最近过年，都不消停

最近遇到了一个恶意软件，劫持主页，其实也不算劫持吧，技术也不算多高明，

 

下面整套分析流程全部在IDA内部做，没有作一丁点调试。

不是我不会调试，只不过我感觉，这玩艺挺简单的，还要上手来调试，有点失身份，有点大材小用。

 

注册minifilter实现目录隐藏

 

准备目标进程列表

 

准备三个回调，真正干活的

 

如果操作系统版本符合要求，那么直接开始ARK功能，这是最大亮点

 

ARK函数内部，干掉了3个回调

 

镜像加载回调摘取的部分，获取镜像加载回调列表，得到所有回调之后，判断是哪个模块里面的，

如果是目标模块里面的，直接干掉

 

进程创建回调部分，也是这样

 

尝试直接卸两个模块

 

主要功能如上，其实还有一些网络相关的功能，我没注意看。

 

然后开始说程序劫持主页的完整流程吧。

 

进程创建回调，判断自己进程是不是要干的，如果是把进程信息整理一下，放到一个LIST中，准备给后面用

 

镜像加载回调里面，判断当前进程是否是目标进程，直接去上面列表里面找，就是了

如果是目标进程，判断当前加载的是哪个dll，根据不同的dll，来决定当前执行到哪一步了

 

ntdll 模块加载的时候，直接把当前驱动内部的一个shellcode和内置的DLL放到目标进程里面

 

 插APC，启动shellcode

 

shellcode里面的工作，不用看别的，最后一个函数，其实就是在调用DLL的入口，

 

DLL代码，没怎么太详细地看，但是后面直接就是这个，很明白了

直接创建进程，之后就是exit了

 

最后，再说一下它的亮点，其实它摘掉那些回调，主要就是为了防止别的模块，再把自己启动的IE给劫走

 

OK，结束了，整体完成