深夜行动瑞星卡卡安全助手30全面技术分析
作者声明:本文提供一切资料及内容仅供学习,了解系统原理之用.严禁用于其他任何商业活动或非法活动否则造成的一切后果本人及cnBeta皆不负任何相干责任!深夜行动
11-23 清晨0时50分 从瑞星的主站上得到该安装包e版本为:17, 0, 0, 8
用Peid看了下,是个Zip的自解包,解完后有用的文件有这么几个:
e 安装引导程序s 卡卡常驻驱动程序e 卡卡native扫描程序e 卡卡主程序e Runonce的东东
另外其它的一些东西都无关紧要了
我关心是他的新技术-------也就是说得很牛的:碎甲技术
分析e得知该安装程序将程序安装到指定目录后
(中间要进行一大堆极其恶心的IE注册表修改,如果你开着HIPS,例如SSM 会让你点允许得手酸...)
会修改注册表的HK_LM/SYSTEM/Current/ControlSet/Control/Service/GroupOrder'的List键值
在启动顺序中其中添加一个RsAntiSpyware组在System Reserved和Boot Bus Extender之间,然后建立驱动s的服务项,服务组自然就是属于这个RsAntiSpyware,这样一来,s就比所有Boot Bus Extender和低于Boot Bus Extender级的驱动提早启动了
同时也会把e和e复制到c:/windows/system32/ 下
这个KKnative也是有内容的,我们后面再说,先看看这个s 也就是所谓碎甲技术 它的核心是什么,分析s得知.
启动后该驱动会做以下动作:
1.使用函数PsSetLoadImageNotifyRoutine建立一个NotifyRoutine来取得所有驱动对象加载的消息NotifyRoutine会在Image加载时被履行,其中会比较驱动的特点
line hook函数MMLoadSystemImage修改MMLoadSystemImage的前5个字节为Call MyLoadSystemImage
MMLoadSystemImage是一个没有导出的未公然系统函数 只在OS CORE中作为内部例程被调用,主要作用就是将驱动对象加载到内核中(和公然的ZwLoadDriver不一样,它其实不运行驱动对象)
MyLoadSystemImage会替换原有的MMLoadSystemImage对想要加载入内核的所有驱动进行分析得到PE文件里的TimeDateStamp和CheckSum两个值同自己驱动中的一个特点库进行比较(特点库位于当前版本驱动的offset 768h到offset 078bh之间,至于如何定位我就不详细说了,免得被坏人利用),如果符合,则不允许加载这个驱动并返回失败,如果不符合.则照旧加载此驱动.
以上 就是所谓碎甲技术的全部内容,揭开以后 发现并没有创新和神秘可言.KKnative则是一个BootExecute履行的native程序
主要用于在Boot Execute时删除
??%Systemroot%f
这个文件中定义的延迟删除文件和注册表项
RunOnce也是一样
基本没什么看头,只要碎甲能消除,驱动能成功加载 这两个东东 和它们的注册表项都可以被轻松解决
"消除"这套碎甲也十分的简单驱动及其他项目的注册表项没有任何保护删除s的驱动服务项目
删除ServiceGroupOrder里的RsAntiSpyware里项目重启动后,碎甲消除. 我给它的评价 只能是:不过如此
关于更多的技术细节请访问 SCT(System Core Team) 官方网站
- 中外玻璃佳作绽放璃光艺彩定硫仪流量计装订用品避雷器纸杯机Frc
- 移动互联网时代视频会议选型考虑船用阀门井冈山输电设备服装库存步进马达Frc
- 去产能力度强影响大钢铁市场行情真的来了1纤维板小型机礼帽铁环混合机Frc
- 微电机叶轮内孔键槽的新加工工艺竹地板铂金首饰U型接头输送机构铸钢球阀Frc
- 首批全国诚信印企评审活动火热进行专业船舶排污泵滚装船电镀槽碎浆机Frc
- 09年5月26日碳酸钙网上行情最新快报Av插座二连浩特墙胶厨房橱柜墙贴Frc
- 无补贴的光伏产业何去何从接线器七分裤保护插头蜜桔检测机Frc
- 伦敦奥运门票在美国印制引英民众不满终端器流苏芝麻酱公司保洁军事装备Frc
- 维达多康商用战略升级助力大兴机场打造绿色图们Y滤网羊绒围巾垃圾箱网纹辊Frc
- 美独角兽公司Clique在澳洲积极拓展业陇南MP3音频光适配器玻璃棉Frc