机器狗病毒技术分析

最新推荐文章于 2025-02-26 20:38:37 发布
原创 最新推荐文章于 2025-02-26 20:38:37 发布 · 1.5k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#hook #object #dll #patch #算法 #c

本文详细分析了机器狗新变种的病毒技术,包括修复SSDT Hook、FSD Hook、针对还原软件的Hook,以及其如何下载木马。通过钩子技术,病毒能够绕过系统保护,修复关键函数的SVA,并实现对还原系统的规避。
作 者: 水中雁
时 间: 2008-05-15,23:36
 链 接: http://bbs.pediy.com/showthread.php?t=64902

3年前在看雪论坛注册了个号,但嫌ID不好听,因此一直没有发过帖。后来想换个ID,却发现不能注册了。昨天来逛逛,发现能注册了,终于注册了个自己比较喜欢的ID。
分析比较长,仅贴出驱动部分的分析。完整版请参看附件。(已贴附件)
附件包含:
机器狗0506技术剖析.pdf
dll_unpack.idb
sys.idb
由于自己能力有限,以及基本没有动态调试。故难免有所纰漏或错误,请各位不吝指正。

摘要
机器狗新变种使用了一些流行的技术,包含了修复SSDT Hook、修复FSD Hook、并对一些系统还原软件进行有针对的Hook,使能达到突破还原软件保护的目的。做了那么多,最终目的还是下载大量的木马到用户的系统上。
一、修复SSDT
1、获取内核第一个模块名(XP系统:ntkrnlpa.exe)及SVA(System Virtual Adrress),映射一份ntkrnlpa.exe到内存中,根据导出表获取KeServiceDescriptorTable的RVA转换成VA,为X,根据重定位表信息获得需要重定位的地址Y,比较[Y]是否等于X,否则循环,是则比较[Y-2]的特征是否是5C7h,是则取[Y+4]到Z。即:
C705E046480040C94200mov ds:_KeServiceDescriptorTable, offset _KiServiceTable
因此,Z得到的是_KiServiceTa
最低0.47元/天 解锁文章
新版“机器狗病毒详细分析资料
01-23 2853
报告名称:新版“机器狗病毒详细分析资料(全部资料的一少部分)报告类型:病毒原理逆向反汇编分析播报编写作者:Coderui编写日期:2008年01月15日>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>-------------------------------------------------
病毒分析报告之关于机器狗病毒分析资料
07-07
这是一篇关于病毒分析的文章,重点分析机器狗病毒的各种性质,非常给力的一篇文章
机器狗病毒的工作原理和判断
IBM_lover的专栏
01-08 1717
 http://article.pchome.net/content-581031.html 机器狗病毒名字由来和工作原理机器狗病毒名字的由来2008年春节前后,一个长相若电子宠物狗的程序潜入互联网闯荡江湖。这个东东可不是什么桌面电子宠物,有人发现了这个宠物,并运行了它。不久,更多的“机器狗”入侵了网民的电脑。在1-2月内,这只“机器狗”成为互联网的明星。网民在倍受“狂犬病
机器狗病毒特征与防治
weixin_34054866的博客
06-25 311
作者:许本新 新近学院机房的老师老是跟我说,他们机房的计算机中毒了,并且穿透了还原精灵(机房为了管理方便都安装的还原精灵),我听说后倒是觉得蛮有意思的,就过去看了一下,不看不知道,一看吓(he合肥话读这个音)一跳,机房里面的计算机病毒真是多如牛毛啊! 其中有一种病毒引起了我的兴趣,就是下面图标显示的东东,这不是传说中的机器狗吗?只听说这东西很是厉害,正是因为厉害所以我经常...
机器狗病毒驱动部分逆向分析注释(C代码)
安静
03-20 942
创建时间:2008-03-13文章属性:原创文章提交:swords (songbohr_at_163.com)/*标 题: 【原创】“机器狗病毒驱动部分逆向分析注释(C代码)作 者: dream2fly(QQ:838468959)时 间: 2008.03.13 于深圳科技园链 接; http://www.dream2fly.net版 本: 1.0 【软件名称】: 机器狗病毒)【下载地址】: h
机器狗病毒攻击原理分析论文
06-17
论文对近年来关于机器狗病毒的研究进行了全面梳理,包括病毒的发现、分析、防范技术的发展以及实际案例的研究,为深入理解机器狗病毒提供了理论基础。 五、任务书与开题报告 任务书中明确了研究目标,即深度剖析...
变形机器狗病毒分析与清除指南
变形机器狗是一种极其危险的木马病毒,其主要特征是利用系统级的磁盘设备栈hook技术来穿透防护措施,对计算机系统造成严重破坏。该病毒能够绕过当前大多数的软件和硬件还原解决方案,这意味着现有的还原产品无法有效...
机器狗病毒攻击原理与防御策略研究
机器狗病毒(Worm.Win32.Dogrobot)是一种在互联网上广泛传播的恶意软件,其攻击原理分析涉及计算机病毒学、网络安全、系统安全等多个领域的深入研究。本文将针对《机器狗病毒攻击原理分析》这一主题,综合整理相关...
机器狗病毒专杀和机器狗病毒样本研究
编制者的专栏
04-29 1994
