硬件ID查询欺骗驱动程序样本逆向分析练习IDA使用

最新推荐文章于 2024-06-24 19:15:41 发布
最新推荐文章于 2024-06-24 19:15:41 发布
阅读量1k 收藏
点赞数
文章标签: mfc c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_62197674/article/details/133073679
版权

偶然从万能的某宝得到了一个HWID欺骗样本,看大小20KB,1(咦)5!(无壳),直接拖入IDA分析一下,看看如何实现的,仅为练习ida使用方法进行分析。

看一下驱动入口函数,一共四个调用,先看第一个sub_140001178();

如图所示,一共12个8字节地址赋值,都调用了一个sub_14000112C()函数,怎么看的这么眼熟?很明显,是为了规避对导入表(IAT)可能的检测点自己手动导入相关API地址,然后call(相关开源项目有个LAZY_IMPORT挺好的,使用十分方便),进sub_14000112C()看一下;

哦吼,经典组合,MmGetSystemRoutineAddress 例程返回指向 SystemRoutineName 指定的函数的指针。不过好像只对ssdt内的函数有效,SSSDT内函数需要附加到UI进程才行,否则蓝屏,好像跟会话空间有关系。

第一个函数的作用就是初始化API导入表了,来看第二个函数sub_1400016DC();

IDA直接给出伪代码,好长,慢慢分析。

第一段伪代码,定义了一个符号链接,看来是硬盘相关驱动,自己构造call了一个api,回顾上边发现是ObReferenceObjectByName,可以根据驱动设备名得到PDRIVER_OBJECT,进而得到该驱动的PDEVICE_OBJECT指针。v20是128位,还有个没见过的LODWORD,经查询,

LOWORD为取低4字节(16位)值
LOWORD(0XAABBCCDDEEFF)返回的结果就是0xEEFF,也正好是一个word值.

初步判定,是IDA错误认定了字符串变量,应该是定义了一个char[16]数组,看一下ObReferenceObjectByName用法

NTSTATUS
ObReferenceObjectByName (
    __in PUNICODE_STRING ObjectName,
    __in ULONG Attributes,
    __in_opt PACCESS_STATE AccessState,
    __in_opt ACCESS_MASK DesiredAccess,
    __in POBJECT_TYPE ObjectType,
    __in KPROCESSOR_MODE AccessMode,
    __inout_opt PVOID ParseContext,
    __out PVOID *Object
    );
//函数声明
PDRIVER_OBJECT  driverObject;

UNICODE_STRING DeviceName;
RtlInitUnicodeString(&DeviceName, L"\\Driver\\Disk");

 status = ObReferenceObjectByName(&DeviceName,//设备名
                                     OBJ_CASE_INSENSITIVE,
                                     NULL,                 // access state
                                     FILE_ALL_ACCESS,                    // 权限
                                     *IoDriverObjectType,
                                     KernelMode,//内核模式
                                     NULL,                 // parse context
                                     &driverObject);//获取的驱动对象指针

获取DISK.SYS的驱动对象后,调用了_InterlockedExchange64,赋了一个值,函数原型如下

LONG64 InterlockedExchange64(
  [in, out] LONG64 volatile *Target,//指向要交换的值的指针。 函数将此变量设置为 Value,并返回其先前值。
  [in]      LONG64          Value//要与 Target 指向的值交换的值。
);//函数声明,函数返回 Target 参数的初始值。

赋值的指针是sub_14000109C函数,跟进去看一下内容;

__int64 __fastcall sub_14000109C(__int64 a1, __int64 a2)
{
  __int64 v4; // rcx
  int v5; // eax
  __int64 (__fastcall *v6)(); // r8

  v4 = *(_QWORD *)(a2 + 184);
  v5 = *(_DWORD *)(v4 + 24);
  if ( v5 == 315436 )
  {
    v6 = sub_140001000;
    goto LABEL_8;
  }
  if ( v5 == 508040 )
  {
    v6 = sub_140001650;
    goto LABEL_8;
  }
  if ( v5 == 2954240 && !**(_DWORD **)(a2 + 24) )
  {
    v6 = sub_140001CEC;
LABEL_8:
    sub_140001DA8(v4, a2, v6);
  }
  return qword_140004FF8(a1, a2);
}

结合上文,V5=v24+224,此时v3=&sub_14000109C,而qword_140004FF8内存储的是原V3值,即V24+224,在sub_14000109C()中最后调用了V24+224,有点混乱,先往下看,看到了经典特征码扫描函数,还是带模式串的,看来不是暴力比对,就不进入分析了,qword_140002710内存储的是特征码0x48 0x89,明显是一个函数,这个函数应该是disk中与查询硬件id相关的函数,众所周知,特征码搜索函数一般为如下写法(直接给出自己用的一份源码,其实大家好像都一样)

