某释放驱动的样本分析及手杀报告

此为样本文件下载链接：http://download.csdn.net/detail/cs08211317dn/3982364，压缩包解压缩密码为：virus。

今天花了1个多小时分析了一款名为123.exe的病毒，觉得挺有意思的，于是顺手写个手杀报告，以备以后查看。

1.病毒行为：

（1）利用注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options劫持多个软件，在powertool中看到的劫持情况如下图：

（2）释放一个名字随机的驱动：C:\WINDOWS\system32\ 77037933.sys。此驱动释放文件系统dispatch钩子，以隐藏自身和另外一个病毒文件

C:\WINDOWS\system32\appmgmts.dll。驱动钩子如下图：

（3）删除了以下两个注册表项：

HKEY_LOCAL_MACHINESYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

HKEY_LOCAL_MACHINE SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

使得用户无法进入安全模式。

2.手杀步骤：

（1）仅仅摘除钩子是不够的，因为驱动会回写钩子。所以用powertool卸载掉挂钩的驱动：C:\WINDOWS\system32\ 77037933.sys。随着驱动被卸载，钩子也就不复存在了。

（2）此时在资源管理器中能够看到C:\WINDOWS\system32\ 77037933.sys和C:\WINDOWS\system32\appmgmts.dll。sys文件能够顺利删除。但是在删除appmgmts.dll系统弹出以下错误框：

无法删除的原因很有可能是还有进程在调用此文件。在xuetr中查找进程模块，发现pid为1128的进程svchost.exe在调用appmgmts.dll，截图如下：

于是先结束掉svchost.exe进程，再删除appmgmts.dll成功。注意，要尽快删掉appmgmts.dll，否则此文件又会重新释放一个驱动文件，来替换刚才我们删除的驱动文件的功能。这样前面做的步骤就都白费了。

（3）修复镜像劫持：删除 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options这个注册表项。

（4）修复安全模式：添加注册表项：

HKEY_LOCAL_MACHINESYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

HKEY_LOCAL_MACHINE SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

（5）到此为止，手杀完毕。提醒一点。不能删除appmgmts.dll时，用一些软件是可以删除的，但是不完全。比如我用一款叫“顽固木马克星”的杀毒软件扫描到此文件并删除，删除确实是删除了，但是pid为1128的进程svchost.exe会再生成此文件，以下是我用processmonitor监测到的回写行为：

所以，要写完全删除appmgmts.dl文件，必须先结束pid为1128的进程svchost.exe的进程。否则svchost.exe会生成appmgmts.dl，而appmgmts.dl会再释放一个驱动。这样就相当于又回到了手杀的最初。

某释放驱动的样本分析及手杀报告相关推荐

incaformat蠕虫病毒样本分析及查杀防范措施
2021incaseformat蠕虫病毒一.病毒简介二.样本分析三.查杀与恢复方式四.预防措施一.病毒简介病毒名称:incaseformat 病毒性质:蠕虫病毒影响范围:windows ...
“白加黑”远控木马技术分析及手杀方案
"白加黑"是民间对一种DLL劫持技术的通俗称呼,现在很多恶意程序利用这种劫持技术来绕过安全软件的主动防御以达到加载自身的目的,是目前很火的一种免杀手段.本文将针对此类病毒做了一个简 ...
[系统安全] 三十一.恶意代码检测(1)恶意代码攻击溯源及恶意样本分析
您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列.因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全.逆向分 ...
CVE-2010-2883 从漏洞分析到样本分析
本文章将从漏洞利用分析开始,到样本分析结束,其中涉及到的知识点有PDF格式.TTF字体格式.缓冲区溢出漏洞利用.PE文件格式.软件脱壳和恶意代码分析.其中会演示一些基本操作,方便初学者进行复现. 前置 ...
ARM中断分析之三：WinCE驱动的中断分析
现在有许多高端的ARM芯片,像苹果.三星.华为都采用ARM芯片做为智能手机芯片. 这篇文章介绍基于ARM的WinCE操作系统的驱动的中断分析.WinCE驱动分为两类,这里介绍流驱动,流驱动比较简单. ...
APT样本分析 -plugx家族RAT⽊⻢
APT样本分析 - plugx家族RAT⽊⻢⼀.样本概述样本从海莲花服务器扒下来的 ( 经提醒修改 , 原先错误归类为海莲花 ) , wsc_pr ...
新变种Emotet恶意样本分析
样本信息表1.1 样本信息表文件 1.doc 大小 190976 字节修改时间 2021年12月2日, 10:30:02 MD5 2EFBE18F2ED8AE0D4648B68596DFA0 ...
多层Android锁机样本分析
Android锁机软件分析作者:云在天(Harry)吾爱破解原文地址:多层Android锁机样本分析 https://www.52pojie.cn/thread-701201-1-1.html ( ...
记一次粗浅的钓鱼样本分析过程
原创稿件征集邮箱:edu@antvsion.com QQ:3200599554 黑客与极客相关,互联网安全领域里的热点话题漏洞.技术相关的调查或分析,稿件通过并发布还能收获200-800元不等的稿酬 ...

某释放驱动的样本分析及手杀报告

某释放驱动的样本分析及手杀报告相关推荐

最新文章

热门文章