zamana 反恶意软件核心模块分析--amsdk.sys

最新推荐文章于 2024-11-20 13:55:21 发布
原创 最新推荐文章于 2024-11-20 13:55:21 发布
· 600 阅读 · 2 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #逆向分析 #反病毒

zamana AntiMalware 是windows平台上的一款反恶意软件(轻量级),其核心模块amsdk.sys实现了内核层的功能;amsdk.sys没有加壳/混淆,而且还有很多调试信息,这有利用我们理解其开发流程和细节。

(分析环境:win 11 64,zamana AntiMalware 免费版)

以下从其六个主要的功能模块展开分析:

1,authentication manager (进程认证管理)

2,mini filter (文件过滤功能)

3,self guard (自我保护)

4,protect registry (注册表保护)

5,hook manager (hook管理)

6,irp_mj_device_control (用户层接口)

一,进程认证管理

这个模块主要通过PsSetCreateProcessNotifyRoutine注册函数来监控进程的创建与结束事件,其在回调函数中,如果是进程创建,就输出对应的调试信息;如果是进程结束,会判断其是否是已经认证过的进程,如果是,则将其从对应的数组中删除。(进程认证的接口在irp_mj_device_control对应的函数中,相关分析放在该部分)相关代码截图如下:

二 ,文件过滤功能

    这个模块相当于集成了一个文件过滤驱动,用来对文件读写内容包含以下字符串“X5O!P%@AP[4\PZX54(P^)7CC)7”的操作进行控制---不知道要干什么 (这个字符串是欧洲反恶意软件的测试文件内容)。通过FltRegisterFilter来注册过滤器,对create/write操作进行监控,如下图所示:

其效果如下:

 

 

 

三,自我保护

     通过PsSetLoadImageNotifyRoutine注册函数来监控加载的镜像并加以验证,来实现对恶意镜像加载的拦截:首先,判断当前加载镜像的进程是否是已经通过一模块中认证过;然后,如果当前进程和其父进程都是没有认证过的镜像,获取其IMAGE_NT_HEADERS中的五个数据:

NtHeaders.FileHeader.NumberOfSection  //节区数

NtHeaders.FileHeader.TimeDateStamp  //时间戳

NtHeaders.OptionalHeader.AddressOfEntryPoint  //镜像入口偏移

NtHeaders.OptionalHeader.SizeOfImage   //镜像大小

NtHeaders.OptionalHeader.CheckSum   //文件校验和

如下图:

 

通过自定义的计算函数,将以上五个dword 数据生成一个dword;最后,在其可配置的黑名单中查找,确定是否是不安全的镜像文件。

   镜像拦截,通过修改其入口点的代码。让其直接返回。支持32/64位文件。

四,注册表保护

   通过CmRegisterCallback注册回调函数,来保护白名单中的注册表不被修改/删除。

参考函数文档:https://docs.microsoft.com/en-us/windows-hardware/drivers/ddi/wdm/nf-wdm-cmregistercallback

对RegSetValueKey操作进行过滤。

五,hook管理

   检查并修复可能被hook的以下函数:

   IofCallDriver,IofCompleteRequest,IoCallDriver,IoCompleteRequest,

    NtOpenProcess,NtQuerySystemInformation

  在某些条件下,hook ExQueueWorkItem 使watchdogs失效。

六,irp_mj_device_control 用户层接口

实现的功能列表如下:

    IOCTL_CREATE_FILE_BYPASS_FILTERS
    IOCTL_CHECK_DRIVER_DISPATCH_ROUTINES
    IOCTL_FIX_DRIVER_DISPATCH_ROUTINES
    IOCTL_REGISTER_PROCESS
    IOCTL_SCSI_READ
    IOCTL_SCSI_WRITE
   IOCTL_OPEN_PHYSICAL_DRIVE
   IOCTL_GET_KERNEL_IMAGE_INFORMATION
   IOCTL_DUMP_MINIPORT_INFORMATION
   IOCTL_FIX_CRITICAL_KERNEL_FUNCTIONS
   IOCTL_DELETE_FILE
   IOCTL_ENUM_PROCESSES
   IOCTL_ENUM_PROCESS_MODULES
   IOCTL_CREATE_KEY
   IOCTL_DELETE_KEY
   IOCTL_PROTECT_REGISTRY
   IOCTL_SAVE_MINIPORT_FIX
   IOCTL_TERMINATE_PROCESS
   IOCTL_OPEN_PROCESS
   IOCTL_BLOCK_UNSAFE_DLL
   IOCTL_GET_DRIVER_PROTOCOL
   IOCTL_DELETE_VALUE
   IOCTL_QUERY_DIRECTORY_FILE
   IOCTL_OPEN_THREAD

