镀锌管厂家
免费服务热线

Free service

hotline

010-00000000
镀锌管厂家
热门搜索:
行业资讯
当前位置:首页 > 行业资讯

深夜行动瑞星卡卡安全助手30全面技术分析

发布时间:2020-03-23 12:18:03 阅读: 来源:镀锌管厂家

作者声明:本文提供一切资料及内容仅供学习,了解系统原理之用.严禁用于其他任何商业活动或非法活动否则造成的一切后果本人及cnBeta皆不负任何相干责任!深夜行动

11-23 清晨0时50分 从瑞星的主站上得到该安装包e版本为:17, 0, 0, 8

用Peid看了下,是个Zip的自解包,解完后有用的文件有这么几个:

e 安装引导程序s 卡卡常驻驱动程序e 卡卡native扫描程序e 卡卡主程序e Runonce的东东

另外其它的一些东西都无关紧要了

我关心是他的新技术-------也就是说得很牛的:碎甲技术

分析e得知该安装程序将程序安装到指定目录后

(中间要进行一大堆极其恶心的IE注册表修改,如果你开着HIPS,例如SSM 会让你点允许得手酸...)

会修改注册表的HK_LM/SYSTEM/Current/ControlSet/Control/Service/GroupOrder'的List键值

在启动顺序中其中添加一个RsAntiSpyware组在System Reserved和Boot Bus Extender之间,然后建立驱动s的服务项,服务组自然就是属于这个RsAntiSpyware,这样一来,s就比所有Boot Bus Extender和低于Boot Bus Extender级的驱动提早启动了

同时也会把e和e复制到c:/windows/system32/ 下

这个KKnative也是有内容的,我们后面再说,先看看这个s 也就是所谓碎甲技术 它的核心是什么,分析s得知.

启动后该驱动会做以下动作:

1.使用函数PsSetLoadImageNotifyRoutine建立一个NotifyRoutine来取得所有驱动对象加载的消息NotifyRoutine会在Image加载时被履行,其中会比较驱动的特点

line hook函数MMLoadSystemImage修改MMLoadSystemImage的前5个字节为Call MyLoadSystemImage

MMLoadSystemImage是一个没有导出的未公然系统函数 只在OS CORE中作为内部例程被调用,主要作用就是将驱动对象加载到内核中(和公然的ZwLoadDriver不一样,它其实不运行驱动对象)

MyLoadSystemImage会替换原有的MMLoadSystemImage对想要加载入内核的所有驱动进行分析得到PE文件里的TimeDateStamp和CheckSum两个值同自己驱动中的一个特点库进行比较(特点库位于当前版本驱动的offset 768h到offset 078bh之间,至于如何定位我就不详细说了,免得被坏人利用),如果符合,则不允许加载这个驱动并返回失败,如果不符合.则照旧加载此驱动.

以上 就是所谓碎甲技术的全部内容,揭开以后 发现并没有创新和神秘可言.KKnative则是一个BootExecute履行的native程序

主要用于在Boot Execute时删除

??%Systemroot%f

这个文件中定义的延迟删除文件和注册表项

RunOnce也是一样

基本没什么看头,只要碎甲能消除,驱动能成功加载 这两个东东 和它们的注册表项都可以被轻松解决

"消除"这套碎甲也十分的简单驱动及其他项目的注册表项没有任何保护删除s的驱动服务项目

删除ServiceGroupOrder里的RsAntiSpyware里项目重启动后,碎甲消除. 我给它的评价 只能是:不过如此

关于更多的技术细节请访问 SCT(System Core Team) 官方网站

重庆心胸医院排名

沈阳最好的综合医院

福州博爱医院预约挂号