DWORD64 find_pattern_mask(DWORD64 addr, DWORD32 size, const char* pattern, const char* mask)
{
	size -= (DWORD32)strlen(mask);

	for (DWORD32 i = 0; i < size; i++)
	{
		if (pattern_check((const char*)addr + i, pattern, mask))
			return addr + i;
	}

	return 0;
}

DWORD64 find_pattern(DWORD64 addr, const char* pattern, const char* mask)
{
	PIMAGE_DOS_HEADER dos = (PIMAGE_DOS_HEADER)addr;
	if (dos->e_magic != IMAGE_DOS_SIGNATURE) return 0;

	PIMAGE_NT_HEADERS64 nt = (PIMAGE_NT_HEADERS64)(addr + dos->e_lfanew);
	if (nt->Signature != IMAGE_NT_SIGNATURE) return 0;

	PIMAGE_SECTION_HEADER section = IMAGE_FIRST_SECTION(nt);

	for (unsigned short i = 0; i < nt->FileHeader.NumberOfSections; i++)
	{
		PIMAGE_SECTION_HEADER p = &section[i];

		if (strstr((const char*)p->Name, ".text") || 'EGAP' == *reinterpret_cast<int*>(p->Name))
		{
			DWORD64 res = find_pattern_mask(addr + p->VirtualAddress, p->Misc.VirtualSize, pattern, mask);
			if (res) return res;
		}
	}

	return 0;
}

参数 *(_QWORD *)(v6 + 24)确定为搜索开始的地址,再向上一行,V6=V24,v24是一个指针地址,结构体指针,还不能确定是哪个结构体,因为ObReferenceObjectByName调用的参数明显不对,IDA中还出现了UNK字段,F5也不是那么好用啊,先向下看qword_140007050对应的函数应该是IoEnumerateDeviceObjectList,调用例子

status = IoEnumerateDeviceObjectList(driver_object, device_object_list, sizeof(device_object_list), &number_of_device_objects);
if (!NT_SUCCESS(status))
{
	ObDereferenceObject(driver_object);
	return false;
}

V24结构体应该就是PDRIVER_OBJECT了,定义如下

typedef struct _DRIVER_OBJECT {
    CSHORT Type;
    CSHORT Size;
    PDEVICE_OBJECT DeviceObject;
    ULONG Flags;
    PVOID DriverStart;
    ULONG DriverSize;
    PVOID DriverSection;
    PDRIVER_EXTENSION DriverExtension;
    PUNICODE_STRING HardwareDatabase;
    PFAST_IO_DISPATCH FastIoDispatch;
    PDRIVER_INITIALIZE DriverInit;
    PDRIVER_STARTIO DriverStartIo;
    PDRIVER_UNLOAD DriverUnload;
    PDRIVER_DISPATCH MajorFunction[IRP_MJ_MAXIMUM_FUNCTION + 1];

} DRIVER_OBJECT;
typedef struct _DRIVER_OBJECT *PDRIVER_OBJECT;

2+2+8+4+8=24,V24+24对应的结构体成员即为DriverStart,是disk驱动对象的地址。继续向下看,qword_1400070A0对应的函数为ExAllocatePoolWithTag,分配了一块内存,结合IoEnumerateDeviceObjectList的参数,分配的内存是给OBJECTLIST[]准备的,到此,大致代码还原如下

PDEVICE_OBJECT Device_Object_List[100]{ 0 };
RtlZeroMemory(Device_Object_List, sizeof(Device_Object_List));

ULONG objects_number = 0;
status = IoEnumerateDeviceObjectList(Driver_Object, Device_Object_List, sizeof(Device_Object_List), &objects_number);

接下来的FOR循环就是遍历OBJ链,

 if ( v9 )
          {
            if ( (int)IoEnumerateDeviceObjectList(v24, v9, v8, &v23) >= 0 )
            {
              if ( v23 )
              {
                for ( i = 0i64; (unsigned int)i < v23; i = (unsigned int)(i + 1) )
                {
                  v12 = *(_QWORD *)(v10 + 8 * i);
                  v13 =IoGetAttachedDeviceReference(v12);
                  if ( v13 )
                  {
                    v22 = 0i64;
                    v21 = 0i64;
                    KeInitializeEvent(&v21, 0i64, 0i64);
                    LOBYTE(v19) = 0;
                    v14 = IoBuildDeviceIoControlRequest(459072i64, v13, 0i64, 0i64, 0i64, 0, v19, &v21, 0i64);
                    if ( v14 && (unsigned int)IofCallDriver(v13, v14) == 259 )
                      KeWaitForSingleObject(&v21, 0i64, 0i64, 0i64, 0i64);
                    ObfDereferenceObject(v13);
                  }
                  v15 = *(_QWORD *)(v12 + 64);
                  if ( v15 )
                  {
                    v16 = (char *)&unk_140005028;
                    v17 = (_BYTE *)(*(_QWORD *)(v15 + 520) + *(unsigned int *)(*(_QWORD *)(v15 + 520) + 24i64));
                    do
                    {
                      v18 = *v16++;
                      *v17++ = v18;
                    }
                    while ( v18 );
                    v7(v15, 0i64, v16);
                  }
                  ObfDereferenceObject(v12);
                }
              }
            }
            qword_140007080(v10, 0i64);
          }

