终章-天花板

最新推荐文章于 2025-04-18 22:27:29 发布
最新推荐文章于 2025-04-18 22:27:29 发布
阅读量361 收藏
点赞数
分类专栏: 恶意样本分析 windows inners 文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/pureman_mega/article/details/126159668
版权

   距离我最开始接触Equation Group的样本已经有3,4年了吧,分析这些样本在很大程度上促进了我对windows系统的了解;虽然我还是无法完成类似的作品,但是现在至少可以‘欣赏’一下。

加载

   这个样本前前后后分析了好久(大概一两年),中间有很长时间没有看,一直搁置着。打开ida后,马上就可以确定这是一个内核模块,最开始分析也没有得到什么有用的信息;直到前段时间,突然开了窍似的,有了一些发现。虽然这是一个内核驱动模块,但是从其入口函数来判断,它更像是一个内核的payload。其入口函数反汇编代码如下图所示:

   不难看出,start函数并不像正常的DriverEntry一样,处理DriverObject和RegistryPath两个函数。结合start内部实现可以知道,该模块是被外部程序加载进入内核然后调用的。可惜这个外部程序没有被放出来,这个就更厉害了。start函数根据第二个参数进行分发,前面两种大同小异,第一种多一个进程管理器;第三种类似于通过服务(service)的方式启动驱动程序。

   start函数中可以看出来它的加载程序在整个系统中执行的时机是非常早的,差不多可以算bootkit了吧。在上面的三种方案中,都会进行刺探来确定自己所处在的加载阶段,因为如果自己过早进入到内核中,而猎物(mup.sys,见参考2)还没有进场就不好了;这个时候通过注册回调来等待出场的机会,IoRegisterBootDriverReinitialization函数会类型为(Boot start)的驱动都加载完毕后,通知我登场。

   start函数中的ReflectiveLoadSelf的实现也是非常的细致的,代码量有点大,当时在这个地方一直没有整明白。其ReflectiveLoadSelf是支持seh的,具体实现类似参考1。

初始化

 进入内核后,start函数会根据参数2进行不同处理。重点看一下前面的两种,反射式加载完成自身镜像在内存中的迁移;之后开始模拟ZwLoadDriver的部分工作,创建DriverObejct并将其上报给驱动管理器。最后,等待系统通知Boot start类型的驱动加载完毕。

工作

 这个阶段的分析没有完整分析,逆向分析有点吃力。下面列出比较重要的信息:

   1,将数据地址寄生在mup.sys镜像的dos头中,多处修改。

   2,自身线程管理

   3,ndis protocol/miniport 管理,hook 各种Ndis****函数,接管整个网络接口

   4,设置镜像加载回调,拦截特定模块

    5,创建DeviceObject,设置MajorFunction,支持大量应用层接口

    6,很多地方都是没有文档化的,正向没有开发经验,分析起来太慢了,

    7,劫持第三方网卡驱动的接口,例如e1i65x64.sys(intel),

    8,这个工程应该就是天花板了。

    9,继续呢

       

 

样本下载地址:https://github.com/adamcaudill/EquationGroupLeak/blob/master/equation_drug/ntevtx64.sysc

参考1:​​​​​​​https://github.com/9176324/Shark/blob/master/Projects/Shark/Shark.c

参考2:

 

