作者声明:
　　本文提供一切资料及内容仅供学习,了解系统原理之用.
　　严禁用于其他任何商业活动或非法活动
　　否则造成的一切后果
　　本人及cnBeta皆不负任何相关责任!

　　深夜行动
　　
　　
　　11-23 凌晨0时50分
　　从瑞星的主站上得到该安装包kakasetup.exe
　　版本为:17, 0, 0, 8
　　用Peid看了下，是个Zip的自解包，解完后有用的文件有这么几个:
　　
　　
　　kakatool.exe 安装引导程序
　　RsBoot.sys 卡卡常驻驱动程序
　　kakanative.exe 卡卡native扫描程序
　　Ras.exe 卡卡主程序
　　RunOnce.exe Runonce的东东
　　
　　
　　此外其它的一些东西都无关紧要了
　　
　　我关心是他的新技术-------也就是说得很牛的:碎甲技术
　　
　　分析Kakatools.exe得知该安装程序将程序安装到指定目录后
　　
　　（中间要进行一大堆极为恶心的IE注册表修改，如果你开着HIPS，例如SSM 会让你点允许到手酸...）
　　
　　
　　会修改注册表的
　　HK_LM/SYSTEM/Current/ControlSet/Control/Service/GroupOrder'的List键值
　　
　　
　　在启动顺序中其中添加一个RsAntiSpyware组在System Reserved和Boot Bus Extender之间,然后建立驱动RsRoot.sys的服务项,服务组自然就是属于这个RsAntiSpyware,这样一来，RsRoot.sys就比所有Boot Bus Extender以及低于Boot Bus Extender级的驱动提前启动了
　　
　　
　　同时也会把KKnative.exe和kakatool.exe复制到c:/windows/system32/ 下
　　
　　
　　
　　这个KKnative也是有内容的,我们后面再说,先看看这个RsBoot.sys 也就是所谓碎甲技术 它的核心是什么,分析RsBoot.sys得知.
　　
　　
　　启动后该驱动会做以下动作:
　　
　　
　　1.使用函数PsSetLoadImageNotifyRoutine
　　
　　建立一个NotifyRoutine来获得所有驱动对象加载的消息
　　
　　NotifyRoutine会在Image加载时被执行，其中会对比驱动的特征
　　
　　
　　2.Inline hook函数MMLoadSystemImage
　　
　　修改MMLoadSystemImage的前5个字节为Call MyLoadSystemImage
　　
　　
　　MMLoadSystemImage是一个没有导出的未公开系统函数 只在OS CORE中作为内部例程被调用,主要作用就是将驱动对象加载到内核中(和公开的ZwLoadDriver不一样，它并不运行驱动对象)
　　
　　
　　
　　MyLoadSystemImage会替换原有的MMLoadSystemImage
　　对想要加载入内核的所有驱动
　　
　　进行分析
　　
　　得到PE文件里的TimeDateStamp和CheckSum两个值
　　同自己驱动中的一个特征库进行对比(特征库位于当前版本驱动的offset 768h到offset 078bh之间,至于如何定位我就不详细说了,免得被坏人利用),如果符合,则不允许加载这个驱动并返回失败,如果不符合.则照常加载此驱动.
　　
　　以上 就是所谓碎甲技术的全部内容,揭开之后 发现并无创新和神秘可言.
　　
　　
　　KKnative则是一个BootExecute执行的native程序
　　
　　
　　主要用于在Boot Execute时删除
　　
　　
　　??%Systemroot%system32kkdelay.def
　　
　　
　　这个文件中定义的延迟删除文件和注册表项
　　
　　
　　RunOnce也是一样
　　
　　
　　基本没什么看头，只要碎甲能解除，驱动能成功加载 这两个东东 以及它们的注册表项都可以被轻松解决
　　
　　
　　
　　
　　"解除"这套碎甲也十分的简单
　　
　　驱动及其他项目的注册表项没有任何保护
　　删除RsBoot.sys的驱动服务项目
　　
　　删除ServiceGroupOrder里的RsAntiSpyware里项目
　　
　　重启动后,碎甲解除.
　　
　　
　　
　　
　　我给它的评价 只能是：不过如此
　　
　　
　　关于更多的技术细节
　　
　　请访问 SCT(System Core Team) 官方网站
　　

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理，安装维护: