[病毒分析]WinDBG实战教学（1）

实验工具： 1、WinDBG 2、IDA 3、Dependency Walker

一、初始任务

我们将下载好的文件放到指定位置 C:\Windows\System32

使用WinGDB 连接至虚拟机（CSDN中有很多关于WinDBG的初始教学，大家可以先看看） 出现下面的界面表示连接成功：

二、开始分析

第一步，我们使用Dependency Walker 做静态分析

然后我们可以发现第一个DLL里面导入了这么几个函数

ControlService
CreateServiceA
OpenSCManagerA
OpenServiceA
StartServiceA

第二个DLL导入了这么几个函数

内容很多，但是我们要清楚，我们最最应该关注的是Create和Write

第二步，我们打开IDA查看String

在上图红框中的文件地址，告诉了我们，这个程序会去调用这个sys文件

第三步，分析sys文件

按照书上的说法，第一个函数KeTickCount是所有驱动都会包含的一个函数，这个可以忽略

然后第二个RtlCreateRegistryKey和第三个RtlWriteRegistryValue，看到这个Registry我们就大概知道这个操作是和注册表有关的操作，然后一个是Create一个是Write，所以这个是创建和写入注册表的操作

第四步，procmon检查 procmon的教学，我曾经发过一篇博客大家可以看看 Proncmon的基础教学，点击查看

我们自己查看Procmon给我们反馈的消息，我们从中找到几个核心的东西：

在程序的上部，我们可以看到：

在运行过了Lab10-01.exe之后，起了一个线程，也就是Thread Create，然后加载了一个DLL，然后创建了一个文件，C:\WINDOWS\system32\Lab10-01.EXE-04045C98.pf，然后RegOpenKey打开一个键，结果是Read：

这个操作改变了键值，改变了一个加密用的种子值

三、分析代码

我们还是回到IDA中

这里首先调用了一个OpenSCManagerA,这里是：在指定的计算机上建立与服务控制管理器的连接，并打开指定的服务控制管理器数据库。

如果失败，返回的NULL，然后这里用test测试了返回值，test指令是和and类似的，如果返回的是NULL，test之后，结果为0，则ZF=1，JNZ不会跳转，继续执行，走红线，然后就返回了

如果没有失败，我们继续往下走

往下走就是这里，之类调用了CreateServiceA这个函数，可以看出这个服务的名字就是Lab10-01，然后访问权限dwDesiredAccess是SERVICE_ALL_ACCESS，最后需要注意的就是lpBinaryPathName，这个的值是"C:\Windows\System32\Lab10-01.sys"，意味着服务起来的时候会去加载这个二进制文件，一样的，这个函数调用失败会返回NULL 在这里，如果函数失败，返回NULL，test之后，ZF=1，然后JNZ不会跳转，所以函数失败之后，会继续走红线，也就这写代码。

这里调用了OpenServiceA，如果上面这个OpenServiceA失败，然后会继续通过StartServiceA来开启这个服务

这些操作，只要一个成功了，就会直接一个JZ跳转然后返回了，如果失败，则继续往下尝试另外的函数

然后我们继续分析，这次我们分析Lab10-01.sys

我们找到驱动的入口点，然后查找

mov edi, edi
push ebp
mov ebp, esp

这些操作是在调用函数之前的初始化栈空间操作，如果你好好分析就会知道，这些操作会在栈上重新分配一些空间给要调用的函数，对我们分析来说，无关紧要，然后之后就调用了sub_10920，我们进去看看，这里执行的是驱动函数的一些必要操作。

然后我们退出来，看看下一个函数sub_10906

上图中出现了一个函数的赋值，sub_10486，然后我们进去看看就会发现这个

这个函数会调用RtlCreateRegistryKey这个内核函数来创建一个键在\Registry\Machine\SOFTWARE\Policies\Microsoft，然后设置为0

然后下一个调用是

再下面也是一样的\Registry\Machine\SOFTWARE\Policies\Microsoft\WindowsFire，然后写入的信息是wall\StandarProfile为0

入参是这么几个

然后我们看看这个Path的路径是多少，在这里的ebx显示是这样的，他被赋值为aRegistryMach_2之后就没被改变过了

所以这里的Path的值就是\Registry\Machine\SOFTWARE\Policies\Microsoft\WindowsFire，然后值为wall\DomainProfile, 0

然后ValueName的值是edi，在IDA里查找最后改变edi的值

最上面那里一个mov赋值之后就没有改变过了，然后这个ValueName的值是一个dw类型的，也就是E

总结一下这个函数做了什么： RtlWriteRegistryValue例程将调用方提供的数据以指定的值名称写入指定的相对路径。

这里会将\Registry\Machine\SOFTWARE\Policies\Microsoft\WindowsFire\wall\DomainProfile的值写入成45h

