首页
论坛
课程
招聘
[分享]逆向整理包编译通过版鬼影3.0代码~
2011-8-18 09:26 69330

[分享]逆向整理包编译通过版鬼影3.0代码~

2011-8-18 09:26
69330
话说,样本真操蛋~到处是花~~那个下载体Alg.exe我就不逆了~
逆完在VMWARE测试发现很多bug,很多bug啊~
修改,修改去把bootloader改的bug不多了~,PmVirus里肉眼可见的也改了不少了~但是还是开机卡住~不过从IDA里看没问题~纠结有boot调试环境的人来再改改吧~
开源,发代码,是我的习惯~有实力改改做坏事的人请自己淡定~

加个参考资料链接
http://blog.csdn.net/gaa_ra/article/details/6589324
http://blog.csdn.net/gaa_ra/article/details/6593860
http://blog.csdn.net/gaa_ra/article/details/6594815

0.这是个对样本的逆向整理的版本,不要当作真的病毒,只包编译通过,其中去掉了原始鬼影样本中加密解密部分!!!!!

1.编译环境需要:
MASM32v10
WINDOWS 2003 sp1 IFS DDK
VS 2010 sp1
WinSDK 7.0A

2.编译方法:
a.按F7生成解决方案
b.到bin目录执行 makebin.bat
c.选中MakeVirusContent点重新生成
d.到bin目录执行 cmd.bat 然后在命令行下输入 MakeVirusContent.exe 需要命令行参数!!将你的下载者打包进VirusContent
e.选中ShadowGhost3点重新生成
f.bin目录里的shadowGhost3.exe就是最后的毒了!

3.编译环境目录:

Masm32v10 请安装在D:\
Windows 2003 sp1 ifs ddk用默认路径安装于C:\盘

4.有关卡机卡住的bug的说明
a.ProtectModeVirus的pmVirus.asm代码里可能有些问题,可能是bootloader.asm修改其中代码发生了问题

目录:
│  ShadowGhost3.sln
│  ShadowGhost3.vssscc
│  说明.txt
│  
├─bin
│  │  Bin2Hex.exe
│  │  bootload.bin
│  │  bootload.h
│  │  bootload.obj
│  │  cmd.bat
│  │  Driver.h
│  │  Driver.sys
│  │  makebin.bat
│  │  MakeVirusContent.exe
│  │  makeVirusHead.bat
│  │  obj2bin.exe
│  │  PmVirus.bin
│  │  PmVirus.h
│  │  PmVirus.obj
│  │  ShadowGhost3.exe
│  │  VirusContent.bin
│  │  VirusContent.h
│  │  
│  └─i386
│          Bin2Hex.exe
│          Driver.sys
│         
├─Bin2Hex
│      Bin2Hex.cpp
│      Bin2Hex.vcxproj
│      Bin2Hex.vcxproj.filters
│      Bin2Hex.vcxproj.user
│      Bin2Hex.vcxproj.vspscc
│      buildfre_wnet_x86.log
│      ddkbuild.bat
│      ddkbuild.cmd
│      MAKEFILE
│      mybuild.bat
│      readme.txt
│      SOURCES
│      
├─MakeVirusContent
│      MakeVirusContent.cpp
│      MakeVirusContent.vcxproj
│      MakeVirusContent.vcxproj.filters
│      MakeVirusContent.vcxproj.user
│      MakeVirusContent.vcxproj.vspscc
│      ReadMe.txt
│      stdafx.cpp
│      stdafx.h
│      targetver.h
│      
├─obj2bin
│      obj2bin.cpp
│      obj2bin.vcxproj
│      obj2bin.vcxproj.filters
│      obj2bin.vcxproj.user
│      obj2bin.vcxproj.vspscc
│      ReadMe.txt
│      stdafx.cpp
│      stdafx.h
│      targetver.h
│      
├─ProtectModeVirus
│      make.bat
│      PmVirus.asm
│      ProtectModeVirus.vcxproj
│      ProtectModeVirus.vcxproj.filters
│      ProtectModeVirus.vcxproj.user
│      ProtectModeVirus.vcxproj.vspscc
│      readme.txt
│      
├─ShadowGhost3
│      drvss.cpp
│      drvss.h
│      ntdll.h
│      ntdll.lib
│      ReadMe.txt
│      ShadowGhost3.cpp
│      ShadowGhost3.vcxproj
│      ShadowGhost3.vcxproj.filters
│      ShadowGhost3.vcxproj.user
│      ShadowGhost3.vcxproj.vspscc
│      stdafx.cpp
│      stdafx.h
│      targetver.h
│      
├─Sys
│  │  buildfre_wnet_x86.log
│  │  ddkbuild.bat
│  │  ddkbuild.cmd
│  │  Main.c
│  │  MAKEFILE
│  │  mybuild.bat
│  │  ntifs_48.h
│  │  readme.txt
│  │  SOURCES
│  │  stdafx.h
│  │  Sys.vcxproj
│  │  Sys.vcxproj.filters
│  │  Sys.vcxproj.user
│  │  Sys.vcxproj.vspscc
│  │  zwfunc.h
│  │  
│  ├─Debug
│  │      Sys.log
│  │      
│  ├─driver
│  │  └─i386
│  │          Driver.pdb
│  │          Driver.sys
│  │         
│  ├─objfre_wnet_x86
│  │  │  _objects.mac
│  │  │  
│  │  └─i386
│  │          main.obj
│  │         
│  └─Release
│          Sys.log
│         
└─VirusMBR
    │  bootload.asm
    │  make.bat
    │  readme.txt
    │  VirusMBR.vcxproj
    │  VirusMBR.vcxproj.filters
    │  VirusMBR.vcxproj.user
    │  VirusMBR.vcxproj.vspscc
    │  
    ├─Debug
    │      VirusMBR.log
    │      
    └─Release
            VirusMBR.log
看附件吧~~
无聊了~感冒了,心情不好看这个样本然后结合各种东西,逆来逆去 花了3天时间各种调bug~然后不想再弄下去了,所性放了~