   等等。

总结

    通过其调试信息可以快速的摸清功能架构,分析完感觉少了点什么似的,可能不是会员版。

逆向还原exeshell一个可以给sys加花的小东西
05-08 1715
很早的时候,在研究怎么给驱动加壳的时候,忘了从哪有了这个exeshell小工具(这个小工具好像是V大写的,我也不是很确定,希望V大不要生气呵呵)可以给sys加密,从而在一定程度上拖延了sys被人用F5虐待的时间 ,于是当时就花了几天把他给逆了,其实简单的说就是把sys文件的.text段与与0x44异或,进行简单加密。具体可以看idb的sub_4014A0函数。 关键代码: BOOL CEncrpt
ioctl 的使用方法详细说明与例子
Java鸟
08-17 1万+
Talking To Device Files 与设备文件对话 (writes and IOCTLs) 设备文件是用来代表相对应的硬件设备。绝大多数的硬件设备是用来进行输出和输入操作的,所以在内核中肯定有内核从进程中获得发送到设备的输出的机制。这是通过打开一个设备文件然后向其中进行写操作来实现的,如同对普通文件的写操作。在下面的的例子中,这是通过 device_write实现的。 但这并
1-软件设计-各个模块分析
靖节先生的博客
09-02 958
1-软件设计-各个模块分析 知识点 说明 软件工程基础知识 开发模型,设计原则,测试方法,质量特性,CMM,pert图,甘特图等 面向对象 1面向对象基本概念,分析设计,UML 数据结构与算法 数组,队列,栈,二叉树,排序 程序设计语言 文法,正规式等 计算机硬件基础 组成原理 1操作系统 PV算法 数据库系统 ER模型 计算机网络 协议 消息安全 加解密 多媒体基础 基本概念 知识产权与标准化 知识产权 ...
AMSDK Linux User's Guide
烟酒僧的专栏
05-14 1466
Overview This article will cover the basic steps for building the Linux kernel and driver modules for TI Sitara devices. Preparing to Build In order to build the Linux kernel you will need a cross
应用程序与驱动程序交互函数DeviceIoControl详解
zz_strive_2012的专栏
12-20 2787
这种通信方式,就是驱动程序和应用程序自定义一种IO控制码,然后调用DeviceIoControl函数,IO管理器会产生一个MajorFunction 为IRP_MJ_DEVICE_CONTROL(DeviceIoControl函数会产生此IRP),MinorFunction 为自己定义的控制码的IRP,系统就调用相应的处理IRP_MJ_DEVICE_CONTROL的派遣函数,你在派遣函数中判断Mi...
bogazici-datacamp
03-08
.ipynb” dosyalarıgithubtarafındanservis edilirken她的zamanaçılmayabilir。 Birsürebekleyip重新加载tuşunabastığınızdadosyayıgörüntüleyebilirsiniz。 第一天| 介绍: ML划伤表面 ML介绍 第2...
驱动开发(8)处理设备I/O控制函数DeviceIoControl
zuishikonghuan的博客
01-03 8774
本博文由优快云博主zuishikonghuan所作,版权归zuishikonghuan所有,转载请注明出处: 在上面的两篇博文中,介绍了IRP与派遣函数,以及我们通过了一个例子“磁盘设备的绝对读写”来演示了在应用程序中是如何向一个设备发出I/O请求的。这篇博文将演示在驱动程序中处理一个非常简单的I/O请求——由DeviceIoControl这个Win32API经过一系列的调用,在内核中
windows内核开发学习笔记十五:IRP结构
jyl_sh的专栏
04-15 3211
windows内核开发学习笔记十五:IRP结构 IRP(I/O Request Package)在windows内核中,有一种系统组件——IRP,即输入输出请求包。当上层应用程序需要访问底层输入输出设备时,发出I/O请求,系统会把这些请求转化为IRP数据,不同的IRP会启动I/O设备驱动中对应的派遣函数。 一、IRP类型 由于IRP是响应上层应用程序的。可想而知,IRP类型是与上层对底层设备的访问类型相对应。文件相关的I/O函数如:CreateFile/ReadFile/WriteFile/Clo.
IRP—DeviceControl
weixin_48257887的博客
10-14 206
【代码】IRP—DeviceControl。
Windows驱动开发第6课(完善驱动框架-IRP例程注册)
