手杀主页劫持流氓软件
引流
记一次带毒KMS激活工具的手杀过程。
主页劫持|2345|激活工具|流氓软件|浏览器主页|锁主页
随便说说
入职快一个月了,从一个天天摸摸鱼的大学生成为了一名光荣的打工人。不过在这一个月里也是学到很多东西,有句话大概是这么讲的:“你知道的越多,你就会觉得你不知道的越多!”这段时间不断看到新的东西不断学到新的知识。领导对我十分宽容,老师也时长来问问我的学习情况,上班的日子其实感觉还蛮不错。最大的感触莫过于能学到东西,最多的体会就是好累啊,今天学习中刚好看到补丁和启动项什么的知识,恰好我之前激活office全家桶主页被劫持了,用过公司的杀毒和火绒什么的全盘查杀还有一些什么防锁主页的软件,然鹅也根本没什么用。每次打开浏览器就是hao123简直了,于是今天就实际动手追查了一下,也算是对所学知识的一个横向拓展延伸学习。
分析开始
盲猜第一发
我一开始也没什么头绪,百度了一下好像说劫持主页都是有进程在搞鬼,尝试找一下有没有什么启动项什么的。借助Dism++ 、火绒剑什么的看了一圈并没有什么头绪,似乎没有进程。
盲 猜 失 败
好吧,还是老老实实靠自己,百度一天就知道扯淡和莆田系。OK首先看下劫持主页什么行为。
观察行为
经过观察,劫持行为是每次新开浏览器进程时会自动开一个固定url的窗,之后被重定向为Hao123的主页去,无论开IE、谷歌、Edge都是劫持的。
然后跳到Hao123,这个明显是个重定向。
工具初步分析
所有浏览器都劫持,我直接盲猜,肯定是劫持了某个浏览器都要用到的DLL之类的,之后浏览器启动时直接就加载了恶意的dll然后处理了它。
思索一番,这个太旧了。不可能。这种肯定会被杀毒发现,并且查杀。而且手动查看dll之后也没有发现什么可疑的dll什么的。暂时没有了头绪。
打开任务管理器看一下进程启动参数
我们发现了一个十分有意思的事情,启动后命令行参数存在。但是启动时并未传入任何参数。因此我们断定该劫持出现在创建进程期间。
灵机一动,我将IE重命名为123这种无明显浏览器特征的名字再次打开,发现并没有被劫持主页,于是得出结论这并不是劫持通用的库什么的来劫持主页的。
再度盲猜
看到上面的结果我开始跃跃欲试,这很明显嘛,那肯定是进行了 憨憨匹配,将主流浏览器名字检测,然后进行了注入。我忽然觉得我悟了。那还能有谁,这不明摆着,很明显是劫持了父进程。为了佐证我这个想法。我随手打开CMD 输入IE的路径
看到没,用CMd为父进程启动的进程也没有劫持,那这就太简单了呀。肯定是劫持了Explorer进程,创建进程时做了手脚来劫持的主页。我这时候已经开始想象我直接撸到这个流氓恶意程序的源头了。嘴角开始上扬。
我已经迫不及待,直接打开CE:CTRL+G 输入CreateProcessW 回车
哎呀,熟悉的JMP不会吧、不会吧。诺大一个劫持的流氓居然就用了个Inline Hook就企图搞定我?
