传播比较多的一个anti-av&ark驱动分析笔记
本帖最后由 pencil 于 2011-3-1 18:52 编辑这驱动写的非常挫~初学者用来学习的话还有点价值,故post上来。
文件名:cddriver.sysMd5:9c1a33f040750fb4f6b615f6a99917b0功能:杀进程,阻止AV&ARK进程创建附件有idb文件,里有详细的注释,下面把三个主要功能说了下。Learner:pencil
关闭杀毒软件进程(控制码:2236425):这驱动使用了三种方法来尝试关闭目标进程。
1,PsLookupProcessByProcessId,通过PID获取EPROCESSZwQuerySystemInformation(SystemModuleInformation)枚举系统所有模块通过RTL_PROCESS_MODULE_INFORMATION.OffsetToFileName,查找ntdll.dll模块获取ntdll.dll模块ImageBaseMmUnmapViewOfSection卸载目标进程中的ntdll.dll使目标进程崩溃
2,之后又尝试KeAttachProcess(EPROCESS);ZwTerminateProcess(0,0);KeDetachProcess();
3,通过ObOpenObjectByPointer拿到目标进程的句柄handleZwTerminateProcess(handle, 0);ZwClose(handle);这三种方法太挫了点,有点浪费r0权限啊
通过控制码IOCTL 2285899,该病毒可以通过ring3传递要hook的routine(SSDT HOOK)。
SSDT Hook了ZwCreateProcessEx在Fake_ZwCreateProcessEx中先获取创建的进程名,hash加密,之后与已有的数组数据进行对比,一共有50个进程名,如果匹配到,直接返回0,阻止进程的创建。Fake_ZwCreateProcessEx:
50个黑名单:
沙发~支持pencil 学习,继续学习中。 低调吧。还是抱着学习的心态来的 干什么的啊?
TNND简直不给力没钱下载 吾爱币 只剩1个了 55555555555555 挺好的学习了 很不错哈,挺高端的 这3个方法确实不怎么样 起码得插个apc啊
页:
[1]
2