四入四出神网，解开神网的“注入”谜题！

lixihong10

最近一段时间常看到关于神网的内容，对于不信邪以及对自己规则有一定自信的我也决定试试。


防御模式：
SD 系统盘还原
HIPS 疯狗模式
防火墙 关闭
ESET 实时保护关闭
ESET WEB关闭


4月16下午四点多把，第一次进神网。
有点怂，就抓到了一个DLL 和一个 js脚本。


第二次进神网。


HIPS一路允许着走，没有看到一个修改 explorer进程内存的，ESET也没有提示。
PChunter直接白屏卡CPU了，然后看到如下这一幕。




当时我就懵逼了~

于是我只好结束 explorer 进程树，当explorer 重启的时候 出现如下灵异事件。

这剧本不对额，于是打开 autoruns 查看 资源管理器，结果没有发现任何异常。再次懵逼；
PChunter 炸了，只好搬出各种古董出来检查原因，都一无所获，只好重启电脑了~
然后 死活都进不去了~。。。。。


4月17下午 还是那个点。第三次进神网。
这次提前打开了 PChunter，结果神网刚发威就白屏了，不知道是PChunter不稳定，还是神网太吊~

用Autoruns 保存所有启动项，然后对比，结果还是没有任何收获。
非常震惊，因为我觉得Autoruns应该是最好的启动项管理软件。


4月18 中午。 第四次进神网。
有了之前的经验，再加上PChunter这次没挂，一路火花带闪电终于让我找到了原因。

explorer的模版中 “注入” 了 {9A88E103-A20A-4EA5-8636-C73B709A5BF8}\cmcfg32.dll

注册表搜索了一下，找到了位置。

这么久的争辩注入，结果确是 外壳程序扩展

当explorer运行的时候 就会加载进去，然后有了开始的 ”注入“。

至于 AUTORUNS 都读不出来我也是醉了。但是用COMODO 出的 AUTORUNS 却能读取到



神网附件：



第四次进神网视频下载：
链接: http://pan.baidu.com/s/1pKLUFyF 密码: 2h2w

85683213

qftest 发表于 2016-4-18 22:38
求LZ科普“外壳程序扩展”及实现原理，是否与“注入”无关？
主楼附件貌似加密样本，访问网页的时侯 ...

进入本地-->>溢出shellcode
自启-->外壳程序扩展
本来就跟注入无关(更精确地说，应是Code Injection(代码注入)，而不是DLL Injection(DLL注入))

另外，"外壳程序扩展"就像某些右键菜单项目使用注册表"载入"DLL

---

补充：
注册表中的Appinit_dlls和AppCertDLLs等全局自动载入 被广泛的称为DLL Injection

lixihong10

墨家小子 发表于 2016-4-19 20:41
是执行不是被注入呗？我对汉语言不是很精通

win7 64下面解压。

先导入 模拟.reg 注册表。

然后将 {9A88E103-A20A-4EA5-8636-C73B709A5BF8} 复制到 X:\ProgramData 里面。
@="D:\\ProgramData\\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\\cmcfg32.dll"
忘了 你还要修改下注册表 D盘改成你系统盘。

重新启动 explorer。

你再右键任何一个分区的时候看看有没有 注入 提示？
==============================分割线==============================

这个是情况，COMODO 和 ESET 都没有注入的提示，看看你的这款HIPS？ 和SSF？

==============================分割线==============================

这张是ESET 的文件扫描查杀的。


@深山红叶__  来试试 这个 “注入”

qftest

求LZ科普“外壳程序扩展”及实现原理，是否与“注入”无关？
主楼附件貌似加密样本，访问网页的时侯是如何进入本地的？

深山红叶__

卧槽，吵了这么久发现是shellexecutehook？hips没有弹窗吗？

lixihong10

qftest 发表于 2016-4-18 22:38
求LZ科普“外壳程序扩展”及实现原理，是否与“注入”无关？
主楼附件貌似加密样本，访问网页的时侯 ...

就相当于你右键 添加到压缩文件，这个就是外壳扩展，非注入。

等我上传视频~

lixihong10

深山红叶__ 发表于 2016-4-18 22:40
卧槽，吵了这么久发现是shellexecutehook？hips没有弹窗吗？

额，上次移除保护注册表了，忘了还原

纯乌龙~

qftest

lixihong10 发表于 2016-4-18 22:49
就相当于你右键 添加到压缩文件，这个就是外壳扩展，非注入。

等我上传视频~

了解了，刚跑去查了一堆资料看得眼花
@85683213 谢谢回复 如今才知道Code Injection和DLL Injection的区别

275751198

楼主献身精神永存
360杀毒实时防护日志

时间                    防护说明                                                                  处理结果                                                        文件
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
2016-04-18 22:52:22     恶意软件(HEUR/QVM40.1.Malware.Gen)MD5:62beae9e4e97e9cd2fcfe7c00c26d746    已删除此文件，如果您发现误删，可从隔离区恢复此文件。        d:\下载文件存储文件夹\123\新建文件夹\新建文件夹 (3)\神网附件\神网\{ffd300e2-8a75-40a9-91d5-6e116704cda2}\api-ms-win-system-amstream-l1-1-0.dll
2016-04-18 22:52:22     恶意软件(HEUR/QVM203.0.8C66.Malware.Gen)MD5:c093480e7f05e059a15ea95d2beebe8f已删除此文件，如果您发现误删，可从隔离区恢复此文件。        d:\下载文件存储文件夹\123\新建文件夹\新建文件夹 (3)\神网附件\神网\{9a88e103-a20a-4ea5-8636-c73b709a5bf8}\cmcfg32.dll
2016-04-18 22:52:21     恶意软件(HEUR/QVM20.1.Malware.Gen)MD5:d02a969d03be8a5fe35c9af20a9e700e    已删除此文件，如果您发现误删，可从隔离区恢复此文件。        d:\下载文件存储文件夹\123\新建文件夹\新建文件夹 (3)\神网附件\神网\pnsrypxsfiku.exe

深山红叶__

lixihong10 发表于 2016-4-18 22:50
额，上次移除保护注册表了，忘了还原

纯乌龙~

666~我还以为是和bypass ssf一样的注入
那个神网只有这种的吗？

lixihong10

深山红叶__ 发表于 2016-4-18 22:58
666~我还以为是和bypass ssf一样的注入
那个神网只有这种的吗？

目前抓的都是这样，其他的就不清楚了。