感冒好了,不准备搞TDL4逆向包编译通过鸟,忙着干别的,四处求donate~

TDL的MBR部分很简单就是把ldr16 Load进来,然后把控制权交给ldr16~
然后ldr16会hook int13,然后通过hook判断Mz头pe头(根据MZ和PE头的一些数据判断版本号和系统x64与否)来实现文件替换(其实kdcom在硬盘上是连续存放的,用ldr32/ldr64来替换)和签名绕过
巧妙的地方是修改绕过签名的/mini启动模式参数修改~
然后ldr32/ldr64会弄出对应drv32/drv64到内核~
好了说完了,基本上TDL就是这么个功能~
至于真正有趣的地方是丫的drv部分实现了HiddenPartDisk在Win下挂接自己的硬盘对象和自定义的文件系统HiddenFS——IoCreateDevice这个函数用的很好强大~

[公告]请完善个人简历信息,好工作来找你!

上传的附件:
收藏
点赞0
打赏
分享
最新回复 (84)
雪    币: 161
活跃值: 活跃值 (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
lrenzhax 活跃值 2011-8-18 09:30
2
0
被楼主抢先了 ~~~嘿嘿 昨晚刚把加密代码还原~~~
雪    币: 8653
活跃值: 活跃值 (214)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
cvcvxk 活跃值 10 2011-8-18 09:32
3
0
下一步逆向TDL4吧~
雪    币: 289
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
XiaosanAiq 活跃值 2011-8-18 09:32
4
0
楼上可以也放一个上来。。。
雪    币: 8653
活跃值: 活跃值 (214)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
cvcvxk 活跃值 10 2011-8-18 09:35
5
0
话说TDL4那个负责安装的exe太操蛋了
雪    币: 466
活跃值: 活跃值 (11)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
fhurricane 活跃值 1 2011-8-18 09:41
6
0
LS的都是大牛啊~~~
雪    币: 481
活跃值: 活跃值 (15)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
goddkiller 活跃值 2011-8-18 09:44
7
0
占楼膜拜V大
雪    币: 210
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wobupahei 活跃值 2011-8-18 09:51
8
0
纯粹是为了来膜拜V校的
雪    币: 216
活跃值: 活跃值 (54)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
dayang 活跃值 2011-8-18 09:53
9
0
V大又发精了,强烈支持V大,期待TDL4开了!呵呵