《Windows内核安全与驱动编程》-第十-磁盘的过滤学习-day1
WocW的博客
05-02 1602
目录磁盘的过滤10.1 磁盘过滤驱动的概念10.1.1 设备过滤和类过滤10.1.2 磁盘设备和磁盘卷设备过滤驱动10.1.3 注册表和磁盘卷设备过滤驱动10.2 具有还原功能的磁盘卷过滤驱动10.2.1 简介10.2.2 基本思想10.3 驱动分析10.3.1 DriverEntry 函数10.3.2 AddDevice 函数明日计划 磁盘的过滤 10.1 磁盘过滤驱动的概念 10.1.1 ...
<寒江独钓>Windows内核安全编程__具有还原功能的磁盘卷过滤驱动
The New Old Things
10-27 8360
磁盘过滤驱动的概念 1.设备过滤和类过滤 在之前的文里,我们已经介绍过滤的概念,所谓过滤技术就是在本来已有的设备栈中加入自己的一个设备。由于Windows向任何一个设备发送IRP请求都会首先发送给这个设备所在设备栈的最上层设备,然后再依次传递下去,这就使得加入的设备在目标设备之前获取Irp请求称为可能,这时候就可以加入自己的处理流程。在这里把插入设备栈的用户设备叫做过滤设备,建立这个设备并使
【Linux驱动设备开发详解】13.Linux块设备驱动
qq_38089448的博客
07-16 797
块设备的I/O方式相比字符设备存在较大不同,因而引入了request_queue,request、bio等一系列数据结构。在整个块设备的I/O操作中吗,贯穿始的就是"请求",块设备的I/O操作会排队和整合;而字符设备的I/O操作则是直接进行,不绕弯驱动的任务是处理请求,对请求的排队和整合由I/O调度算法解决,因此,块设备驱动的核心就是请求处理函数或"制造请求"函数。
驱动程序重新初始化
qq_41490873的博客
08-21 762
驱动程序加载后可以有两种方法重新初始化 1: IoRegisterDriverReinitialization 参数1:PDRIVER_OBJECT 参数2:回调函数 该函数可以系统正常运行时调用来重新初始化驱动 2:IoRegisterBootDriverReinitialzation 只会在系统引导时调用这个函数的回调 ...
Python破解BiliBili滑块验证码,完美避开人机识别
2301_76348171的博客
04-21 1431
else:raise Exception(“莫不是系统出现了问题?!”)else:raise Exception(“莫不是系统出现了问题?!”)
《加密与解密的三千年:一部人类对抗“信息裸奔”的战争史》机械密码时代
墨名棋妙的博客
03-26 895
蒸汽机的轰鸣声中,密码学从帝王权杖跌落凡尘,化作绅士手中的玫瑰、军官桌前的铁盒,以及特工衣襟下的微型密码本。👉 这句话揭示了密码战在战争中的核心作用,而在现代信息战中,加密技术依然是数据安全的基石。“当最后一台恩尼格玛机在1945年沉默,机械密码的辉煌随硝烟消散。下一,我们将踏入‘19世纪的工业革命,让密码学告别了“手工作坊”,进入标准化与机械化时代。——爱情、战争与谍报在齿轮的咬合中纠缠不清。
溪流里的星光:AI 迈入“体验纪元”的故事
最新发布
步子哥的博客
04-18 546
倘若机器也能做梦,那么它们的梦境必定来自与世界的每一次碰撞。
Upwork被动收入革命:从接单者到数字产品创造者
qq_61813593的博客
04-14 727
当95%的自由职业者还在为时薪$50拼命加班时,真正的顶尖玩家早已用“数字印钞机”实现“接单自由”——他们每份作品能卖出1000次,每个客户能续费10年,每套模板能裂变出6位数收益! 本文将手把手教你用“3层产品化漏斗”,将你的技能转化为自动生钱的数字资产,从此告别“手停口停”的噩梦!
What Happens to File Systems During System Boot
crunch的专栏
10-14 1443
What Happens to File Systems During System Boot  系统引导过程中,文件系统被初始化;特别是在I/O系统初始化过程中。I/O manager建立global file system queue以及初始化被OS loader和PnP Manager加载的文件系统filter driver。 system (OS) loader and
前方两万字高能预警!SMBGhost && SMBleed 漏洞深入研究
smellycat000的专栏
09-24 7204
聚焦源代码安全,网罗国内外最新资讯!本文作者 Strawberry@ QAX A-TEAM2020年3月11日,微软发布了115个漏洞的补丁程序和一个安全指南(禁用SMBv3压缩指...
