GE集团品牌案例分析.ppt

GE集团品牌案例分析.pptgh0st远控软件采用驱动级RESSDT过主动
gh0st远控软件采用驱动级RESSDT过主动2010-05-30 16:45,svchost参数启动,替换系统服务的方式工作的,工作方式较为先进,美中不足的部分是没有进行驱动级或用户级隐藏,当然这部分可以添加进去。编码利用了VC的编程环境。一、环境配置编译环境一定要配置好:DDK+SDK+VC6,DDK用来编译sys文件的,SDK+VC6是用来编译工程的,配置部分比较简单,网上有很多资料,这里不再详述,有兴趣的朋友也可以查看DDK和SDK的相关帮助。二、特征码定位简述杀毒软件查杀木马的原理基本是根据特征查杀的,被查杀的部分我们称之为特征码,所以我们可以利用特征码定位工具MyCLL定位出病毒的特征码位置,定位工具原理是将被扫描木马分块,利用分段填充的方式,匹配杀软的特征值,找到杀软查杀病毒的位置。定位出特征码,如何反向找到源码中的对应位置呢?请看下面分析,三、二进制文件与源码定位之map文件利用map文件是二进制和源码之间对应的一个映射文件。我们假设根据第三步我们定位出了病毒的特征码: 000038 AA_ 00000002 100044 AA 00005F98_ 00000002第一步设置VC编译环境生成Map文件。在VC中,点击菜单"Project-Settings"选项页(或按下Alt+F7),选择C/C++选项卡,并在最下面的Project Options里面输入:/Zd,然后要点击Link选项卡,选中"Generate mapfile"复选框,并在最下面的Project Options里面输入:/mapinfo:lines,表示生成MAP文件时,加入行信息。设置完成。第二步编译VC工程,设置活动工程编译即可,这个不用说明。这个步骤完成后,在release(或debug)目录,()。第三步打开map文件(用UE或文本编辑器打开都行),形式如下:(begin)Timestamp is 488fcef2(Wed Jul 30 10:16:18 2008)Preferred load address is 10000000---1--(为方便说明,wrw添加)Start Length Name Class 0001:00000000 CODE 0001:00010a50 00000485 $x CODE 0002:00000000 000004 :00000010 00000004 $XIZ DATA 0003:00000020 DATA 0003:00001a70 00000688 DATA 0004:00000000 000000 DATA 0004:000000 b0 DATA--2---(为方便说明,wrw添加)Address Publics by Value Rva+Base Lib:Object 0001:00000000?******@******@XZ 10001000 0001:000000 d0?_******@******@Z 100010 d0 fi 0001:000000 d0?_******@******@Z 100010 d0 fi 0001:000000 f0?******@******@XZ 100010 f0 0001:000001 e0?******@******@******@Z 100011 e0 0001:00000240?******@******@QAE_******@Z 10001240 0001:000002 c0?******@******@AAE_NXZ 100012 c0 :00003310?******@******@******@Z 10004310 0001:00003320?******@******@AAE_******@Z 10004320 0001:00003440?******@******@AAE_******@Z 10004440 000