这个好象不是鬼影,是外面说的那个魅影
雪    币: 158
活跃值: 活跃值 (11)
能力值: ( LV13,RANK:240 )
在线值:
发帖
回帖
粉丝
Cryin 活跃值 4 2011-8-18 09:54
10
0
来膜拜V校~~
雪    币: 36
活跃值: 活跃值 (29)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
skypismire 活跃值 1 2011-8-18 09:54
11
0

v大真v5阿
雪    币: 236
活跃值: 活跃值 (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
whitefirer 活跃值 1 2011-8-18 10:00
12
0
所性放了~膜拜V大
雪    币: 203
活跃值: 活跃值 (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
正happy 活跃值 1 2011-8-18 10:06
13
0
性放了.....
雪    币: 755
活跃值: 活跃值 (39)
能力值: ( LV12,RANK:310 )
在线值:
发帖
回帖
粉丝
古河 活跃值 6 2011-8-18 10:12
14
0
下载了,谢谢楼主的分享!
雪    币: 40
活跃值: 活跃值 (90)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
靴子 活跃值 2011-8-18 10:17
15
0
样本也发上来吧
雪    币: 8653
活跃值: 活跃值 (214)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
cvcvxk 活跃值 10 2011-8-18 10:34
16
0
样本不知去向了~
雪    币: 161
活跃值: 活跃值 (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
lrenzhax 活跃值 2011-8-18 10:46
17
0
没有 样本 没有时间 每天下班回家都7点 做个饭 吃个饭 洗个澡 都九点多了 11点半又要睡觉
鬼影 那个样本都在电脑里窝了好几个月了
雪    币: 8653
活跃值: 活跃值 (214)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
cvcvxk 活跃值 10 2011-8-18 12:05
18
0
me too~
每天时间太少了~我还有50本新书要看,还有一整个booksky的手打要效验~~
雪    币: 5790
活跃值: 活跃值 (82)
能力值: ( LV5,RANK:71 )
在线值:
发帖
回帖
粉丝
joker陈 活跃值 2011-8-18 12:28
20
0
坏人做到底吧
雪    币: 202
活跃值: 活跃值 (10)
能力值: ( LV12,RANK:270 )
在线值:
发帖
回帖
粉丝
QEver 活跃值 5 2011-8-18 13:05
21
0
排队来膜拜V大~~
雪    币: 388
活跃值: 活跃值 (92)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
wowocock 活跃值 1 2011-8-18 13:41
22
0
鬼影3那个比较简单,和魅影基本一个加载原理,就加了个保护的 驱动而已。TDL4的逆的很头痛,原理好搞,还原出代码来困难啊。
雪    币: 135
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
murrackde 活跃值 2011-8-18 14:08
23
0
不难吧 只要把它FS里的东西提取出来不就OK了么
雪    币: 8653
活跃值: 活跃值 (214)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
cvcvxk 活跃值 10 2011-8-18 15:16
24
0
FS提取出来了,话说主要是太多bin要逆~而且跟鬼影类似的各种硬的要命的硬编地址~
雪    币: 217
活跃值: 活跃值 (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
liein 活跃值 2011-8-18 16:45
25
0
好下来学习一下哈哈
雪    币: 143
活跃值: 活跃值 (16)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
szjohn 活跃值 1 2011-8-18 17:09
26
0
有一次看到V校  放了
雪    币: 49
活跃值: 活跃值 (14)
能力值: ( LV15,RANK:520 )
在线值:
发帖
回帖
粉丝
邓韬 活跃值 9 2011-8-18 17:21
27
0
哇塞,膜拜一下先!
雪    币: 293
活跃值: 活跃值 (14)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
yunsini 活跃值 2011-8-18 18:00
28
0
  无法学习,只能拜膜。
雪    币: 154
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
leeonegor 活跃值 2011-8-18 18:55
29
0
除了膜拜,我还能咋。
雪    币: 579
活跃值: 活跃值 (101)
能力值: (RANK:400 )
在线值:
发帖
回帖
粉丝
莫灰灰 活跃值 9 2011-8-18 18:56
30
0
不错不错,老V的代码还是要顶得。
雪    币: 283