然后一口气还原,直接再打开IE。好的熟悉的被劫持主页。我哭了
Ps:事后证明这个hook是火绒的hook的,好嘛。你hook能不能好好跳到模块,搞段shellcode干什么,弄得和恶意程序一样。
好戏开场
经过上面的波折,我下断调试看了一下createprocessw的参数,基本就确定这个不是在父进程做的手脚了。
其实就估计大概率在驱动层了,那首当其冲。而我的系统时20H1是十分新的系统,而这都能兼容(好多ark都不能兼容这个系统)。
第一步开上虚拟机
我的系统时20H1 这个系统太新了,由于内核结构什么的改变,好多ARK工具都没办法运行。也包括我们这次手杀的主角 PcHunter 1.57 。因此打开Vmware 装上win10 1903(18362) ,其实之前试过win7但是我的win7有点问题,ksm这个软件跑不起来,打补丁又要激活。只好装win10 了。
装上虚拟机,配置好基本的东西,设置主机共享文件
重现恶意软件劫持场景
芜湖起飞,然后凭借记忆,去找了半天找到了我下载激活工具的网站,然后下载后传到虚拟机里运行。
可以发现激活工具一旦运行,他就给你劫持了。不会管你有没用激活功能。从此刻起杀毒也奈何不了它了。
驱动分析
既然开始劫持了,我们就要打开ARK工具开始看是不是有可以驱动什么的了,之前说过他的兼容性能到20H2 算是兼容性十分好的恶意程序,因此首要怀疑的肯定是微软提供的回调编程接口。因此我们直接查看回调相关的东西。
在写博客之前我其实实验了好几次(设置虚拟机快照还原),因此有截图看未被劫持的内核存在的回调实例。
对比上面两图,我们可以轻易发现,多了两个驱动。离谱的是签名校验也能过。可以看到他在PC里是黑色的,因此是被认定为合法签名的驱动。
之后我们切换到驱动详情页面,这边直接查看加载顺序最后的驱动就行了。因为还未重启就已经劫持,因此肯定驱动已经工作。能看见的话一定在加载顺序最后。
我们可以看到,非常的神奇啊。要不是我断定它是恶意程序,还真以为他是“正经人”。可以看到被识别为微软的驱动,并且签名校验通过。
锁定恶意文件,再入迷雾
既然都找到了,直接用pc拉。拉,,,,
我擦,怎么是灰色的,拉不了。而且也不能修改启动方式,这说明注册表被删除了。这个可以理解,删除注册表常有的操作,表示完全理解。
于是我们直接打开Explorer 要从drivers目录把这俩文件揪出来,结果居然没这俩文件。
我当时就蒙了,这PC下不是红色代表文件是存在的。但是居然没有,PC有但是本机看不见。
我猜,难道是文件过滤?OK,PC大哥安排它。我对这个也不熟,不过盲猜文件过滤和回调类似也就能理解了。直接看看。
这里我用pc提取了一次,发现文件居然是一样的,273k的俩相同文件。应该也是文件过滤的问题。直接摘除了吧。
这次直接能看到文件,复制两个文件是正确的了,好的。到此就把罪魁祸首找到了。
水落石出
到这里我们基本明白是怎么回事了,这玩意儿确实在驱动搞了动作来劫持的。回头看一下回调有些什么把。
可以清除地看到,这倆驱动注册了进程回调,线程回调,注册表,以及关机。既然知道在哪里动了它,就尝试去还原掉把。最简单摘除进程和线程回调,这俩嫌疑最大。
收官总结
上面我们只是追查和分析了表象,最后细细揣摩。
1、该恶意程序加载了驱动,并且使用的回调接口,因此兼容性很好,也保证了合法性。
2、使用过期签名的方式保证驱动能被加载。
3、驱动加载后对注册表可能是进行了删除操作,而对文件进行了过滤保护。
4、对文件驱动对应文件内容过滤,替换为合法文件内容。并使的应用层不可见。
5、回调保证关机时写回注册表,保证下次能正常启动。
因此我们可以大胆猜测,这个恶意病毒是设置为系统或者引导启动型的加载方式。使得在最早阶段加载驱动,并且保护自身和处理注册表。因此杀毒软件无法发现它,之后在关机时将注册表写回,保证下次正常加载。
写在最后
其实这个恶意程序文件依然落地了,但是采取了比较巧妙的方式让自身能够存活。但是从整个原理来讲,始终是微软绕操作系统的调度和资源分配进行。
而这里就是在进程创建的时候找机会来实现恶意的过程,没有绝对的安全也没有绝对的不安全。不过这个配合面杀就可以做到无缝衔接,保持机器上线了。稍微改动一下就可以做好多事情啊。
最后附上带马KMS工具的网站和恶意驱动吧!
