mac-arm64_128.0.6548.0.zip
MySQL查询加速器:利用Query Cache提升效率
07-31
MySQL是一个流行的开源关系型数据库管理系统(RDBMS),广泛用于Web应用程序的后端数据存储。它基于结构化查询语言(SQL)来管理数据,并且是LAMP(Linux, Apache, MySQL, PHP/Python/Perl)技术栈的一部分,这个技术栈常用于构建动态网站和Web应用程序。 MySQL的特点包括: - **开放源代码**:MySQL的源代码是公开的,任何人都可以自由使用和修改。 - **跨平台**:MySQL可以在多种操作系统上运行,包括Linux、Windows、macOS等。 - **高性能**:MySQL以其快速的查询处理和良好的性能而闻名。 - **可靠性**:MySQL提供了多种机制来确保数据的完整性和可靠性,包括事务支持、备份和恢复功能。 - **易于使用**:MySQL提供了简单直观的界面和丰富的文档,便于用户学习和使用。 - **可扩展性**:MySQL支持从小型应用到大型企业级应用的扩展。 - **社区支持**:由于其广泛的使用,MySQL拥有一个活跃的开发者社区,提供大量的资源和支持。 MySQL被广泛应用于各种场景,包括在线事务处理(OL
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

摔不死的笨鸟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值