chm文件执行任意代码

2014-11-19 Nie.Meining Debug

从网上下载了一个chm的样本,该样本运行后会自动打开计算器calc.exe。上传分析平台可以清楚看到样本行为:

 0.png

(详细结果链接:http://tcasoft.com/tcaCloudPlatform/report/toViewReport.action?id=58

阅读全文>>

评论(3) 浏览(8493)

CVE-2014-4114 变种样本分析

2014-10-27 Nie.Meining Debug

找到了一个 CVE-2014-4114 的变种样本,该样本内嵌恶意代码,可以直接本地触发执行,不需要再从远程共享服务器下载恶意代码。用UltraEdit打开样本可以找到内嵌的PE模块信息:

ue.jpg

将样本上传分析平台,并选择win7系统作为镜像展开分析,得到样本的行为关系图如下:

阅读全文>>

评论(0) 浏览(19000)

CVE-2014-4114样本分析

2014-10-17 Nie.Meining Debug

分析了一下这两天比较火的CVE-2014-4114,样本上传后分析平台立刻报警:

CVE-2014-4114_0.jpg

奇怪的是捕获到了异常代码,却没有发现后续行为,上网查了查漏洞描述,发现该漏洞应该是个逻辑漏洞,攻击成功的话很有可能不会出现异常代码。接着整理了一下后台分析数据,发现该异常来自某个OGL.DLL中的某处循环赋值:

CVE-2014-4114_1.jpg

阅读全文>>

评论(1) 浏览(19560)

从FileObject中取得文件完整路径

2014-8-21 Nie.Meining Coding

好久没更新了……最近太忙……

以前写的某物体,需要从FileObject中取得完整路径,方法是 FileObject->DeviceObject->Dirver_Letter + FileObject->RelatedFileObject->FileName + FileObject->FileName。最近发现这个物体取得的文件名中间偶尔会重复一截。

找出FileMon源码研究了一下,发现这一段:

codes.png

原来RelatedFileObject不能乱拼的……

评论(0) 浏览(18009)

内核呓语系列7 —— DPC与APC

2014-2-15 Nie.Meining Coding

今天接着讲中断后端。前面已经说过了,中断处理例程的优先级太高,有很多限制,尤其是不能让出处理器影响机器响应能力,因此,为了让中断例程处理尽可能少的的工作,Linux和Windows都采用了一些方法把次要工作延后到中断处理例程之外的中断后端去处理。Windows采用的方式是插入DPC,Linux中常用的方式有以下几种:
1. BH接口:最古老的方式。系统中总共只能有32个BH(用一个32位变量做mark),每个BH都是全局同步的(即使在多核环境中),因此很不灵活且效率很低,已经被取缔了;
2. task queues:内核定义了一堆task queue,驱动可以在合适的queue中注册他们的中断后端。依然不灵活、性能低,已取缔;
3. softirq: 一组静态定义(编译时静态分配)的中断后端,能在不同的处理器上并行执行(即使是两个相同类型的softirq),因此常用于对性能要求很高的情况。softirq不会被另一个softirq抢占,但会被中断处理例程抢占;
4. tasklet: 动态添加的中断后端,在softirq的基础上实现,能在不同的处理器上并行执行,但两个相同类型的tasklet不能并行执行。因此虽然性能略低于softirq,但性价比最高,是最常用的中断后端方式;
5. work queues:将任务排队到进程上下文中执行,每个cpu有一个event/n内核线程worker threads,复制处理排队的任务。这个跟Windows的work item机制(ExQueueWorkItem)很像。Windows系统中的System进程中有一个系统辅助线程池,池中的系统辅助线程专门处理排队的work item。因此有时候IRQL过高时,可以将任务以work item的形式排队给系统辅助线程在PASSIVE_LEVEL上执行。

阅读全文>>

评论(0) 浏览(1312)

Powered by emlog