查看: 3302|回复: 10
收起左侧

[讨论] 用“文件一致性验证工具”查找被TDSS感染的系统驱动文件--失败

[复制链接]
byxxdrls
头像被屏蔽
发表于 2010-10-4 22:30:51 | 显示全部楼层 |阅读模式
本帖最后由 byxxdrls 于 2010.10.4 22:33 编辑

样本:http://bbs.duba.net/thread-22303314-1-1.html

首先用A8A9.EXE备份DRIVERS目录下的驱动文件的MD5值(如果在中毒后用A8A9备份MD5值,同样可以找到有问题的文件)。运行病毒后用XUETR0.37检验病毒运行是否完成(即是否有对象劫持)。确认完成后,再用“文件一致性验证工具”检查,第一次检查速度很快,没发现异常文件;再次验证--出错;关掉程序重新运行,找到一个不一致的文件,如图:


重启到PE下用A8A9.EXE验证:

[a8a9-v1.3-0719-MD5-ccwm-hi.baidu.com/moodmusic]
------------
c:\windows\system32\drivers\AGPCPQ.SYS
Wrong
------------
OK!




重启后想到了卡巴的TDSS专杀,运行了一下:



经专杀处理后重启,再用XUETR0.37检查,系统不存在对象劫持。

kafan988
发表于 2010-10-5 00:15:10 | 显示全部楼层
嗯,好像是有点问题 啊
银砾石
发表于 2010-10-5 09:05:02 | 显示全部楼层
这个样本试了下,vbox虚拟机下好像没反应。。
猜测原因大概有2:
1.样本干扰了磁盘读取,造成底层读取不到正确的内容(包括隐藏了文件导致找不到),由于IsFileSame采用的是ring3读取,所以可能性是有的,解决的方法是加强IsFileSame的读功能,比如采用驱动进内核来读取或者采取样本不支持的文件系统(什么文件系统不支持需要测试,比如exfat可以试试)
2.样本未干扰常规读,也就是说,常规读取样本感染的驱动和底层读取的内容是一样的,这种情况下,虽然受感染的文件已经不是原本的文件,但由于IsFileSame只看常规和底层是否相同,所以仍然能够通过。
差不多是这两种的某种。
dl123100
发表于 2010-10-5 09:11:47 | 显示全部楼层
本帖最后由 dl123100 于 2010.10.5 09:17 编辑

肯定是不行的
看TDSS加载后XueTr显示的那些劫持就知道了 要绕在miniport设备上的劫持不是那么容易的 还有关机回写另外 TDSS写磁盘扇区自建了一个简易文件系统 不解密后用它Ring3接口读也是很麻烦的
byxxdrls
头像被屏蔽
 楼主| 发表于 2010-10-5 09:23:00 | 显示全部楼层
回复 3楼 银砾石  的帖子


    此样本在VPC上运行会蓝屏,我是在VM中运行的。但也不是每次都能运行成功的。
byxxdrls
头像被屏蔽
 楼主| 发表于 2010-10-5 12:04:05 | 显示全部楼层
本帖最后由 byxxdrls 于 2010.10.5 12:12 编辑

回复 3楼 银砾石  的帖子
我把“被感染的文件”从虚拟机中拖到实机中来验证,确实没被感染呢。难道病毒在开机启动后自我解毒了?只是强行关闭虚拟机电源也不能解决呢?也许是病毒给你复制出来的就是正常的?

   
恶意代码
发表于 2010-10-5 12:31:15 | 显示全部楼层
回复 6楼 byxxdrls  的帖子


    文件一致性验证工具,这个软件不是检查感染的吧
    如果我没理解错的话,举个例子吧
    我觉得这个软件主要是针对rootkit的,比如,一个文件,体积是500K,病毒入侵后,体积是600K,而病毒挂钩使文件显示的体积是500K,同时使一般软件只能读取前面500K的内容。而文件一致性验证工具呢,却可以读取到600K的内容,与用一般API读取出的内容不一样,所以就显示出这个文件的不正常。当然,文件一致性验证工具不一定是读取出这个软件的内容,可能是只读文件中的一部分。
    不过,文件一致性验证工具是RING3的,还是不如驱动级的好,而且,不支持WIN7
byxxdrls
头像被屏蔽
 楼主| 发表于 2010-10-5 12:47:50 | 显示全部楼层
回复 7楼 恶意代码  的帖子


    嗯,如果能校验MD5就好了
supjx
发表于 2010-10-5 13:08:30 | 显示全部楼层
真不知道,看不明白了
恶意代码
发表于 2010-10-5 17:47:14 | 显示全部楼层
回复 8楼 byxxdrls  的帖子


    用快照对比工具吧

http://bbs.kafan.cn/thread-642215-1-1.html

不过不是用MD5,但能看出文件是否被更改
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-28 02:03 , Processed in 0.129760 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表