恶意KMS工具来源:http://windows.lanshangsg.cn/kms/
好像没有附件,那算了,就不传了。
手杀主页劫持流氓软件相关推荐
- 怎么样查杀主页劫持木马,劫持浏览器首页的驱动木马解决方法
浏览器劫持是一种恶意程序,通过浏览器插件.BHO(浏览器辅助对象).WinsockLSP等形式对用户的浏览器进行篡改,使用户的浏览器配置不正常,被强行引导到商业网站. 所谓浏览器劫持是指网页浏览器(I ...
- 某释放驱动的样本分析及手杀报告
此为样本文件下载链接:http://download.csdn.net/detail/cs08211317dn/3982364,压缩包解压缩密码为:virus. 今天花了1个多小时分析了一款名为123 ...
- 谷歌浏览器主页被强制更改_你遇到过“浏览器主页劫持”、“流量劫持”的情况吗?...
随着互联网治理的深入,网络环境在逐步改善.但据用户最近的反映和记者的调查,"浏览器主页劫持"."流量劫持"等现象依然猖獗,损害着广大网民的权益.在复杂的互联网技 ...
- 如何去除hao123或者百度主页劫持?
1.请查看自己的浏览器主页是不是有如下图所示的后缀,如果有的话,有很大可能说明你的主页被劫持了,电脑里可能有很多流氓软件.另外,电脑时不时的会自动安装一些软件,这些都是流氓软件的功劳. 2.去除主页劫 ...
- 2345浏览器网址_2345网址导航回应“浏览器主页劫持”丨开发者日报
1.2345网址导航回应"浏览器主页劫持" "浏览器主页被2345劫持怎么解决?""如何解决浏览器被2345主页劫持的问题?"--在网民吐槽 ...
- 手杀***病毒Trojan.Win32.Generic.11EBD5EC
晚上使用U盘,打开后发现异常情况,如图: 看到了吧,没错,基本可以确定是中病毒了.我尝试打开一个文件,安静了半月有余的瑞星报警: 这下把我乐坏了,很久没有遇到自己电脑中病毒了,既然今天你撞上来了,那我 ...
- qq浏览器主页_讨论|360、金山毒霸、浏览器主页劫持
说起浏览器主页劫持,大家肯定不陌生了. 自己明明没有设置浏览器主页,在安装某些特别软件后,打开浏览器却发现默认主页更头换面,成了其他网站. 对那些不懂点技术的普通网民来说,想重新设置浏览器主页,简直就 ...
- 主页劫持该怎么办?解决主页劫持的方法
主页劫持是一种恶意程序,通过浏览器插件.BHO(浏览器辅助对象).Winsock LSP等形式对用户的浏览器进行篡改,使用户的浏览器配置不正常,被强行引导到商业网站. 所谓浏览器劫持是指网页浏览器(I ...
- 主页劫持跟踪:让网络更清朗 专家建言
回顾 "浏览器主页劫持"现象侵害互联网用户权益多年,如何根治这一网络顽疾,如何消除这种网络技术霸凌现象,还网络空间应有的清朗?通过记者深入调查,本报连续推出跟踪报道. " ...
最新文章
- 服务器SSL/TLS快速检测工具TLLSSLed
- 逐行计算、逐行递延、逐行更新
- 区块链ppt_区块链研究(附华为百页PPT)
- javascript一些常用的代码
- Kryo序列化实现源码分析
- 论文解读丨无参数的注意力模块SimAm
- idea2020.2中@test是怎么测试的_Sklearn 划分训练集和测试集
- 观察者模式 - Observer
- PR简单压缩视频、音频、调整音频声音大小
- Linux内核 失速(STALL) 警告说明文档翻译
- 通过JavaScript中基于属性的TDD的钻石方块
- HDOJ 2492 Ping pong 线段树+离散化
- CSS-----颜色值的缩写和字体的缩写方法
- upload-labs靶场通关指南(16-17关)
- 新闻与传播c刊_3本新闻传播类期刊入围新版C刊扩展目录
- 如何规划局域网IP地址
- 搞懂Linux内存屏障(值得收藏)
- Leetcode 1436旅行终点站 拓扑排序 并查集与队列
- 【量化】量化交易入门系列5:量化交易学习书籍推荐(一)
- 服务器上传图片显示图片404,关于使用spring文件上传遇到的服务器中的图片访问不到报404的问题...