IoBuildDeviceIoControlRequest 例程为同步处理的设备控制请求分配和设置 IRP。IofCallDriver将 IRP 发送到与指定设备对象关联的驱动程序。v7为我们要call的用特征码从disk驱动中搜索到的函数。经过查找资料,DiskEnableDisableFailurePrediction是符合我们要求的,作用为关闭硬盘的S.M.A.R.T功能。

分析到这里可以确定这个驱动为开源的写法,通过关闭smart,hookirp函数达到hwid欺骗的目的,再查询过程中直接找到了个项目的开源地址,哈哈,不过我是为了熟悉ida操作来分析的,无所谓咯。某宝上真的是奸商拿垃圾来骗人哈哈哈。

冲鸭工艺
关注
7. SEH + 硬件断点HOOK
My classmates
11-04 2399
DLL #include&lt;windows.h&gt; #include &lt;TlHelp32.h&gt; #include &lt;stdio.h&gt; #include &lt;limits.h&gt; typedef HANDLE(WINAPI *OPENTHREAD) (DWORD dwFlag, BOOL bUnknow, DWORD dwThreadId); OPENTHR...
Rootkit Unhooker驱动逆向分析
07-25 1591
 这个驱动本来准备端午节搞的,但后来端午节去了躺北京玩了几天,也就搁置了...最近连续花了4个晚上,大致把它搞的差不多了,有些收获...初学 window驱动,水平很菜,有些东西我也未必清明,加上3环的代码还没有吃透,期间也没有用调试器跟踪,全是IDA(F5)静态分析的,谬误在所难免, 高手请飘过,希望对菜鸟学习有点帮助.1.SSDT检测这个功能有三个IoControlCode与之对应,他们分别是
IDA Pro使用技巧_ida的数据窗口怎么打开
最新发布
2401_84253894的博客
06-24 1031
rwo。
PowerTool x64驱动模块逆向分析(持续更新)
weixin_30784945的博客
05-23 570
比赛打完了,来继续搞了,因为那个主动防御正在写,所以想找找思路正好想到可以来逆向一下PT的驱动模块看看pt大大是怎么写的程序。 PT x64版本的驱动模块是这个kEvP64.sys。 0x0 先来看看DriverEntry 1 //IDA伪代码 2 __int64 __fastcall sub_3A010(struct _DRIVER_OBJECT *a1, __int64 ...
对360沙盒的驱动的一点逆向分析
研究源码的最底层,只持有正确的仓位
01-15 3720
主要内容: 一.360Box沙箱DriverEntry函数安装驱动过滤框架分析二. 360Box沙箱注册表监控分析三. 360沙箱文件系统监控分析一.360Box沙箱DriverEntry函数安装驱动过滤框架分析360Box沙箱的驱动入口代码如下所示,下面单步跟踪分析入口代码安装360对注册表、进程、文件系统等过滤函数的安装过程。从下代码可以看出,360Box安装过滤的顺序为文件系统minifi...
某超级注入程序的驱动逆向
被遗弃的庸才博客
11-05 2557
1、起因 从哥们儿那找到了一个超级注入的工具,打开一看加了vmp,然后还有驱动的驱动,于是这里把驱动提取出来,简单分析一下。 1.1运行 让程序先把驱动释放出来,可以看到这里需要买卡,然后才会释放驱动加载(简单破解一下就行,不是重点) 1.2破解之后 下一个CreateServiceA断点,让它在加载驱动之前断下,接着将驱动拷贝出来。从下图可以看到虽然驱动有签名,但是个过期签名,高版本windows10上是加载不上的。 2、驱动分析 好消息是驱动没有加壳,可以f5分析一下 2.1W.
IDA pro逆向工具的使用以及逆向分析程序实例操作
04-18
IDA pro逆向工具的初步入门,此资源是针对IDA pro的功能实现的一些小案例,不仅是代码编写实现也更注重内容上的需求分析和方案设计,所以在学习的过程要结合这些内容一起来实践,并调试对应的代码。
反编译工具IDA Freeware 7.6以及Qt5 程序初步逆向分析+解析脚本
01-09
本文将深入探讨反编译工具IDA Freeware 7.6的使用,以及如何对Qt5程序进行初步逆向分析和解析。 IDA Freeware是由Hex-Rays公司提供的一个强大的反编译器和动态调试器。这个免费版本虽然功能相对有限,但仍然提供了...
DES逆向分析-IDA静态分析.pdf
05-04
