()*+,- ./
()*+0-
avp.exe 一个是做为保护服务(avp.exe system), 我们已经说过,另一个用于用户界
面(avp.exe user)。服务需要完整的系统访问权限,这就是为什么要一 system 权
限运行。
我们看看 svchost.exe,这个进程是 inline hooking 的目标,事实上,在
0x7453b5dd 我们可以发现一个指向 wfapigp.dll 的跳转,引用到 0x74586218 地址。
我们可以
使用
Volatility
转储 pid
为 1560
的进程,
使用 IDA
快速反汇
编转储文
件,仔细
检查存在于 0x7453b5dd 的 hook。
继续查看 Volatility 生成的报告,我们可以发现 avp.exe 进程使用了不同的模块。
(如下图)
avp.exe
进程使用
不同的
hooking
技术,我
们尝试调
试以下模
块。
)
发生在 ntdll.dll 里的 hook,被 hook 的函数是 ZwProtectVirtualMemory,地址是
0x77015f18,使用 IDA 检查,我们可以确认存在于 0x71722066 的跳转,地址
0x71722066 存在于 hooking 模块 ushata.dll 之中。