« 一个JAVA-Flash聊天服务器 | 首页 | WinZip的漏洞 »
分类: 技术眼
2004年03月05日
[转载]3721驻留机制简单研究
3721似乎激起了太大的公愤,很多人已经把它当作病毒来对待了,特此转一篇关于3721驻留机制的文章
删除方法:在Windows启动前(例如,98下面退出到DOS)删除CnsMinKP*.sys文件。
注意:3721具有自恢复能力。某些关键文件被删除后,其它模块会试图从3721网站重新
下载。所以彻底删除前需要断开网络连接。
简单研究了一下3721的机制,写在这里,作为心得笔记吧。大部分收获都来自
Softice + 反汇编,不一定适用于某些版本。
1. CnsMin.dll的驻留方式
3721的核心文件:CnsMin.dll
通常存在于
通过注册表Run键值加载:Rundll32 < dir >\CnsMin.dll, Rundll32
CnsMin.dll提供了一个函数Rundll32供Rundll32.exe调用
但这个函数只是调用一个真正的驻留函数Rundll32Main()。
Rundll32Main()伪代码:
void Rundll32Main()
{
hMutex = CreateMutex("CNSMINMUTEX");
if(ERROR_ALREADY_EXISTS)
{
CloseHandle(hMutex);
exit;
}
if(IsWindowsNT()) {
SetProcessSecurityInfo();
}
else {
RegisterProcessAsService();
}
CheckVersion();
// CnsMinKP.sys/vxd 内核驱动程序,保护3721关键文件和注册表项不被删除
ContactWithCnsMinKPDriver();
// 关键的hook,负责将CnsMin.dll注入其他进程空间
InstallCBTHook();
// 关键的hook,负责将CnsMin.dll注入其他进程空间
InstallCallWndProcHook();
// CnsMinIO.dll 负责IE地址栏下方的提示
InitCnsMinIO();
// 一些注册表信息
InitRegistry();
// 保护CnsMin.dll的钩子不被卸载或抢先
InstallGuardTimer();
CreateMsgWindow();
// Message loop
while (true)
{
GetMessage(&msg);
TranslateMessage(&msg);
DispatchMessage(&msg);
}
}
CnsMin主要是通过WH_CBT和WH_CALLWNDPROC两个全局钩子注入IE进程空间的。注入
IE后,又安装了WH_KEYBOARD,WH_DEBUG等钩子。其中对3721实现其“实名转换”
有用的是WH_KEYBOARD。这是一个本地钩子。
CnsMin为了保证自己的优先级最高,用了一个定时器函数反复安装钩子,无疑会造成
系统性能的下降。
我曾经尝试过自己安装一个WH_DEBUG钩子阻止3721钩子的调用,确实起到了效果,
立即可以使3721失效。但这种方法3721仍然驻留IE进程内,属于指标不治本的方法。
强制结束Rundll32进程,可以暂时卸载3721的驻留代码。但CnsMin.dll通过COM注册已经
嵌入IE组件中,重新启动IE后,该进程又会重新启动。
2. 3721的防删除手段
文件系统驱动:CnsMinKP*.sys 针对NT/2000/XP有不同版本(98下面是CnsMinKP.vxd)
通常存在于
驱动程序,由Windows启动时加载。
该驱动程序过滤了对文件和注册表的删除操作。试图删除3721的关键文件和注册表项时,
直接返回一个TRUE,使Windows认为删除已经成功,但文件和注册表实际上还是在那里。
该驱动程序还有一个黑名单(保存在某个外部文件中),阻止Windows读取其他3721的
竞争对手的插件文件。
目前还没有找到停止该驱动的方法。
删除方法:在Windows启动前(例如,98下面退出到DOS)删除CnsMinKP*.sys文件。
注意:3721具有自恢复能力。某些关键文件被删除后,其它模块会试图从3721网站重新
下载。所以彻底删除前需要断开网络连接。
3. 针对目前版本的删除步骤:
a) 运行3721自己提供的删除程序。可以删掉大部分的文件。
b)从DOS启动,删除残存文件,如CnsMin.dll,CnsMinKP*.*等
可能的目录:Downloaded Program Files目录,Program Files\3721目录,drivers目录
c) 启动Windows,进入桌面时Windows会报告一些模块找不到的错误,不用理会,删除
注册表中3721的值。
可能的位置:HKEY_CURRENT_USER: Software\3721
HKEY_LOCAL_MACHINE: Windows\CurrentVersion\Run
SYSTEM\CurrentControlSet
另外还零散的藏了一些,用关键字查找。
--POPO转载自不知何处,特此鸣谢作者分享知识
Trackback Pings
本篇日志的回溯引用地址:
http://plod.popoever.com/acp630/mt-tb.cgi/165
Comments
#1889
彻底删除的办法是:
把硬盘拆下装入另外一台计算机上.用该计算机启动.这样一来就不会启动该死的3721程序.然后在DOS下删除染3721毒的硬盘上所有的Cns*.*文件.(有些文件在WINDOWS下看不到.)这样一来就能比较彻底地清除该死的3721程序.我已经成功地Posted by TOM at 2005年02月12日 11:42 | back to top
Post a comment
即便如此,也请遵纪守法,勿放厥辞
汝国如汝母,辱国如辱母,吾辈当自强
您的观点仅代表个人,与本站无关,望请自尊
Thanks for signing in, . Now you can comment. (sign out)
(If you haven't left a comment here before, you may need to be approved by the site owner before your comment will appear. Until then, it won't appear on the entry. Thanks for waiting.)
