最近遇到了一个恶意软件,劫持主页,其实也不算劫持吧,技术也不算多高明,
下面整套分析流程全部在IDA内部做,没有作一丁点调试。
不是我不会调试,只不过我感觉,这玩艺挺简单的,还要上手来调试,有点失身份,有点大材小用。
注册minifilter实现目录隐藏
准备目标进程列表
准备三个回调,真正干活的
如果操作系统版本符合要求,那么直接开始ARK功能,这是最大亮点
ARK函数内部,干掉了3个回调
镜像加载回调摘取的部分,获取镜像加载回调列表,得到所有回调之后,判断是哪个模块里面的,
如果是目标模块里面的,直接干掉
进程创建回调部分,也是这样
尝试直接卸两个模块
主要功能如上,其实还有一些网络相关的功能,我没注意看。
然后开始说程序劫持主页的完整流程吧。
进程创建回调,判断自己进程是不是要干的,如果是把进程信息整理一下,放到一个LIST中,准备给后面用
镜像加载回调里面,判断当前进程是否是目标进程,直接去上面列表里面找,就是了
如果是目标进程,判断当前加载的是哪个dll,根据不同的dll,来决定当前执行到哪一步了
ntdll 模块加载的时候,直接把当前驱动内部的一个shellcode和内置的DLL放到目标进程里面
插APC,启动shellcode
shellcode里面的工作,不用看别的,最后一个函数,其实就是在调用DLL的入口,
DLL代码,没怎么太详细地看,但是后面直接就是这个,很明白了
直接创建进程,之后就是exit了
最后,再说一下它的亮点,其实它摘掉那些回调,主要就是为了防止别的模块,再把自己启动的IE给劫走
OK,结束了,整体完成