IoRegisterDriverReinitialization Demo
songbei6的博客
03-31 526
#include <ntddk.h> VOID OnUnload(IN PDRIVER_OBJECT DriverObject) { DbgPrint("Enter OnUnload\n"); } DRIVER_REINITIALIZE Reinitialize; VOID Reinitialize( _In_ struct _DRIVER_OBJECT *Drive...
键盘驱动系列---JIURL键盘驱动 4
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-10 2079
6.2 初始化与注册表 在驱动的初始化中,注册表起着非常重要的作用。 6.2.1 重要认识     每台计算机的硬件配置可能是不同的,系统是如何知道需要为哪些硬件载入驱动?系统是如何知道要载入的驱动文件是哪个文件?答案是通过注册表,注册表中保存着这些信息。那么注册表中的这些信息是哪里来的?答案是在安装驱动的时候,安装程序放到注册表中的。 6.2.2 确定驱动载入顺序的基本知
windows内核情景分析---设备驱动
maomao171314的专栏
04-04 1915
设备驱动 设备栈:从上层到下层的顺序依次是:过滤设备、类设备、过滤设备、小端口设备【过、类、过滤、小端口】 驱动栈:因设备堆栈原因而建立起来的一种堆栈  老式驱动:指不提供AddDevice的驱动,又叫NT式驱动 Wdm驱动:指提供了AddDevice的驱动 驱动初始化:指IO管理器加载驱动后,调用驱动的DriverEntry、AddDevice函数 设备栈中上层设备与下层设备的绑定关
Windows驱动_文件系统过滤驱动之一
Z18_28_19的专栏
07-01 2372
突然的计划改变,又临时的打乱了我的计划,成熟的程序员,应该处事不惊,尽快的调整自己,感觉,目前公司的氛围不太好,太悠闲了,我应该趁着这个悠闲的时候,尽快的提高自己,继续努力。时刻的告诫自己,不要浮躁,厚积薄发,总有一天,我也会,破茧成蝶,飞向成功。                    接下来,我会用十篇左右的篇幅,介绍文件过滤驱动的开发的方方面面,最,通过一个完整的文件过滤驱动进行展示。
内核驱动隐藏【绕过PatchGuard】
WorryFree
05-17 3085
内核驱动隐藏【绕过PatchGuard】 心血来潮~测试隐藏驱动还不触发PG,看看有探讨的同学不~
遍历内核驱动模块
HXC_HUANG的博客
03-05 5608
PsLoadedModuleList是Windows加载的所有内核模块构成的链表的表头,利用它可以枚举所有这些模块的信息,下面是WRK中对PsLoadedModuleList的定义:LIST_ENTRYPsLoadedModuleList; 内核在加载驱动时,会为每一个驱动创建一个驱动对象(DRIVER_OBJECT),下面是驱动对象的数据结构:
<读书笔记>Windows内核安全——第六 磁盘过滤
一泓清水
05-17 1673
目标:完成一个磁盘卷设备的上层类过滤驱动,该过滤驱动的功能是实现对卷的还原,即开启该驱动的功能之后,对还原卷的写操作将只适用于当前,重启电脑后所写入的数据都将清零,类似于还原卡之类的功能。 1、磁盘卷设备 OK,根据节的主题。首先要知道什么是磁盘卷设备,根据《windows internals》一书中的讲解,Windows的存储结构自上而下分成以下各个部分,如图所示: (擦,一个图
piaoxue/feixue驱动程序分析
weixin_34413103的博客
10-22 382
首先是由于这个驱动是注册为在Boot Bus Extender组里的,所以在操作系统加载时,该驱动就会被加载这时会执行DriverReinitializationRoutine这个例程:; *************** S U B R O U T I N E ***************************************DriverReinitializationRoutin...
充气式天花板设计方案文档
资源摘要信息: "充气式天花板设计装置的行业文档" 在分析这份压缩文件之前,需要指出的是,该文件是一个特定于某个行业的文档,专注于充气式天花板的设计。该文件在工业设计、建筑、以及相关领域可能会有较大价值。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值