某释放驱动的样本分析及手杀报告
此为样本文件下载链接:http://download.csdn.net/detail/cs08211317dn/3982364,压缩包解压缩密码为:virus。
今天花了1个多小时分析了一款名为123.exe的病毒,觉得挺有意思的,于是顺手写个手杀报告,以备以后查看。
1.病毒行为:
(1)利用注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options劫持多个软件,在powertool中看到的劫持情况如下图:
(2)释放一个名字随机的驱动:C:\WINDOWS\system32\ 77037933.sys。此驱动释放文件系统dispatch钩子,以隐藏自身和另外一个病毒文件
C:\WINDOWS\system32\appmgmts.dll。驱动钩子如下图:
(3)删除了以下两个注册表项:
HKEY_LOCAL_MACHINESYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
使得用户无法进入安全模式。
2.手杀步骤:
(1)仅仅摘除钩子是不够的,因为驱动会回写钩子。所以用powertool卸载掉挂钩的驱动:C:\WINDOWS\system32\ 77037933.sys。随着驱动被卸载,钩子也就不复存在了。
(2)此时在资源管理器中能够看到C:\WINDOWS\system32\ 77037933.sys和C:\WINDOWS\system32\appmgmts.dll。sys文件能够顺利删除。但是在删除appmgmts.dll系统弹出以下错误框:
无法删除的原因很有可能是还有进程在调用此文件。在xuetr中查找进程模块,发现pid为1128的进程svchost.exe在调用appmgmts.dll,截图如下:
于是先结束掉svchost.exe进程,再删除appmgmts.dll成功。注意,要尽快删掉appmgmts.dll,否则此文件又会重新释放一个驱动文件,来替换刚才我们删除的驱动文件的功能。这样前面做的步骤就都白费了。
(3)修复镜像劫持:删除 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options这个注册表项。
(4)修复安全模式:添加注册表项:
HKEY_LOCAL_MACHINESYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
(5)到此为止,手杀完毕。提醒一点。不能删除appmgmts.dll时,用一些软件是可以删除的,但是不完全。比如我用一款叫“顽固木马克星”的杀毒软件扫描到此文件并删除,删除确实是删除了,但是pid为1128的进程svchost.exe会再生成此文件,以下是我用processmonitor监测到的回写行为:
所以,要写完全删除appmgmts.dl文件,必须先结束pid为1128的进程svchost.exe的进程。否则svchost.exe会生成appmgmts.dl,而appmgmts.dl会再释放一个驱动。这样就相当于又回到了手杀的最初。
某释放驱动的样本分析及手杀报告相关推荐
- incaformat蠕虫病毒样本分析及查杀防范措施
2021incaseformat蠕虫病毒 一.病毒简介 二.样本分析 三.查杀与恢复方式 四.预防措施 一.病毒简介 病毒名称:incaseformat 病毒性质:蠕虫病毒 影响范围:windows ...
- “白加黑”远控木马技术分析及手杀方案
"白加黑"是民间对一种DLL劫持技术的通俗称呼,现在很多恶意程序利用这种劫持技术来绕过安全软件的主动防御以达到加载自身的目的,是目前很火的一种免杀手段.本文将针对此类病毒做了一个简 ...
- [系统安全] 三十一.恶意代码检测(1)恶意代码攻击溯源及恶意样本分析
您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列.因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全.逆向分 ...
- CVE-2010-2883 从漏洞分析到样本分析
本文章将从漏洞利用分析开始,到样本分析结束,其中涉及到的知识点有PDF格式.TTF字体格式.缓冲区溢出漏洞利用.PE文件格式.软件脱壳和恶意代码分析.其中会演示一些基本操作,方便初学者进行复现. 前置 ...
- ARM中断分析之三:WinCE驱动的中断分析
现在有许多高端的ARM芯片,像苹果.三星.华为都采用ARM芯片做为智能手机芯片. 这篇文章介绍基于ARM的WinCE操作系统的驱动的中断分析.WinCE驱动分为两类,这里介绍流驱动,流驱动比较简单. ...
- APT样本分析 -plugx家族RAT⽊⻢
APT样本分析 - plugx家族RAT⽊⻢ ⼀.样本概述 样 本 从 海 莲 花 服 务 器 扒 下 来 的 ( 经 提 醒 修 改 , 原 先 错 误 归 类 为 海 莲 花 ) , wsc_pr ...
- 新变种Emotet恶意样本分析
样本信息 表1.1 样本信息表 文件 1.doc 大小 190976 字节 修改时间 2021年12月2日, 10:30:02 MD5 2EFBE18F2ED8AE0D4648B68596DFA0 ...
- 多层Android锁机样本分析
Android锁机软件分析 作者:云在天(Harry)吾爱破解 原文地址:多层Android锁机样本分析 https://www.52pojie.cn/thread-701201-1-1.html ( ...
- 记一次粗浅的钓鱼样本分析过程
原创稿件征集 邮箱:edu@antvsion.com QQ:3200599554 黑客与极客相关,互联网安全领域里的热点话题漏洞.技术相关的调查或分析,稿件通过并发布还能收获200-800元不等的稿酬 ...
最新文章
- android button背景随心搭配
- mysql timstamp_DB_MySQL_日期类型讲解_DATETIME_DATE_TIMESTAMP
- c语言去尾法和进一法的例子,《去尾法与进一法》教学案例与反思
- 改善Hibernate应用程序性能的7种方法
- google 确定某点海拔高_“湘能楚天”牌变电站的威宁之旅(一)|高海拔下如何实现与茫茫雪原环境的共生?...
- 根据文件扩展名获取系统图标
- js变量后面加问号是什么_JS变量生命周期:为什么 let 没有被提升
- PyTorch 学习笔记(六):PyTorch的十八个损失函数
- animate.css在vue项目中的使用
- linux下查找大文件和大目录
- EPS PanSystem v3.4.0 Full 1CD(解析试井解释软件)\
- LaTeX下载安装及Markdown转PDF方法
- 40余位重磅嘉宾,320分钟巅峰对话,这8场主题圆桌藏着哪些时代密码?丨第二届算力大会...
- Spark学习内容介绍
- 整合UWALOHA和VBF
- 阿里AI Labs王刚解读9小时卖出百万台的“天猫精灵” | 高山大学(GASA)
- iOS设备 历代 机型对照表
- Mol Cell Proteomics. |陈洁| 整合鸟枪法蛋白质组学中鉴定和定量的错误率
- 写一个用遗传算法解决VRP问题的代码
- vue3—reactive如何更改属性
热门文章
- 在c语言程序中无论是整数还是实数,C语言基础题及参考答案
- java计算距离_java实现计算地理坐标之间的距离
- 《SpringCloud超级入门》Eureka注册中心开启密码认证《十二》
- linux文件大小和目录,查看Linux目录和文件大小
- python3 线程池监控线程是否停止工作_Python线程池——个人总结,如果你不喜欢就不要喷,勿...
- nodejs mac java home_Mac上搭建nodejs开发环境
- 接口传值后不起作用_前端工程师吐后端工程师(第八讲)——接口的开发
- flume数据丢失与重复_Flume监听文件到kafka,文件通道,kafka消费重复问题
- shell开启飞行模式_原来手机飞行模式有这么多用处!99%的深圳人都不知道...
- wireshark-win64-3.4.0安装_轴承安装规范