机器狗0625技术剖析（驱动读写磁盘扇区

最新推荐文章于 2025-03-05 11:06:19 发布

原创

最新推荐文章于 2025-03-05 11:06:19 发布 · 1.4k 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#磁盘 #pointers #buffer #disk #io #winddk

本文介绍了对一个机器狗变种的驱动分析，该驱动通过内核模式操作向磁盘扇区写入数据，涉及驱动注册、磁盘结构理解和SCSI端口通信等技术。分析了驱动的读写扇区函数，揭示了其可能存在的风险和潜在破坏系统文件的隐患。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

作 者: 水中雁
时 间: 2008-06-26,19:52
链 接: 
http://bbs.pediy.com/showthread.php?t=67321

由于对磁盘结构不是很熟，仅仅从逆向分析的角度，通过对这个驱动的分析过程，学习了向SCSI端口向扇区写数据的方法。如有错误或纰漏之处，请大家指出。

附件：
1、机器狗0625技术剖析.pdf
2、obj2(Macdog).idb

摘要
这是一个6月23号捕获的机器狗变种。跟之前不同的地方，主要是将以前ring3下写磁盘替换文件的操作使用驱动实现了，本文的主要部分也是对该部分的解析。可以看出，机器狗的作者对内核驱动以及磁盘结构都很熟悉。

三、驱动分析
1、基本信息
文件名：%windir%/system32/drivers/obj2.sys
DeviceName：//Device//DogBaby
SymbolicLinkName：//DosDevices//DogBaby

2、摘除ntfs的AttachedDevice

3、恢复disk的Hook
1)、摘除disk的AttachedDevice
2)、根据_DRIVER_OBJECT.DriverSection获得_LDR_DATA_TABLE_ENTRY的链表，枚举该链表查找名为CLASSPNP.SYS的模块，找到则获取该模块的基址Base和EntryPoint，如果EntryPoint - Base等于0AE8Fh(入口的RVA)，则取g_pClassInternalIoControl = Base + 4FC3h。然后注册驱动disk的派遣例程为_DRIVER_OBJECT.IrpInternalDeviceControlDispatch = pClassInternalIoControl。

4、摘除FtDisk的AttachedDevice

5、摘除Atapi的AttachedDevice

6、恢复Atapi的Hook
1)、读取atapi.sys文件，并定位pe头、及块表。
2)、定位到init块，从init块中使用模糊匹配特征C7 ?? 30 ?? ?? ?? ?? C7 ?? 34。
3)、找到的地址为24968h，记为Atapi_24968h。
4)、取Atapi_24968h + 11h的位置，并换算成RVA，得到fnRVA_IdePortDispatch。
5)、取Atapi_24968h + 18h的位置，并换算成RVA，得到fnRVA_IdePortDispatchDeviceControl。
6)、如果上面的方法获取失败，则强制转换：
fnRVA_IdePortDispatch = 67B4h，
fnRVA_IdePortDispatchDeviceControl = 0A592h。
7)、获取这两个函数的SVA
fnIdePortDispatch = fnRVA_IdePortDispatch + DriverStart，
fnIdePortDispatchDeviceControl = fnRVA_IdePortDispatchDeviceControl + DriverStart。
8)、注册Atapi的派遣例程
_DRIVER_OBJECT.IrpDeviceControlDispatch = 
fnIdePortDispatchDeviceControl，
_DRIVER_OBJECT.IrpInternalDeviceControlDispatch = fnIdePortDispatch。

7、定位被覆盖文件的逻辑簇号
1)、打开文件conime.exe，失败则打开userinit.bat；并获取FileObject。
2)、根据FileObject获取_FILE_OBJECT.Vpb，再获取_VPB.DeviceObject。
3)、创建一个IRP。设MainFunction为IRP_MJ_FILE_SYSTEM_CONTROL。
4)、设定_IO_STACK_LOCATION.FsControlCode = 
FSCTL_GET_RETRIEVAL_POINTERS
//其它IRP初始化略过，详细请看idb文件。
5)、调用自己实现的IOCallDriver，获取指定文件的RETRIEVAL_POINTERS_BUFFER信息。
结构查阅msdn如下：
typedef struct RETRIEVAL_POINTERS_BUFFER {
  DWORD ExtentCount;
  LARGE_INTEGER StartingVcn;
  struct {
    LARGE_INTEGER NextVcn;
    LARGE_INTEGER Lcn;
  } Extents[1]; 
} RETRIEVAL_POINTERS_BUFFER, 
*PRETRIEVAL_POINTERS_BUFFER;
要注意的是按8个字节对齐的，所以DWORD ExtentCount后、LARGE_INTEGER StartingVcn前有4个字节的空间。
ExtentCount记录了该文件分成了n块存储。
StartingVcn记录了起始虚拟簇号。
Extents[i].NextVcn记录了下一个块的起始虚拟簇号，所以Extents[i].NextVcn - Extents[i - 1].NextVcn表示i块所占的簇数。
Extents[i].Lcn记录了第i + 1块的起始逻辑簇号。注意i是从0开始的。
本机器狗使用了不严格的计算方法，仅用到了该结构中的Extents[0].Lcn，即文件的起始逻辑簇号，并没有考虑分多块存储的情况。因此，理论上是存在破坏系统文件的风险的。这也是病毒不负责任的地方。

8、MyRead_WriteSector
从这个函数名可以看出这是一个读写扇区的例程。前缀My表示该函数是由我标识的，用来跟ida自动识别的函数进行区别，以便查找。这个函数很重要，整个驱动中会调用三次，所以先解析。
MyRead_WriteSector(DeviceObj, IRP_ID, pBuffer, dwSectorLowPos, SecNum);
DeviceObj：操作设备对象，这里为Disk。
IRP_ID：3表示读取，4表示写入。
pBuffer：写入设备的数据地址，或读取数据的内存辞职。
dwSectorLowPos：读取或写入的扇区号。其实扇区号为LARGE_INTEGER类型的大数，但这里仅使用了低32位，没有使用高32位。
SecNum：读取或写入的扇区数。
下面为函数的实现介绍。
1)、通过使用MyIoCallDriver(病毒自己实现的IoCallDriver)来向Disk设备发送服务号为IRP_MJ_INTERNAL_DEVICE_CONTRO，通过向SCSI端口读写数据实现的。
2)、填充IRP
mov     [edi+_IRP.MdlAddress], eax; eax为pBuffer对应的Mdl
......    ;省略部分代码
mov     [ebp+UserIosb], ebx  ; ebx == 0
lea     eax, [ebp+UserIosb]
mov     [edi+_IRP.UserIosb], eax
lea     eax, [ebp+Event]
mov     [edi+_IRP.UserEvent], eax
mov &