逆向工程中,静态分析是一种不执行代码而分析程序的方法,其中使用IDA(Interactive Disassembler)是一种常用于逆向工程的工具。 #### 分析主函数思路 主函数的分析思路主要涉及到如何解读程序执行的主要逻辑。在...
逆向分析-IDA pro恶意代码(Crackme.exe)静态逆向分析
06-14
C++语言编写的简易移位加密程序,帮助初学者小试牛刀,练习IDA pro静态逆向分析
使用IDA调试驱动详细教程.pdf
11-17
使用IDA调试驱动详细教程,说明的很详细,有图有步骤,和相关工具下载地址
SiCore.sys 滴水中级 IDA训练 逆向训练 完全版
10-26
本训练将聚焦于SiCore.sys系统驱动文件的逆向工程,通过使用IDA(Interactive Disassembler)这一强大的反汇编器和调试器,帮助学习者深入解析系统内核级别的程序逻辑。 SiCore.sys是Windows操作系统中的一个关键...
IDA 6.1调试驱动
kingswb的博客
04-23 2711
今天在测试的时候发现IDA 5.5可以启动windbg调试器,而IDA 6.0却无法启动windbg调试器。大体看了一下可能是由于搜索路径造成的,重新将windbg安装到program files下之后问题就结局了。 网上也有关于用IDA调试驱动的文章,这里只是再整理一下,用IDA载入驱动分析完成之后选择调试器为Windbg debugger,如图1所示: 图1 然后执行
初学驱动逆向,笔记一。
Diomedes's Place
12-19 1819
初学驱动逆向,在《windows驱动开发技术详解》中随便找个例子逆逆看 [ \chapter09\SpecialStartIOTest ]。 水平很菜,各路牛人笑过。 逆向该例子的DriverEntry和CreateDevice函数,这两个函数在《windows驱动开发技术详解》的例子中十分常见。 并逆向的本范例驱动的核心部分 HelloDDKRead 函数,没什么技术含量。 经验:需要熟
一次驱动人生病毒逆向分析的记录
mukami0621的博客
09-10 490
一次驱动人生病毒逆向分析的记录 (收到病毒样本时我是懵逼的 折腾了一天,经过大佬的指点,终于提出了源码 此为样本运行情况: 1、经过经验与尝试,发现可以用py解包 下载pyinstxtractor.py和Easy Python Decompiler v1.3.2 https://sourceforge.net/projects/pyinstallerextractor/ https://github.com/aliansi/Easy-Python-Decompiler-v1.3.2 2、尝试将样本进行解包
驱动逆向学习笔记
radicwei的专栏
08-31 1500
驱动DriverEntry函数实现体中,开发人员通常会在DriverObject->MajorFunction中填写分发函数指针。 为快速识别每一个分发函数,特别记录常用的分发函数指针距DriverObject指针的偏移量 DriverObject+0x34  DriverUnload DriverObject+0x38  DeviceCreate DriverObject+0x40
通过逆向分析360safe驱动取得的源码
doskey的专栏
10-06 2575
从AntiAdwa.dll的资源中取得的pnp%s.sys 。中午午休的时候将其逆向分析重新写成源码。注意,编译号的驱动必须以boot方式启动才会有效。附件中有源码和idb文件。免责声明:此文件是由逆向分析取得,只可用于学习研究之用途。本人对他人使用本文件中的代码所引起的后果概不负责。下载链接:http://www.erawtfos.com/others/pnp.rar 我blog上的
使用IDA逆向定位病毒特征码
冷风
03-16 4832
对于木马技术爱好者来说,会做免杀是必然的一项技术,在自己编写的马被杀的情况下,结合源代码定位出被杀的函数是免杀中重要的一项技能。 杀毒软件在定位特征码的时候,有时定位的导入导出函数,这种情况相对好找,但有时候定位的是自己定义的一段函数。 这时候想找出被杀的部分就比较麻烦了,在学习的时候发现通过以下办法可以轻松的解决这个问题。实现方法如下 1.使用MYCCL定位出被杀的物理特
IDA反汇编基础教程:从C程序到逆向分析
本教程将深入介绍如何使用IDA来解析和理解C语言编写的程序。教程内容涵盖从基本的数据类型识别到复杂的结构体分析,旨在帮助用户掌握IDA的核心功能。 ### 第一节: C语言的小程序 教程通过一个简单的C程序作为示例...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值