注册账号-全站资源免费下载
您需要 登录 才可以下载或查看,没有账号?注册账号
x
一、PY得到样本And测试码
得到一个绘制的例子和一个易语言模块,首先把模块拖进某软件XXYY,于是得到了模块源码。 二、分析模块源码观察下图 不难发现这里加载了一个dll到自身。然后把导出函数地址给全局变量。
重点:仔细观察第一个红框。他对一个资源文件进行了解密。所以我们只要在他解密后将他的dll文件取出来。那么只需要一行代码。 编译运行,这样我们就取到了dll 三、分析DLL用工具查看dll的导出函数 将dll拖进od,跳转到InstallDWM函数。 看到这个我想丢进回收站!!!!
这条路走不通,呜呜呜,我太菜了。
思考一手。突然灵机一动。众所周知dwm绘制,那么绘制流程一定是在dwm里的。但是绘制的逻辑在刚才的绘制例子.e里看到了。所以嘿嘿,他们之间一定存在某种py交易。
但是里面全是vm,我又不想去分析他们怎么py的。所以我盲猜跨进程大概可能应该用了WriteProcessMemory. 四、动手干我直接一个驱动起步,把NtWriteVirtualMemory给他hook了 - NTSTATUS __stdcall MyWriteVirtualMemory(HANDLE ProcessHandle, PVOID BaseAddress, PVOID Buffer, SIZE_T NumberOfBytesToWrite, PSIZE_T NumberOfBytesWritten)
- {
- MyNtWriteVirtualMemory a = Ori_NtWriteVirtualMemory;
- PEPROCESS eprocess = IoGetCurrentProcess();
-
-
-
- KdPrint(("[xxx]Name:%s BaseAddress:%llX Buffer:%llX NumberOfBytesToWrite:%d NumberOfBytesWritten:%d\n", (const char*)PsGetProcessImageFileName(eprocess), BaseAddress, Buffer, NumberOfBytesToWrite, NumberOfBytesWritten));
- return a(ProcessHandle, BaseAddress, Buffer, NumberOfBytesToWrite, NumberOfBytesWritten);
- }
复制代码然后dbgview一开,驱动一加载,然后再绘制例子里填上Py来的测试码。
驱动加载前,必备shark,感谢飞总,让我这彩笔也能在win10上玩hook。
当开启绘制后,可以从上面的e语言例子看到,是在线程里不断绘制。
而我的dbgview也不断输出信息
被写的进程肯定就是dwm.exe了。从上面的信息可以观察出,主要就两个内容。一个是写好多好多东西,我猜测是绘制的内容。另一个地址是不会变的,所以我们可以用ce打开dwm.exe观察一下。 通过观察他的值在0 1 2三个值不停变动。所以我判断这是一个标志位,判断这个标志位做对应的操作(我猜的)。
所以只要找出访问他的地方就能得知他的绘制位置。 到了一个无模块的地址,这里就是绘制的位置了。然后我们再来看看他是怎么hook的。找到首地址,想办法返回到上一层。
通过红色箭头调用到无模块地址的。但是这个call会进入一个ntdll模块里的LdrpDispatchUserCallTarget函数里。我百度了一圈,不思其解。后来看了一眼汇编。搜嘎。他里面会jmp rax。所以他应该是改了rax。追一下,rax来源[rax+0x148],后面的操作我就不说了 从上图可以看到某个对象里的函数指针被改成了他的绘制地址,从而达到hook的目的。
|