吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

搜索
查看: 17605|回复: 42

[PC样本分析] 钉钉软件API HOOK了Explorer!

  [复制链接]
JuncoJet 发表于 2019-5-17 09:37
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
本帖最后由 JuncoJet 于 2019-5-17 09:41 编辑

Image 398.jpg

使用dbgView时无意中发现了一句话,第一反应卧槽中病毒了?
用任务管理器,查看PID为1304的进程,是个Explorer.exe,真是越看越像。
然后我用CE(Cheat Engine)搜索内存字符串,得到了下面的地址

Image 399.jpg

看到是一个ShellExtension_x64.dll模块,然后我们用PCHunter看一下这个模块的地址

Image 397.jpg

Image 403.jpg

竟然是钉钉,他想搞什么?我们继续往下分析
我们用PCHunter检测应用层钩子(图片已丢失),共有3处钩子,两处的跳转地址一致,然后使用CE反汇编地址

Image 400.jpg

Image 401.jpg

Image 402.jpg

上面这个Hook只是判断是否为空,不为空就跳转,作用不明(难道是修正系统的BUG?)
使用同样方法我们反汇编出另外两个Hook的跳转地址

Image 404.jpg

使用IDA查看导出表时觉得眼熟,是个典型的ActiveX DLL,我们使用ResHacker得到他的注册表地址。还有他的大致用途。HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers
用途目测是同步文件图标使用,而事实上反汇编上面地址也证实了都是图标操作的API,但是由于不正当处理(貌似是有BUG)导致作者的电脑如下图

Image 405.jpg

然后使用Regsvr32 /u 反注册这个DLL

Image 406.jpg

重启Explorer.exe进程,一切正常。
钉钉采用的是inline hook,如果同有哪款软件和他一样inline hook同样的地址就可能产生异常,这种不安全的做法。竟然还有签名!我只能说你牛

免费评分

参与人数 10吾爱币 +15 热心值 +8 收起 理由
q5269174 + 1 用心讨论,共获提升!
willJ + 6 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
www.52pojie.cn + 1 + 1 谁丁丁大谁说了算
笙若 + 1 + 1 谢谢@Thanks!
mix + 1 我很赞同!
qwer921988973 + 2 + 1 谢谢@Thanks!
antclt + 1 + 1 用心讨论,共获提升!
huangcy987 + 1 + 1 用心讨论,共获提升!
躲在角落看繁华 + 1 用心讨论,共获提升!
Thefirst1 + 1 + 1 我很赞同!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

躲在角落看繁华 发表于 2019-5-17 09:49
看到事关钉钉,立马进来瞅瞅。。。。。。看完全文,这是钉钉在用危险方式进行基础操作吗?架了个高射炮写着格杀勿论,结果就用来打个蚊子?
 楼主| JuncoJet 发表于 2020-3-3 10:24
bushadie 发表于 2020-3-3 09:36
有没有人遇到这种情况啊,本来用得好好的,突然来了强制人脸识别
重新安装什么的都没有
钉钉版本4.7.30 钉 ...

钉钉阿里是一家,推广个扫脸很正常嘛
wadsq1081 发表于 2019-5-17 09:55
普桑尼克2018 发表于 2019-5-17 10:00
直接 帮顶了   一起  影视区
勿空 发表于 2019-5-17 10:17
吾爱吧全是高手
goldli 发表于 2019-5-17 10:26
厉害。。条理清晰。
young24 发表于 2019-5-17 10:40
感谢分享
丶情兽小奴 发表于 2019-5-17 11:13
咱也看不懂,咱也不敢说,就这样默默的看着大佬
simon21 发表于 2019-5-17 11:22
恩,这个危害大吗?!?很多人在用啊!!
Portos 发表于 2019-5-17 11:54
感谢分享
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2020-6-6 23:03

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表