昨天分析了下鬼影的驱动文件atixx.sys,分析了大概8、9成,学到了一些东西。
1.从这个木马里看到了一条IDA不认识的指令,mov eax,cr0它对应的机器码是0f20c0;
2.还有指令lock jmp,非常干扰IDA的分析;
3.另外返回使用jmp dword ptr [esp-4]会对动态调试造成影响
4.驱动文件执行一段加密一段,干扰静态分析。
5.结束杀软查找时不是通过传统的进程名来的,而是根据进程对应文件的公司名来的,而且匹配的时候不是字符串直接比较,而是将公司名hash后比较,这样分析者不容易得到这个木马到底会Anti哪些杀软。并且对某杀软进行了特殊处理,枚举句柄表,关闭杀软进程的一个事件,使其失效。
6.驱动结束进程也不简单,它从原始文件中找到PspTerminateThread等几个函数,将函数体读到内存中,自己处理重定位,防止这些函数被安全软件Hook,然后将杀软进程的线程一一结束。
7.它向explorer进程注入的"00000"这个dll,PE头是被破坏的,加大分析难度。
ps:这次被金山抢了风头,估计xxx等公司会不高兴了。
