当前位置:首页 >新闻频道 >暗云木马感染数据免费查询地址入口
暗云木马感染数据免费查询地址入口_暗云木马感染数据免费查询官方网址(2)
木马主功能代码的主要实现以下三个功能:1、劫持磁盘驱动实现隐藏和保护被感染的MBR;2、向ring3的一个svchost进程插入APC;3、通过设置注册表回调来接收ring3返回。
插入到svchost代码只实现一个简单的功能:判断操作系统类型,从云端下载相应的Addata.dat模块到本地,解密执行,云端模块的URL硬编码在Shellcode中。
图3. BootKit 启动过程示意图
代码细节:
感染后的MBR与原始MBR对比图
二、云端模块一行为
概述:
此模块为木马云端配置的第一个模块,其格式固定,以简单的循环移位的方式进行加密,解密后的模块数据结构如下:
云端模块1解密后的数据结构
该模块的前4字节为标志“CODE”,仅作为数据合法性校验,校验成功后直接执行其后的Shellcode,而Shellcode的功能则是负责将Addata.dll在内存中加载,最终从其入口点处开始执行之。
Addata.dll的主要功能是下载者,其具体的行为仍然依赖于云端配置,其运行后首先会从云端下载配置文件,配置文件所在的URL为:http://ad.sqc3.com/update/config.db,该URL硬编码在文件中。下载后解析配置文件,由配置文件来决定代码中的功能是否执行,以及具体的参数信息,能够实现的功能以及实际配置文件信息如下表所示:
代码细节:
1、Addata.dll中硬编码的配置文件URL信息
2、设置浏览器主页的相关代码
3、对下载的文件可进行不同的处理,这里还有一个很有意思的代码:DeleFileA,作者都凌乱了,真的很复杂!
4、Shellcode是通过NtSetInformationKey代入内核的
>>>点击xianzHaiwang.cn继续了解精彩的“暗云BootKit木马详细技术分析”
三、云端模块二行为
概述:
此模块为木马云端配置的第二个模块,由云端模块一下载后传递到内核执行,已相对较为复杂的加密算法进行加密,其中文件的前0×32字节为解密key,解密后的模块数据结构如下:
云端模块2解密后的数据结构
由于此木马同时兼容32位操作系统和64位操作系统,因此这个此模块包含两个版本,内核模块会根据操作系统的类型执行相应的Shellcode,因为两套代码功能完全一致,以下仅分析x86部分。
该模块首先被NtSetInformationKey传入内核,由内核模块从内核Shellcode开始执行,内核Shellcode的功能有如下两个:
1)结束指定杀软进程,包括kxetray.exe、kxescore.exe、QQPcTray.exe,由于管家的进程有object钩子防护,因此不会被干掉。
2)遍历进程,如果进程名为以下之一,则将尾部的应用层Shellcode 以apc的方式插入到该进程中,插入一个进程后便退出遍历,不再插其他进程。具体进程列表如下:360tray.exe、360safe.exe、360sd.exe、360rp.exe、zhudongfangyu.exe、QQPcRtp.exe、KSafeSvc.exe、KSafeTray.exe、BaiduSdTray.exe、BaiduAnTray.exe、BadduAnSvc.exe、BaiduHips.exe、BaiduProtect.exe、wscntfy.exe、spoolsv.exe、alg.exe,以上进程名均硬编码于Shellcode中。
应用层Shellcode被插入指定进程后开始执行,其功能是在内存中动态加载jmdm.dll文件并跳到其入口点执行。
