rootkit分析：文件过滤驱动锁定主页与广告推广技术揭秘

"rootkit分析, 恶意推广链接, 浏览器主页锁定, 文件过滤驱动, 进程监控, 注册表服务, 热补防护, 系统信息获取, 驱动隐藏" 这篇分析文章探讨的是一个名为"usb4399.sys"的文件过滤驱动rootkit，其主要功能是锁定用户的浏览器主页并进行恶意广告推广。这个rootkit通过一系列技术手段来逃避安全软件的检测和用户的注意。 0x01 概述 此rootkit以隐藏自身的方式工作，其MD5哈希值为07D8B0397ED64EBFB4132F0644814986。它的主要任务是安装到系统驱动目录，监视并影响浏览器进程，以实现主页锁定和广告投放。 0x02 样本分析 样本执行的流程大致如下： 1. 解析内置的推广链接字符串，这些链接指向多个可能的广告网站。 2. 将自身复制到系统驱动目录并加载，以获取系统权限。 3. 生成指向淘宝、百度、京东等知名网站的.url快捷方式文件，这些文件的内容实际上是广告链接。 4. 监控浏览器进程的创建，当检测到目标浏览器启动时，修改其主页设置。 5. 在关机时，rootkit会在注册表中创建服务，使得系统启动时自动加载。 6. 通过修改驱动中的特定函数入口点，实施热补丁防护，使某些功能失效，防止被安全软件识别。 7. 收集系统信息，可能用于定制化攻击或进一步的恶意活动。 8. 修改驱动文件属性，将其设置为隐藏，以增加隐蔽性。 一、恶意推广链接 rootkit通过设置进程回调函数（PsSetCreateProcessNotifyRoutine）来监控浏览器进程的启动。一旦检测到目标浏览器，它会执行一系列操作，如释放驱动、生成广告.url文件，并修改浏览器的默认主页。广告链接指向一系列与同一域名相关的网站，目的是引导用户访问这些广告页面。 这个rootkit的行为不仅侵犯了用户的隐私，也对用户的在线体验造成了干扰。为了防范此类威胁，用户应定期更新操作系统和安全软件，同时保持良好的网络习惯，不随意点击不明链接。对于企业而言，应强化内部网络安全策略，防止类似rootkit的恶意软件入侵网络环境。