zamana 反恶意软件核心模块分析--amsdk.sys

最新推荐文章于 2025-09-05 16:39:55 发布
原创 最新推荐文章于 2025-09-05 16:39:55 发布 · 717 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #逆向分析 #反病毒

本文详细解析了Zamana AntiMalware的六大核心功能模块:进程认证管理、文件过滤、自我保护、注册表保护、hook管理和用户层接口。通过对这些模块的深入探讨,揭示了这款反恶意软件的工作原理和技术细节。

zamana AntiMalware 是windows平台上的一款反恶意软件(轻量级),其核心模块amsdk.sys实现了内核层的功能;amsdk.sys没有加壳/混淆,而且还有很多调试信息,这有利用我们理解其开发流程和细节。

(分析环境:win 11 64,zamana AntiMalware 免费版)

以下从其六个主要的功能模块展开分析:

1,authentication manager (进程认证管理)

2,mini filter (文件过滤功能)

3,self guard (自我保护)

4,protect registry (注册表保护)

5,hook manager (hook管理)

6,irp_mj_device_control (用户层接口)

一,进程认证管理

这个模块主要通过PsSetCreateProcessNotifyRoutine注册函数来监控进程的创建与结束事件,其在回调函数中,如果是进程创建,就输出对应的调试信息;如果是进程结束,会判断其是否是已经认证过的进程,如果是,则将其从对应的数组中删除。(进程认证的接口在irp_mj_device_control对应的函数中,相关分析放在该部分)相关代码截图如下:

二 ,文件过滤功能

    这个模块相当于集成了一个文件过滤驱动,用来对文件读写内容包含以下字符串“X5O!P%@AP[4\PZX54(P^)7CC)7”的操作进行控制---不知道要干什么 (这个字符串是欧洲反恶意软件的测试文件内容)。通过FltRegisterFilter来注册过滤器,对create/write操作进行监控,如下图所示:

最低0.47元/天 解锁文章
逆向还原exeshell一个可以给sys加花的小东西
05-08 1751
很早的时候,在研究怎么给驱动加壳的时候,忘了从哪有了这个exeshell小工具(这个小工具好像是V大写的,我也不是很确定,希望V大不要生气呵呵)可以给sys加密,从而在一定程度上拖延了sys被人用F5虐待的时间 ,于是当时就花了几天把他给逆了,其实简单的说就是把sys文件的.text段与与0x44异或,进行简单加密。具体可以看idb的sub_4014A0函数。 关键代码: BOOL CEncrpt
驱动开发(8)处理设备I/O控制函数DeviceIoControl
zuishikonghuan的博客
01-03 8876
本博文由优快云博主zuishikonghuan所作,版权归zuishikonghuan所有,转载请注明出处: 在上面的两篇博文中,介绍了IRP与派遣函数,以及我们通过了一个例子“磁盘设备的绝对读写”来演示了在应用程序中是如何向一个设备发出I/O请求的。这篇博文将演示在驱动程序中处理一个非常简单的I/O请求——由DeviceIoControl这个Win32API经过一系列的调用,在内核中
1-软件设计-各个模块分析
靖节先生的博客
09-02 1042
1-软件设计-各个模块分析 知识点 说明 软件工程基础知识 开发模型,设计原则,测试方法,质量特性,CMM,pert图,甘特图等 面向对象 1面向对象基本概念,分析设计,UML 数据结构与算法 数组,队列,栈,二叉树,排序 程序设计语言 文法,正规式等 计算机硬件基础 组成原理 1操作系统 PV算法 数据库系统 ER模型 计算机网络 协议 消息安全 加解密 多媒体基础 基本概念 知识产权与标准化 知识产权 ...
AMSDK Linux User's Guide
烟酒僧的专栏
05-14 1496
Overview This article will cover the basic steps for building the Linux kernel and driver modules for TI Sitara devices. Preparing to Build In order to build the Linux kernel you will need a cross
银狐APT组织攻击再升级,利用合法驱动绕过EDR与杀软
FreeBuf_的博客
09-01 622
银狐APT滥用签名驱动漏洞,精准绕过EDR/AV绞杀安全进程。
ioctl 的使用方法详细说明与例子
热门推荐
Java鸟
08-17 1万+
Talking To Device Files 与设备文件对话 (writes and IOCTLs) 设备文件是用来代表相对应的硬件设备。绝大多数的硬件设备是用来进行输出和输入操作的,所以在内核中肯定有内核从进程中获得发送到设备的输出的机制。这是通过打开一个设备文件然后向其中进行写操作来实现的,如同对普通文件的写操作。在下面的的例子中,这是通过 device_write实现的。 但这并
bogazici-datacamp
03-08
.ipynb” dosyalarıgithubtarafındanservis edilirken她的zamanaçılmayabilir。 Birsürebekleyip重新加载tuşunabastığınızdadosyayıgörüntüleyebilirsiniz。 第一天| 介绍: ML划伤表面 ML介绍 第2...
应用程序与驱动程序交互函数DeviceIoControl详解
zz_strive_2012的专栏
12-20 3054
这种通信方式,就是驱动程序和应用程序自定义一种IO控制码,然后调用DeviceIoControl函数,IO管理器会产生一个MajorFunction 为IRP_MJ_DEVICE_CONTROL(DeviceIoControl函数会产生此IRP),MinorFunction 为自己定义的控制码的IRP,系统就调用相应的处理IRP_MJ_DEVICE_CONTROL的派遣函数,你在派遣函数中判断Mi...
windows内核开发学习笔记十五:IRP结构
jyl_sh的专栏
04-15 3608
windows内核开发学习笔记十五:IRP结构 IRP(I/O Request Package)在windows内核中,有一种系统组件——IRP,即输入输出请求包。当上层应用程序需要访问底层输入输出设备时,发出I/O请求,系统会把这些请求转化为IRP数据,不同的IRP会启动I/O设备驱动中对应的派遣函数。 一、IRP类型 由于IRP是响应上层应用程序的。可想而知,IRP类型是与上层对底层设备的访问类型相对应。文件相关的I/O函数如:CreateFile/ReadFile/WriteFile/Clo.
IRP—DeviceControl
weixin_48257887的博客
10-14 274
【代码】IRP—DeviceControl。
Windows驱动开发第6课(完善驱动框架-IRP例程注册)
weixin_42655748的博客
11-25 1040
完善驱动框架-IRP例程注册。(明天更新)
驱动程序中有关IRP介绍(IRP Major Function Codes)
danxuezx的专栏
08-28 2651
一直对写驱动程序的人很崇拜,所以自己也学着写驱动程序,结果一上来被IRP给搞晕了,看了别人写的驱动程序里有很多的IRP code,可是如果自己写到底需要哪些呢?于是查了MSDN把它们都罗列出来,让自己心里有个数。IRP_MJ_CREATE:每个驱动程序必须在DispatchCreate或者                DispatchCreateClose 例程中处理此IRP请求。 
Windows驱动(用户层R3与内核层R0通信)
GNAIXGNAHZ的博客
02-05 3585
Windows驱动(用户层与内核层通信)
IRP_MJ_INTERNAL_DEVICE_CONTROL
hutao1101175783的专栏
04-23 769
什么时候发送这个请求: Any time after the successful completion of a create request.(任何时候完成了一个请求的创建) 作用: This I/O control code has been defined for communication between paired and layered kernel-mode drivers, such as one or more class drivers layered over a po.
<寒江独钓>Windows内核安全编程__具有还原功能的磁盘卷过滤驱动
The New Old Things
10-27 8490
磁盘过滤驱动的概念 1.设备过滤和类过滤 在之前的文章里,我们已经介绍过滤的概念,所谓过滤技术就是在本来已有的设备栈中加入自己的一个设备。由于Windows向任何一个设备发送IRP请求都会首先发送给这个设备所在设备栈的最上层设备,然后再依次传递下去,这就使得加入的设备在目标设备之前获取Irp请求称为可能,这时候就可以加入自己的处理流程。在这里把插入设备栈的用户设备叫做过滤设备,建立这个设备并使
VC++驱动开发全攻略:源代码与实践
weixin_28888459的博客
11-20 1421
本文还有配套的精品资源,点击获取 简介:VC++驱动源程序对于Windows系统底层驱动程序的开发至关重要,它要求开发者熟悉Visual C++以及Driver Development Kit (DDK) 或Windows Driver Kit (WDK)。驱动程序是连接硬件与操作系统的桥梁,负责处理输入输出和设备控制。本文将深入探讨VC++驱动程序的关键组成部分,如Dri...
Windows驱动隐藏进程技术解析与安全防御实战
最新发布
weixin_30533301的博客
09-05 792
NT式驱动是最基础的驱动模型,通常由一个函数开始,负责初始化驱动并注册分发例程(Dispatch Routines)。它不支持PnP和电源管理,开发复杂度较高,适用于简单的内核模块。// 设置驱动卸载例程// 设置IRP处理函数i++) {逐行分析:是驱动程序的入口函数。是驱动对象指针,用于注册驱动的各个回调函数。表示驱动在注册表中的路径。是驱动卸载时的回调函数。表示处理IRP(I/O请求包)的函数指针数组,每个索引对应不同的I/O请求类型。
Windows驱动程序开发(七)--- 派遣函数
dabenxiong的专栏
05-16 2036
派遣函数主要功能是负责处理I/O请求,其中大部分I/O
驱动开发:应用程序与驱动程序 IOCTL 通讯 + DeviceIoControl + IRP 详解
weixin_41245990的博客
01-05 1736
使用 DeviceIoControl 函数的前提是:我们在驱动中自定义IOCTL(IO控制码)。这是应用程序和驱动程序交互的一种通信方式。先看看 CTL_CODE 原型:<<16<<14<<2CTL_CODE 宏有四个参数,用于辅助自定义 IOCTL,把4个部分组成一个32位 IOCTL。高16位存储设备类型,14~15位访问权限,2~13位操作功能,最后0,1两位就是确定缓冲区是如何与I/O和文件系统数据缓冲区进行数据传递方式,最常见的就是METHOD_BUFFERED。
Windows 驱动开发:借壳通信技术实践详解
qq_40363731的博客
04-11 348
本文详细介绍了 Windows 驱动开发中的借壳通信技术,通过示例代码展示了如何使用 ObReferenceObjectByName 函数实现借壳通信以及如何处理 IRP 控制请求。同时,我们回答了关于驱动对象类型、保存原有处理函数以及处理 IRP 控制请求的问题。希望本文能够帮助您更好地理解和应用借壳通信技术。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值