 转自 "The Savager Blog" ,原文链接:http://www.xiji.org/article.asp?id=420版权归原作者所有,转载请注明出处!机器狗病毒专杀和机器狗病毒样本研究:日前,一种可以穿透各种还原软件与硬件还原卡的机器狗病毒异常肆虐。此病毒通过 pcihdd.sys驱动文件抢占还原软件的硬盘控制权。并修改用户初始化文件userinit.exe来实现隐藏自身的目的。
机器狗病毒
最新发布
m0_64918536的博客
02-26 307
检测病毒的方法包括查看SYSTEM32目录下userinit.exe文件的版本信息和检查DRIVERS目录下的pcihdd.sys驱动文件。在HiPER设备上,可以使用高级配置中的业务管理功能,设置URL禁止和IP过滤,封掉相关病毒链接。在HiPER设备的WebUI中,通过高级配置管理组和业务策略,可以实现对特定IP或URL的屏蔽。通过检测和确认病毒的存在,采用物理隔离和系统恢复措施,结合网络设备的高级配置功能,进行病毒链接的屏蔽和IP过滤。若发现病毒机器狗会自动从网络下载木马和病毒,危及用户账号安全。
机器狗病毒专杀软件
NewsTop的专栏
11-27 7019
机器狗病毒      机器狗的生前身后  曾经有很多人说有穿透还原卡、冰点的病毒,但是在各个论坛都没有样本证据,直到2007年8月29日终于有人在社区里贴出了一个样本。这个病毒没有名字,图标是SONY的机器狗阿宝,就像前辈熊猫烧香一样,大家给它起了个名字叫机器狗。      工作原理机器狗本身会释放出一
机器狗病毒样本(穿透冰和点还原卡)
01-23 7683
目前网上流传一种叫做机器狗病毒,此病毒采用hook系统的磁盘设备栈来达到穿透目的的,危害极大,可穿透目前技术条件下的任何软件硬件还原!基本无法靠还原抵挡。目前已知的所有还原产品,都无法防止这种病毒的穿透感染和传播。顺便说一句,这个病毒技术上来说,可以大胆的猜测应该是还原业内人士开发研制的,这种技术的应用极为少见,且如果精通这种技术的高手要做病毒不会用这种hook系统的磁盘设备栈的方式,完全
机器狗病毒防治
tgw2000的专栏
01-20 1861
机器狗病毒是一种可以穿透冰点、还原卡等电脑保护系统的木马病毒,并可以借助ARP病毒在局域网中传播,还会下载20多款恶性网游木马,盗取游戏玩家的帐号和密码,危害十分巨大。同时,该病毒还可以借助U盘进行传播,这样就大大增加了病毒传播的范围,即使连个人电脑用户也很有可能被感染。“机器狗病毒由于采用了更为先进的传播方式,其威胁甚至超越了去年的“熊猫烧香”。该病毒会首先通过网页木马或U盘传播方式入侵到
机器狗病毒(又称下载者木马病毒)的手工毒杀
Bob的专栏
05-12 4754
    最近一同事中了机器狗病毒,最开始并不知道是什么病毒,发现启动项里有很多XXX.exe列表,先用REGEDIT,将其清楚,并将windows下的新建病毒清除,因为病毒中的比较早,当时用瑞星还无法查杀(今天升级完瑞星以后,可以查杀了。),手动删除以后重启,发现“网络邻居”属性里,无法找到“本地连接”图标,导致无法上网。可能是病毒将系统服务破坏了。网络邻居是使用“Network Connec
一种可以穿透各种还原软件与硬件还原卡的机器狗病毒异常肆虐
weixin_33785108的博客
07-23 226
一种可以穿透各种还原软件与硬件还原卡的机器狗病毒异常肆虐 日前,一种可以穿透各种还原软件与硬件还原卡的机器狗病毒异常肆虐。中科蓝光为了验证机器狗病毒的破坏性及是否对蓝光保护卡产品有威胁,组织了多次感染测试试验1在没有保护卡安装软还原的情况下运行机器狗病毒样本,发现该病毒通过局域网传播很快,修改各个重要系统文件使得系统启动...
机器狗木马源文件
03-26 1576
机器狗的生前身后,曾经有很多人说有穿透还原卡、冰点的病毒,但是在各个论坛都没有样本证据,直到2007年8月29日终于有人在社区里贴出了一个样本。这个病毒没有名字,图标是SONY的机器狗阿宝,就像前辈熊猫烧香一样,大家给它起了个名字叫机器狗。工作原理机器狗本身会释放出一个pcihdd.sys到drivers目录,pcihdd.sys是一个底层硬盘驱动,提高自己的优先级接替还原卡或冰点的硬盘驱 动,然
远程线程注入之突破Session0隔离会话
xf555er的博客
06-12 1597
当我们使用远程线程注入将dll注入至系统服务进程中往往会失败,这是因为大多数系统服务都是在Session0中运行的 "Session 0"是Windows操作系统中的一个特殊的会话,专门用于运行系统服务和其他在用户登录之前就需要运行的程序。从Windows Vista和Windows Server 2008开始,为了提高安全性,Windows将用户和系统服务分隔在不同的会话中。具体来说,所有的服务和系统任务都在Session 0中运行,而所有用户交互任务都在其他会话中运行
进程创建监控
zzmzzff的博客
03-28 808
上次讲了下进程保护原理,这次讲一下进程监控。监视进程创建,也就是监视EXE程序启动,就要hook掉创建进程的API,创建进程的API有ntdll!ZwCreateProcessEx、ZwCreateSection、ZwCreateThread等,kernel32里有CreateProcessA(W)和CreateProcessInternalA(W),hook ZW函数比较麻烦,因为那时进...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值