weixin_42655748的博客
11-25 981
完善驱动框架-IRP例程注册。(明天更新)
sysshell驱动加壳程序源代码
06-03
sysshell驱动加壳程序源代码,实现了对于sys文件的加壳,免杀必备之工具
驱动程序中有关IRP介绍(IRP Major Function Codes)
danxuezx的专栏
08-28 2612
一直对写驱动程序的人很崇拜,所以自己也学着写驱动程序,结果一上来被IRP给搞晕了,看了别人写的驱动程序里有很多的IRP code,可是如果自己写到底需要哪些呢?于是查了MSDN把它们都罗列出来,让自己心里有个数。IRP_MJ_CREATE:每个驱动程序必须在DispatchCreate或者                DispatchCreateClose 例程中处理此IRP请求。 
VC++驱动开发全攻略:源代码与实践
最新发布
weixin_28888459的博客
11-20 1262
本文还有配套的精品资源,点击获取 简介:VC++驱动源程序对于Windows系统底层驱动程序的开发至关重要,它要求开发者熟悉Visual C++以及Driver Development Kit (DDK) 或Windows Driver Kit (WDK)。驱动程序是连接硬件与操作系统的桥梁,负责处理输入输出和设备控制。本文将深入探讨VC++驱动程序的关键组成部分,如Dri...
Windows 驱动开发:借壳通信技术实践详解
qq_40363731的博客
04-11 302
本文详细介绍了 Windows 驱动开发中的借壳通信技术,通过示例代码展示了如何使用 ObReferenceObjectByName 函数实现借壳通信以及如何处理 IRP 控制请求。同时,我们回答了关于驱动对象类型、保存原有处理函数以及处理 IRP 控制请求的问题。希望本文能够帮助您更好地理解和应用借壳通信技术。
Windows驱动程序开发(七)--- 派遣函数
dabenxiong的专栏
05-16 1938
派遣函数主要功能是负责处理I/O请求,其中大部分I/O
IRP_MJ_INTERNAL_DEVICE_CONTROL
hutao1101175783的专栏
04-23 639
什么时候发送这个请求: Any time after the successful completion of a create request.(任何时候完成了一个请求的创建) 作用: This I/O control code has been defined for communication between paired and layered kernel-mode drivers, such as one or more class drivers layered over a po.
Windows内核学习笔记(六)-- [总结]创建IRP的四种不同方式
iT2afL0rd's Blog
07-26 3847
在驱动程序中,经常会调用其他的驱动程序;其中,手动构造IRP,然后将IRP传递到相应驱动程序的派遣函数中是一种比较简单的方法,下面就来介绍下手动创建IRP的几种不同的方法及其特点。         创建IRP总共有4种方法。分别通过调用:IoBuildSynchronousFsdRequest、IoBuildAsynchronou
windows内核开发学习笔记十八:IRP 处理的标准模式
jyl_sh的专栏
04-15 1859
windows内核开发学习笔记十八:IRP 处理的标准模式 I/O manager ---> Dispatch routine ---> StartIo routine ---> ISR ---> DPC routine ---> I/O manager 5.2.1 建立一个 IRP IRP 的生存期从调用 I/O manager function 建立 IRP 开始,你可以使用下面 4 个 function 来建立一个新的 IRP: (1) IoBuildAsynch..
驱动外挂的原理及检测手段(自瞄篇)
热门推荐
一直代码狗的博客
07-13 2万+
驱动外挂的原理及检测手段 因为PatchGuard技术的存在导致游戏在驱动层的保护不能像以前那样通过SSDT Hook或者IDT Hook来做了,游戏厂家不能擅自关闭PatchGuard来强行Hook.这样留给驱动挂的空间就很大了 我将以一个自瞄挂的原理为例子展示驱动外挂的几种实现方式及检测手段 相同点 要想实现自瞄驱动挂基本上都是读取游戏数据然后直接操作鼠标,不同之处就是操纵鼠标的方式 下面是所有驱动挂的几个相同之处 相同点1 - 获取鼠标的驱动对象 一个自瞄驱动挂的实现首先必然需要获得鼠标的驱动对象,在
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值