活跃值: 活跃值 (10)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
wyeMIAkidC 活跃值 2011-8-18 19:35
31
0
真想看看V校电脑硬盘的 D:\DOTASE\
一定全是好东西……
雪    币: 404
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
moonspot 活跃值 2011-8-18 19:54
32
0
看起来好复杂啊
雪    币: 83
活跃值: 活跃值 (10)
能力值: ( LV13,RANK:220 )
在线值:
发帖
回帖
粉丝
instruder 活跃值 4 2011-8-18 20:31
33
0
求新书名  v大看点书 我们都有看看 膜拜
雪    币: 104
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
ChiChou 活跃值 2011-8-18 20:52
34
0
前来膜拜V大~~~
雪    币: 0
活跃值: 活跃值 (11)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
tihty 活跃值 2 2011-8-18 22:20
35
0
我也是V校的粉丝..
雪    币: 116
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
boainfall 活跃值 2011-8-18 22:38
36
0
支持,v大牛逼,第一篇精华出炉了
雪    币: 249
活跃值: 活跃值 (15)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
chimney 活跃值 3 2011-8-19 00:13
37
0
TDL4 邪恶的 kdcom
雪    币: 8653
活跃值: 活跃值 (214)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
cvcvxk 活跃值 10 2011-8-19 00:35
38
0
无法用windbg调试鸟~
雪    币: 413
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
孟贤 活跃值 2011-8-19 00:50
39
0
50本
兄弟说下书名,我等也来学习学习!
雪    币: 3800
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
paulbaby 活跃值 2011-8-19 01:00
40
0
专门来顶帖子的
雪    币: 135
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
murrackde 活跃值 2011-8-19 01:00
41
0
调试TDL4的KDCOM可以这样
首先你得有他的FS提取物,没有的话什么都是白说...
用dumpbin把ldr32的导出表搞成ldr32.def,再ldr32.lib...
然后你写个简单的驱动程序 把ldr32.lib加进去 在你的DriverEntry里这样:
__asm {db 0xCC}
KdDebuggerInitialize1();
这样就能用WinDBG跟了~
其实就是个调用内核DLL...
雪    币: 8653
活跃值: 活跃值 (214)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
cvcvxk 活跃值 10 2011-8-19 01:31
42
0
这样不优雅~类似TDL4的东西太多了,要调试很操蛋~
所以捏~我用softice了~
雪    币: 206
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
fireworld 活跃值 2011-8-19 08:53
43
0
优雅的vxk
雪    币: 88
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
gezz 活跃值 2011-8-19 09:57
44
0
迅速占楼,V大~
雪    币: 284
活跃值: 活跃值 (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
jerrynpc 活跃值 2011-8-19 11:24
45
0
膜拜v校
坐等TDL4
雪    币: 228
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
hehehero 活跃值 2011-8-19 12:12
46
0
这个挺好的,支持一下吧
雪    币: 97
活跃值: 活跃值 (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
xzchina 活跃值 1 2011-8-19 15:10
47
0
大肉鸡老师现身了。。
雪    币: 29
活跃值: 活跃值 (13)
能力值: ( LV4,RANK:45 )
在线值:
发帖
回帖
粉丝
君君寒 活跃值 2011-8-19 15:49
48
0
V校牛啊。。膜拜
雪    币: 67
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
thhacker 活跃值 2011-8-19 16:24
49
0
嘿嘿,说实话还是观望中,等有时间在入手
雪    币: 78
活跃值: 活跃值 (15)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
竹君 活跃值 5 2011-8-19 18:17
50
0
膜拜各位神牛 大水牛
游客
登录 | 注册 方可回帖
返回