鬼影3分析报告.docVIP

鬼影3分析报告 鬼影驱动hello_tt.sys 驱动DriverEntry进去后，创建了一个内核线程，主要做了以下事情，删除beep.sys，创建文件c:\alg.exe,并且从磁盘的后几百个扇区里把鬼影exe(mb.exe)执行时放在那里的alg.exe读取出来，然后创建run启动项，设置为c:\alg.exe。 驱动还会挂钩atapi的DriverObject的StartIo函数，修改成hello_tt.sys里的一段代码，这段代码主要是防止别人尝试恢复MBR，经测试，在hello_tt.sys存在的情况下，修复MBR会失败。 鬼影主程序MB.exe 鬼影主程序MB.exe里面很多花指令，但是主要做的工作比较简单，主要做了读取物理磁盘容量，读取真实MBR，将MBR的数据进行循环左移3位加密，然后将MBR和alg.exe和hello_tt.sys一起写入到，物理磁盘的倒数0x34600个字节处，然后释放alg.exe到c:\目录，并调用winexec运行，并且释放hello_tt.sys并加载运行。 alg.exe 这个主要是弹出各种广告之类的，没太大顽固性 修复方法 MBR修复 鬼影对MBR的修改只是单纯的修改了磁盘最开始的1个扇区，对于分区表之类的没有做修改，修复方法为： 主要是读取磁盘倒数0x34600处的512个字节，然后进行解密，但是首先要patch调驱动里对atapi的hook,这个很简单。 void ROR(unsigned char * pChar, char bits) { __asm { mov ebx,pChar mov al,byte ptr [ebx] mov cl,bits ror al,cl mov [ebx],al } } void DecodeMbr(unsigned char * pMbr) { int i; for(i = 0 ;i 512; i++) { ROR(pMbr + i,3); } } void FixMbr() { HANDLE hFile = INVALID_HANDLE_VALUE; DISK_GEOMETRY DiskGeometry = {0}; DWORD dwBytesReaded = 0; ULONGLONG uTotalBytes = 0; ULARGE_INTEGER uFileOffset = {0}; unsigned char uMbr[512]; hFile = CreateFile(_T(\\\\.\\PhysicalDrive0), GENERIC_ALL, FILE_SHARE_READ, NULL, OPEN_EXISTING, 0, NULL); if(hFile == INVALID_HANDLE_VALUE) { printf(Open Disk Failed!!\n); goto __Cleanup; } if(!DeviceIoControl(hFile, IOCTL_DISK_GET_DRIVE_GEOMETRY, NULL, 0, DiskGeometry, sizeof(DISK_GEOMETRY), dwBytesReaded, NULL)) { printf(DeviceIoControl Failed\n); goto __Cleanup; } uTotalBytes = DiskGeometry.Cylinders.QuadPart * DiskGeometry.TracksPerCylinder * DiskGeometry.SectorsPerTrack * DiskGeometry.BytesPerSector; uFileOffset.QuadPart = uTotalBytes - 0x34600; uFileOffset.QuadPart += 0x2400; SetFilePointer(hFile,uFileOffset.LowPart,(PLONG)uFileOffset.HighPart,FILE_BEGIN); if(!ReadFile(hFile,uMbr,512,dwBytesReaded,NULL) || dwBytesReaded != 512) { printf(ReadFile Failed\n); goto __Cleanup; } DecodeMbr(uMbr); __asm int 3; dwBytesReaded = 0; dwBytesReaded = SetFilePointer(hFile,0