作者:MJ0011
icesword同驱动通讯时会将input buffer加密,下面是各版本的解密代码:
包括1.2, 1.18 , 1.2版本的中英文版本
unsigned char is_ddata_en[32] = {
0x10, 0x4F, 0xAC, 0x2D, 0x94, 0x97, 0x95, 0xEE, 0x93, 0x25, 0x8A, 0xB6, 0xD6, 0xBE, 0x49, 0x4D,
0x3F, 0x94, 0x1A, 0x91, 0x30, 0xC4, 0x7B, 0x08, 0x59, 0x38, 0x7C, 0x3B, 0x52, 0x40, 0xD2, 0xD2
};
阅读全文 »
作者:wuyanfeng
来源:驱动开发网(www.zndev.com)
icesword . exe 在执行的时候会放出一个驱动程序 ispubdrv . sys .
icesword . exe 装载 这个驱动,这个驱动安装后就不会卸载。直到系统重新启动。这可能是因为驱动中调用了
PsSetCreateThreadNotifyRoutine 函数 . 下面是这个函数在 ddk 中的介绍。
///////////////////////////////////////////////
PsSetCreateThreadNotifyRoutine registers a driver – supplied callback that is subsequently notified 阅读全文 »
来源:PJF的BLOG
原本打算让英文版积累点bug,过几天出中文版的。没想到近来折腾这、折腾那,出差刚回来没几天,又有一堆事往头上砸,有没搞错。
中途收到一些bug反映,但是基本都不是可重现的bug或根本不是bug。确认的一个bug是ADS转储只能存到已存在的文件中,很faint。
因为目前不能在这上面花时间,所以除了上面那个bug其它不作什么修改了,发布如下:
http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip
MD5: 0f6ebc9da1276baf45db9e5f2460284b
Tags: IceSword来源:安全焦点
作者:rhett (rhettxie_at_gmail.com)
估计想在icesword下隐藏文件的人有很多吧。今天我介绍一种方法。
先介绍一下icesword是如何查找文件的。基本原理就是自己构造一个irp出来,然后直接IoCallDriver发送到fsd。但是 icesword做了更多的工作。它直接读取ntfs.sys 和fastfat.sys,从pe文件格式的角度上计算出正确的fsd的dispatch routine地址,然后再call。而且icesword自己实现了一个IoCallDriver。所以一般的fsd hook是对付不了icesword的。
前段时间cardmagic公布了一种方法,hook IofCompleteRequest。然后在UserBuffer里处理要隐藏的文件。到目前位置,api 阅读全文 »
Tags: IceSword文章作者:xyzreg [E.S.T]
信息来源:邪恶八进制信息安全团队
IceSword 的驱动对其自身进程做了保护,使恶意程序终止不了他。IceSword没有用HOOK SSDT的方法,不过也没用什么太BT的方法,而是Inline Hook了NtOpenProcess、NtTerminateProcess几个函数,即修改函数前5个字节,jmp到他自定义处理函数例程里。
终止采用这类保护方法的进程,可以使用暴力的PspTerminateProcess方法,PspTerminateProcess函数未导出,需要我们自己穷举特征码搜索来定位,或者硬编码之。当然,我们还可以恢复IceSword的Inline hook,还原被IceSword挂钩过的NtOpenProcess、NtTermin 阅读全文 »
Tags: IceSword来源:PJF''s BLOG
内核文件操作发现了一个小bug,修正一下。
FileReg有一个搞恶的bug:因为测试filereg时用的是console程序,中文输入没问题,但是改成dll后输不了中文了,输入中文目录编码错误导致所有命令都错了。这个错误太***,对不住了。
请重新下载吧:
::URL::http://202.38.64.10/~jfpan/download/IceSword120_cn.zip
MD5 : cfb8514add1fbfb510b0084e837e561c
Tags: IceSword