jmdm.dll的主要功能依然是下载者,其代码与Addata.dll有60%以上的相似性,可以确定为同一份源码修改而来,其具体的行为仍然依赖于云端配置,其运行后首先会从云端下载配置文件,配置文件所在的URL为:http://jm.sqc3.com/cn/jmdmpz.db,该URL硬编码在文件中。下载后解析配置文件,由配置文件来决定代码中的功能是否执行,以及具体的参数信息,能够实现的功能以及实际配置文件信息如下表所示:
以上行为执行完毕后,木马会等待下载的inst.exe、update.exe运行完毕后重新创建一个新的宿主进程,随后调用ExitProcess退出原始宿主进程。
代码细节:
1、调用ZwTerminateProcess结束安全软件进程kxetray.exe、kxescore.exe、QQPcTray.exe,由于管家的进程有object钩子防护,因此不会被干掉。
2、遍历进程,看进程是否在硬编码的进程列表中,如果是,则插入apc,找到一个进程之后跳出循环,即只向一个进程插入apc
暗云木马感染数据免费查询地址入口_暗云木马感染数据免费查询官方网址
文章地址: http://news.xianzhaiwang.cn/roll/547196.html
1、凡本网注明“来源:***(非鄂东网)”的作品,均转载自其它媒体,转载目的在于传递更多的信息,并不代表本网赞同其观点和对其真实性负责。
2、如因作品[暗云木马感染数据免费查询地址入口]暗云木马感染数据免费查询地址入口_暗云木马感染数据免费查询官方网址内容、版权和其它问题需要同本网联系的,请在30日内进行。
征稿启事:
为了更好的发挥鄂东网资讯平台价值,促进诸位自身发展以及业务拓展,更好地为企业及个人提供服务,鄂东网诚征各类稿件,欢迎有实力机构、研究员、行业分析师、专家来稿。
-
暗云木马感染数据免费查询地址入口 |
企业干部军训心得体会 |
机关干部军训心得体会 |
领导干部军训心得体会 |
机关军训心得体会 |
干部军训心得体会 |
.党员军训心得体会 |
党员干部的军训心得体会 |
2017取消哪些证明手续 |
2017最受女生青睐的8大专业 |
2017年高考咨询周官方网址入口 |
2017女生就业前景好的十大专业 |
神偷奶爸3主题曲插曲片尾曲背景音乐 |
神偷奶爸3百度云免费完整版在线观看 |
5名公职人员兼职被处分 |
老人公交车上昏迷 |
老人过马路险晕倒 |
中国超模大赛吉林赛区 |
宁夏石嘴山煤矿爆炸 |
香港“幼升 |
一把3元猫粮引发悲剧 |
为盗刷他人信用卡 |
官员遭儿媳举报被双规 |
叶祖新土地被强征 |
网购七日无理由退货 |
海南发布台风四级预警 |
世界上最恐怖的景点 |
大热天2岁娃被锁车内 |
雷雨之夜 |
油炸蝉蛹太诱人 |
广西苍梧5.4级地震 |
机场免税店 |
大闹洛杉矶机场 |
顺丰回应快递员被打 |
朱主爱 |
新生女婴打ok手势 | 里约水污染惊人 | 北方城市沉降 | 路面塌陷多人陷落 | 中国北方城市现沉降 | 学生交通安全教育叫停 | 陈冠希不认有错 | 新人特意台风天领证 | 玉兔停止工作 | 曝广电封杀韩星 |
“暗云”是一个迄今为止最复杂的木马之一,感染了数以百万的计算机,那么“暗云”木马感染数据免费查询服务网址在哪里...[详细]
会议指出,“放管服”改革是一个系统的整体,既要进一步做好简政放权的“减法”,打造权力瘦身的“紧身衣”...[详细]
- 暗云木马感染数据免费查询地址入口_暗云木马感染数据免
- 2017取消哪些证明手续_2017单身证明取消了吗_2017户籍
- 2017最受女生青睐的8大专业_2017最受女生欢迎的8大专业
- 2017女生就业前景好的十大专业_2017女生好就业的十大专
- 我们停战吧电影主题曲、插曲、片尾曲、背景音乐所有歌
- 神偷奶爸3主题曲插曲片尾曲背景音乐_神偷奶爸3歌曲BGM
- 2017年高考咨询周官方网址入口_2017年高考咨询周官方地
- 神偷奶爸3百度云免费完整版在线观看_神偷奶爸3百度云盘
- 6月15日广州酒家申购宝典 顶格申购需配市值15万