QQ登录

只需一步,快速开始

微信登录

扫一扫,访问微社区

黑客驿站

查看: 188|回复: 0

安全专家详细分析黑客病毒osx.crisis

[复制链接]

174

主题

174

帖子

528

积分

高级会员

Rank: 4

积分
528
发表于 2018-10-6 12:09:57 | 显示全部楼层 |阅读模式
黑客病毒osx.crisis相比一些朋友并不陌生,它曽经在网络上蹿红和deiver-macos-master病毒的函数名一模一样,甚至逻辑也基本一样,以下就是安全专家对osx.crisis病毒的详细分析。
   

1-150P910302Y28.png

1-150P910302Y28.png


   先从黑客病毒OSX rootkit入口函数mchook_start进行分析的话,主要就是注册字符端的设备,然后才是文件系统中创建的设备节点,属于常规的一种驱动入口行为,详细的情况如下图。
   

1-150P9103041P9.png

1-150P9103041P9.png


   其对应的字符设备转换表的话也如下:

1-150P910310S19.png

1-150P910310S19.png


  主IOCTL回函数往往也有3个,其中的话cdev_open和cdev_close是为空的,整个处理逻辑都包括在cdev_ioctl的函数中,详细的情况如下图:

1-150P910312T03.png

1-150P910312T03.png


  其次的话再看cdev_ioctl回调函数,这种函数的话存有各种潜伏隐藏的行为,尤其在mchook.h文件头中就定义了很多的cdev_ioctl中调用的函数,从这种函数明上也基本就能推测出rootkit包含有文件隐藏、进程隐藏和内核模块隐藏等功能,详细的如下图:
   

1-150P910314A45.png

1-150P910314A45.png


   在进程的隐藏中mac.cosx每个进程的上下文都能保存在proc结构中,在allproc链接表中也能保存着多有进程proc的结构指针,通过这种allproc链接表就能溢出相应的进程proc结构;还有该黑客病毒代码隐藏的进程是位于相应进程链接表和进程Hash表面都能进行移除掉,当发现没有其他hash表移除进程相关信息的时候,就能导致可通过ps-p pid命令来查找进程,详细的情况如下图:
   

1-150P9103200635.png

1-150P9103200635.png


   针对黑客病毒OSX rootkt内核模块的隐藏,早期的话是对leopard系统内核模块隐藏调用hide_kext_leopard函数,而现在的话就不再使用,就只是简单的遍历kmod_info内核模块的链接表结构,再找到相匹配的模块名这样就能在链接表中进行剔除,这样在习性kextstat命令的时候就馋不到隐藏的内核模块了,详细情况如下图:

1-150P910323c12.png

1-150P910323c12.png




    文章由HackDiD原创,转载请附链接

www.hackdid.com。站长负责技术培训QQ ,关于—培训介绍
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋| HACK DID

GMT+8, 2019-6-19 00:44 , Processed in 0.052677 second(s), 25 queries .

Powered by 柳月论坛

© 2010-2018

快速回复 返回顶部 返回列表