四、WinDBG调试

问题：用户态的程序调试了ControlService函数，用Windbg设置一个断点，来观察ControlService的调试导致内核执行了怎么样的操作？

我们先在IDA中找到ControlService

然后找到地址为401080，我们在OD里面加载断点

然后执行到这里

然后我们现在可以跳出虚拟机了，Windbg发送break然后暂停虚拟机的运行

我们已经暂停了虚拟机的执行，Windbg在等待我们的输入

我们输入!drvobj Lab10-01， 我在Win10物理机上做是有点慢，慢慢的才会出结果来，等一下

dt _DRIVER_OBJECT 81b7cf38

我们查看在0x034偏移DriverUnload(驱动程序卸载)的这个地方的值，这里有个DriverUnload的函数，这个偏移的地址是0xf8aae486

下面我们在这个地址这里设置一个断点，来查看这里发生了什么（这个断点用物理机上的WinDbg设置）

bp 81b7cf38

这里在和大家说明一下，系统为我们分配的地址每次都是不一样的，大家要根据自己的实际情况进行复现。 下一步，我们回到虚拟机中，F9运行OD。 这里我们的断点已经被命中，然后我们继续，这时候虚拟机也已经暂停了运行，下面我们执行单步调试，WinDbg的单步调试对话框输入p就可以了。

我们一直使用P指令，可以看到一个块领空的全部汇编语句，如下

push ecx
push ebx
push esi
move esi, dword ptr [Lab10_01+0x780 f(f8aae780)]
push edi
xor  edi, edi
push offset Lab10_01+0x6bc(f8aae6bc)
push edi
mov  dword ptr [ebp-4], edi
call esi

这个时候我们需要指导call的这个esi究竟是什么函数 使用指令

u esi

RtlCreateRegistryKey调用,大家可以百度一下看看官方是如何定义这个函数的

有两个入参，第一个入参是edi，即RelativeTo=edi，第二个是offset Lab10_01+0x6bc(f8aae6bc)，即Path=offset Lab10_01+0x6bc(f8aae6bc)

这里的RelativeTo的值为0，接下来我们看看Path的值，这里我们先用da命令 在地址f8aae6bc处的值的ASCII是\，当然，这样对查看单个地址上的数据比较有用，如果数据很多，要查看的话，我们用dc命令

这里的Path的值就是\Registry\Machine\SOFTWARE\Policies\Microsoft，然后后面就是全0的截断符了

然后下面又是一个相同的调用nt!RtlCreateRegistryKey，edi的值没有改变还是0，我们看看f7a54640的值

push offset Lab10_01+0x640(f7a54640)
push edi
call esi

注意这里下面被圈红的截断符(web渗透里面叫截断符’\00’，计算机里面叫文件结束符)，这里我们得出的Path是\Registry\Machine\SOFTWARE\Policies\Microsoft\WindowsFirewall

从字面意思应该可以大概知道这个注册表是关于防火墙的

继续下面的汇编代码 还是一个nt!RtlCreateRegistryKey调用，和上面两个片段类似

edi至今未变，我们看看Path的值

这里还未出现文件结束符，说明这里还有数据没有显示出来，我们跳到最后显示这个地址继续显示

我们可以得出这次调用的Path的值是\Registry\Machine\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile

这里的esi还是未变，我们看看Path的值，如上图

依旧是一次未能显示全，我们往下跳 可得出Path的值就是\Registry\Machine\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile

所以应该是调用了四次nt!RtlCreateRegistryKey(书中有误)，然后依次创建的键路径在如下所示

\Registry\Machine\SOFTWARE\Policies\Microsoft
\Registry\Machine\SOFTWARE\Policies\Microsoft\WindowsFirewall
\Registry\Machine\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
\Registry\Machine\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile

然后我们继续往下分析，下面的代码如下

mov  esi, dword ptr [Lab10_01+0x788(f8aae5a8)]
push 4
lea  eax,[ebp-4]
push eax
push 4
mov  edi,offset Lab10_01+0x4ee(f8aae50c)
push edi
push offset Lab10_01+0x5a8(f8aae788)
push 0
call esi

遇到一个call函数了，这里的第一句已经改变了esi，再也不是那个nt!RtlCreateRegistryKey

我们看看这个函数是什么

是nt!RtlWriteRegistryValue，向注册表里面写入值的内核函数

这里对我们来说有意义的参数，一个是Path，这个Path的值我们查查应该是\Registry\Machine\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile ，然后ValueName的值是EnableFirewall

然后下一个是ValueData的值是，这里的eax的值是[ebp-4]的值，所以我们找ebp-4的值

所以这个eax的值是0，这里的意思就是将EnableFirewall这个的值设置为了0，意义就是从内核禁止了Windows的防火墙功能

我们看看Path的值应该是\Registry\Machine\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile

然后ValueName的值是EnableFirewall 最后是ValueData的值是0

所以这里还是通过内核改变注册表\Registry\Machine\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile的键EnableFireawll为0来关闭防火墙

这个程序的整体思路：程序运行之后会启动一个服务，然后通过运行一个驱动创建修改注册表的值，来关闭防火墙。

注意：\Registry\Machine的开头很怪异，，并不是我们常见的HKEY的注册表。当从内核态王文注册表时，\Registry\Machine就等同于HKEY_LICAL_MACHINE。同时我们需要知道，EnableFirewall的值为0，表示禁用Windows XP的防火墙。

希望大家可以有所收获，windbg是一个非常强大但是入手很难的工具，共勉！