问题现像如下图所示:(打开任务管理器时eyoorun.exe报错)
1.用工具OD附加到eyoorun上面,定位到崩溃的地方如下图所示:
程序在 "int
2e" 的时候,crash了。查看堆栈,是调用ZwCreateUserProcess的时候调用到这里的。那么问题的原因就很明显了
综合上述:
1.eyoorun的系统函数被HOOK了
2.HOOK的回调函数中没有正确处理(int
2e是老版本的ssdt函数进内核方法)。那么问题是谁干的这事情,它是怎么干的。
0x2: 我们先看下它是如何HOOK掉eyoorun的。常见的无非就是注入DLL,投递APC,跨进程写内存之类的。我们先用OD直接跑起一个程序,然后对ZwCreateUserProcess下了硬件写断点,等了一会,内存直接被改了,硬件断点并没有生效,有可能是OD的BUG(OD在多线程的硬件断点处理不太完善),于是我使用了CE的VEH功能再来一次,仍然没有效果。我们重新OD,然后把该进程的所有线程挂起,一会后,还是被改了。这就有些意外了。 环境下有一个cpu.exe,如果不运行这个程序,就不会出现eyoorun崩溃的问题。我简要的分析了一下这个程序,是一个隐藏的流量宝刷流量的程序,会不会是这个程序直接去调用WriteProcessMemory去写这些内存?我使用了api monitor来监控相关的api,
QueueUserAPC,ZwWriteVirtualMemory,ZwOpenProcess,CreateRemoteThread…. 并没有发现对易游的进程有所操作,这就说明有可能是间接做的,这就有些棘手了。
我写了一个驱动,在底层拦截所有跨进程写内存的操作。然后重现环境,等到eyoorun内存被改之后,我们再去寻找相关信息,这次找到了
Csrss.exe就是中间程序。
分析总结:
1.
Cpu.exe 注入csrss.exe, 2.
csrss.exe HOOK所有程序的相关api,(ZwCreateUserProcess还有许多…) 3.
eyoorun在任务管理器打开的时候会有个启动程序的操作
4.
crash
临时解决方法:用屏MD5值的方法将CPU.exe的md5值屏蔽掉不让它运行
文件信息(仅供参考):
文件: C:\Users\Administrator\Desktop\CPU.exe
大小: 1091072 字节
文件版本: 1.1.73.813
修改时间: 2016年11月2日, 8:57:27
MD5: F7D5C576DD4424E023A8200FFBF73891
SHA1: DF3B90FD46CEBCD67AC9E941F741B8D993C66FF8
CRC32: CF45D063
下面我们来看看流量宝到底是什么,如下图:
程序是个挂机刷量的,并找到了程序的来源(www.liuliangbao.com)。 目前还没有大面积发现这个东西引起的问题(怀疑网吧服务器被黑,添加了开机启动项)。 另外注册该网站,发现可以隐藏运行的客户端版本有8个,并且无一例MD5与我们提取到的一致,所以建议大家针对自己提取的程序用md5值工具查看本程序的md5值
如果分析得不对的地方,欢迎指正. |
