本帖最后由 pencil 于 2011-3-1 18:52 编辑
这驱动写的非常挫~初学者用来学习的话还有点价值,故post上来。[s:48]
文件名:cddriver.sys Md5:9c1a33f040750fb4f6b615f6a99917b0 功能:杀进程,阻止AV&ARK进程创建 附件有idb文件,里有详细的注释,下面把三个主要功能说了下。 Learner:pencil
关闭杀毒软件进程(控制码:2236425): 这驱动使用了三种方法来尝试关闭目标进程。
1,PsLookupProcessByProcessId,通过PID获取EPROCESS ZwQuerySystemInformation(SystemModuleInformation)枚举系统所有模块 通过RTL_PROCESS_MODULE_INFORMATION.OffsetToFileName,查找ntdll.dll模块 获取ntdll.dll模块ImageBase MmUnmapViewOfSection卸载目标进程中的ntdll.dll使目标进程崩溃
2,之后又尝试KeAttachProcess(EPROCESS); ZwTerminateProcess(0,0); KeDetachProcess();
3,通过ObOpenObjectByPointer拿到目标进程的句柄handle ZwTerminateProcess(handle, 0); ZwClose(handle); 这三种方法太挫了点,有点浪费r0权限啊
通过控制码IOCTL 2285899,该病毒可以通过ring3传递要hook的routine(SSDT HOOK)。
SSDT Hook了ZwCreateProcessEx 在Fake_ZwCreateProcessEx中先获取创建的进程名,hash加密,之后与已有的数组数据进行对比,一共有50个进程名,如果匹配到,直接返回0,阻止进程的创建。 Fake_ZwCreateProcessEx:
50个黑名单:
| 
发表于 2011-3-1 18:11
发表于 2011-3-1 18:21
