當前位置:網站首頁>惡意軟件分析實戰20-內核級軟件逆向Lab10-2

惡意軟件分析實戰20-內核級軟件逆向Lab10-2

2022-01-27 23:57:39 Kiopler

首先二話不說先拖入VT內檢查看看, 發現39個殺毒引擎報毒。

 發現了資源節裏有東西:

 可以看到是一個可執行文件在內部:

 把它命名為a.exe:

 把a.exe拖入PE Explorer內查看一下, 發現是一個驅動文件

 它從內核中導入了如下幾個函數:

 現在反過來看看母體可執行文件:

 沒有使用什麼特別的API, 感覺主要的功能是在內核中實現的。內核中導入的NtQueryDirectoryFile是以供查詢文件和目錄的。同時也可用於隱藏。

 

 繼續看一下更詳細的報告, 發現了這個驅動的名稱其實叫Mlwx486.sys

 先把母體拖入IDA內, 一上來就可以看到它把驅動釋放到了系統目錄下

 接下去就是加載驅動行為:

 

 之後母體就結束了完成了自己的使命。下面讓這個程序跑一跑看看會發生什麼, 由於我分析是在Win10 X64虛擬機下的。這個驅動和母體都是在32比特下的。所以我把這個程序拖入WinXP下做實驗, 不做不知道,一做嚇一跳直接藍屏了,這驅動的目的不會是為了導致藍屏吧。

 現在把mlwx486.sys拖入IDA內分析, 發現其掛鉤了NtQueryDirectoryFile函數

 接下去執行了Hook操作:

 進入Hook函數後首先其調用了NtQueryDirectoryFile函數。

 在此之前查詢一下WDK開發手册,查一下關於NtQueryDirectoryFile這個函數(NtQueryDirectory和ZwQueryDirectory是一樣的), 主要查看這個FileBothDirectoryInformation選項。上面說明如果指定了這個選項會為每個目錄文件返回FILE_BOTH_DIR_INFORMATION結構體

 現在來查看一下這個結構體的幾個重要字段:

 最後調用這個函數的目的就是把包含Mlwx的文件或目錄進行隱藏的操作,其通過斷鏈的方式進行

 (完)

版權聲明
本文為[Kiopler]所創,轉載請帶上原文鏈接,感謝
https://cht.chowdera.com/2022/01/202201272357392206.html

隨機推薦