dnf木马专杀(改一个字节轻松免杀,从蓝屏电脑发现腾讯“暗云Ⅲ木马专杀”的坑爹技术)
杀毒厂商喜欢包装概念,每次病毒出来都是“史上、最、超级、无敌”的,这些天被冠以“史上最XXXX”的病毒名叫暗云Ⅲ,腾讯管家又是弹窗又是连发N条微博,让大家赶快用它的专杀工具。
一脸蒙圈的群众不知道这病毒厉害不厉害,反正好像每次都很厉害,有人就用了腾讯管家的暗云Ⅲ专杀,把电脑杀得一片蓝屏,恍惚间以为永恒之蓝又卷土重来。
于是一个新的名词诞生了:暗云之蓝。
其实刚开始我以为蓝屏是病毒搞的,这个锅腾讯管家不背。直到看到一份公告,据说是腾讯管家和某机构合作发的:
既然腾讯管家自曝可能出现蓝屏,那就看看为什么杀着毒电脑会蓝。作为曾经有三位数rank的白帽子,逆向一个专杀工具也颇费了不少功夫,终于搞清楚腾讯管家暗云Ⅲ木马专杀的原理:
暗云Ⅲ木马会挂内核钩子来保护MBR,还注册了DPC函数来保护钩子,相当于双层保护,不让杀毒软件读写MBR。
腾讯管家专杀的方案,首先在内核抹掉DPC函数,再摘掉钩子,然后应用层便可以读取检测和修复MBR了。
接下来,让人大跌眼镜的一幕出现了!
腾讯管家的木马专杀,把MBR前256个字节计算hash,然后和专杀工具硬编码内置的暗云Ⅲ的hash做比对,比对一致就判定为暗云Ⅲ,恢复系统默认MBR;如果比对不一致,就放过不管了。
有图有真相,腾讯管家木马专杀硬编码内置暗云Ⅲ的hash:
比对hash的代码:
至于蓝屏,原理也很简单,腾讯的专杀在查找DPC函数时引用了未公开变量,在不同版本系统里,或者更新了内核补丁的系统,或者Win10新版,都可能导致偏移改变,轻则查找DPC函数失败,重则直接蓝屏。当然,病毒也是杀不掉的。
更坑爹的是,只要暗云Ⅲ在MBR里改一个字节,腾讯专杀工具就抓瞎,到时只能在硬编码里再加上新的hash。PR稿我都想好了:史上最XXX木马暗云Ⅳ来袭,新一代腾讯专杀横空出世!
1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;
2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;
3.作者投稿可能会经我们编辑修改或补充。