回帖：/>第十三个数组（1字节）ASCII码：39字符串："'"

第十四个数组（13字节）ASCII码：67, 58, 92, 67, 110, 100, 111, 109, 54, 46, 115, 121, 115字符串："C:Cndom6.sys"

第十五个数组（1字节）ASCII码：39字符串："'"

第十六个数组（1字节）ASCII码：34字符串："""

第十七个数组（1字节）ASCII码：32字符串：" "

这个函数在Windows Defender运行时，向Windows Defender排除列表添加两个路径：C:UsersPublicDocumentsC:Cndom6.sys最终执行的PowerShell命令：powershell.exe -Command "Add-MpPreference -ExclusionPath 'C:UsersPublicDocuments','C:Cndom6.sys'"这允许恶意软件在排除路径中运行而不被Windows Defender检测，是常见的恶意软件规避技术。函数会先调用"ISDEFENDERRUNNING"函数检查Defender是否运行（即MsMpEng.exe进程是否存在），只有在运行的情况下才会添加排除项。本地实测，当Windows Defender运行（即MsMpEng.exe进程存在）后执行样本成功复现该行为，反之无此行为，如下图所示：https://attach.52pojie.cn/forum/202602/11/173854rt1ggq4j1gz6rrge.pnghttps://attach.52pojie.cn/forum/202602/11/173913yheoei8oeh8oel93.png



B.) men.exe



SHA-256: 305a1c784db4e88267f1d35b914b6ce4702f2b1196c1cdf14c024d63d1d4871f该程序使用Themida保护器加壳，如下图所示：https://attach.52pojie.cn/forum/202602/11/173938p4j4z2jo8e88lofe.png

men.exe启动后会拉起C:UsersPublicDocumentsfunzip.exe，如下图所示：https://attach.52pojie.cn/forum/202602/11/173952xd9l9b5uqkjgf9nz.png

拉起的funzip.exe进程命令行为: C:UsersPublicDocumentsfunzip.exe x "C:UsersPublicDocumentsx86-Microsoft-Windowsdatatree.exe" -pServer8888 -o"C:UsersPublicDocumentsx86-Microsoft-Windowsdata" -y，即将tree.exe解压至x86-Microsoft-Windowsdata目录下，解压密码为"Server8888"，如下图所示：https://attach.52pojie.cn/forum/202602/11/174011rvxuhztxumvjg2ii.png

根据文件头信息 tree.exe实际为Zip加密压缩包，解压后可得到: KANG.exe Shell.log，如下图所示：https://attach.52pojie.cn/forum/202602/11/174024f9r0u6l6lzdsf71r.png

（根据文件头信息 Shell.log实际也为Zip加密压缩包，解压密码也为"Server8888"，解压后可得到: StartMenuExperienceHostker.exe WUDFCompanionHoste.exe log.dll，我们将在下文中进行分析）

men.exe拉起funzip.exe解压加密Zip压缩包tree.exe，创建、释放KANG.exe，如下图所示：https://attach.52pojie.cn/forum/202602/11/174036be5njtta37usj3kk.png

随后men.exe会寻找判断KANG.exe是否已经启动，并不断拉起KANG.exe，如下图所示：https://attach.52pojie.cn/forum/202602/11/174047bx9524k22z4l84kg.png

同时，观察到men.exe会尝试注入可读可执行内存至svchost.exe进程中，如下图所示：https://attach.52pojie.cn/forum/202602/11/174058nny99d3g9uuyknnr.png

随后，men.exe会释放并加载C:Cndom6.sys驱动（SHA-256: 8c12407a40eab287a8281be64665b1e72b0e91b2daf84030a1a15dc280e5dbf1; 签名者: "Beijing Tianshui Technology Co., Ltd."），如下图所示：https://attach.52pojie.cn/forum/202602/11/174216z47e94ie11lduum1.pnghttps://attach.52pojie.cn/forum/202602/11/174235gvz1syweuebz6vsf.jpg

该驱动使用InfinityHook技术实现系统内核API Hook，对于该驱动的分析将放在下文对于StartMenuExperienceHostker.exe的分析中。

C.) KANG.exe



SHA-256: 9ace6a1e4bee5834be38b4c2fd26780d1fcc18ea9d58224e31d6382c19e53296

首先我们在样本的主功能入口函数中看到，在Line 34-83，样本初始化v23这个列表，定义了25个后续需要终止的安全软件进程，主要包括：360系列（主要包括360安全卫士、360杀毒、360急救箱、360 Total Security等产品）：ZhuDongFangYu.exe、360tray.exe、360sd.exe、360rp.exe、360Tray.exe、360Safe.exe、360rps.exe、SuperKillller.exe、QHActiveDefense.exe、QHSafeTray.exe腾讯电脑管家：QMDL.exe、QMPersonalCenter.exe、QQPCPatch.exe、QQPCRealTimeSpeedup.exe、QQPCRTP.exe、QQPCTray.exe、QQRepair.exe金山毒霸：kxescore.exe、kxecenter.exe火绒互联网安全软件：HipsMain.exe、HipsTray.exe、HipsDaemon.exe联想电脑管家：LenovoTray.exe、LAVService.exeWindows Defender：MsMpEng.exe

随后，我们看到样本在Line 85从sub_14004BF20函数处获取到了一个设备句柄然后不断遍历进程、获取指定进程PID (th32ProcessID、v16为进程PID指针)，在Line 111通过DeviceIoControl向该设备发送控制码0xB822200C与进程PID(&v16)

如下图所示：https://attach.52pojie.cn/forum/202602/11/174255d5dyes5y1m5g31xu.png

我们进入sub_14004BF20函数，发现该函数在Line 62处理来自&unk_140029490的35400字节的数据(驱动程序文件)，在Line 64调用sub_14004C6D0函数加载驱动程序，如下图所示：https://attach.52pojie.cn/forum/202602/11/174310rwqwhwkbkwzw99n9.png

来自&unk_140029490的35400字节的数据(驱动程序文件)，具有MZ头和PE头，确认为样本实际释放和加载的STProcessMonitor Driver驱动程序(SHA-256: 70bcec00c215fe52779700f74e9bd669ff836f594df92381cbfb7ee0568e7a8b)，如下图所示：https://attach.52pojie.cn/forum/202602/11/174327wf91ckoukzpudsmj.png

本地实测，成功复现该加驱行为，如下图所示：https://attach.52pojie.cn/forum/202602/11/174349jymwtmmq64y8w16d.pnghttps://attach.52pojie.cn/forum/202602/11/174410mkiqyqt20qm5gm22.jpg

该驱动通过了WHQL认证，具有"Safetica Technologies s.r.o."与"Microsoft Windows Hardware Compatibility Publisher"颁发的数字签名，签名时间为‎2025‎年‎5‎月‎9‎日 11:43:46，相当新鲜，如下图所示：https://attach.52pojie.cn/forum/202602/11/174433ela5o7ksawobhpsm.pnghttps://attach.52pojie.cn/forum/202602/11/174437drsy8yaka40os81o.png

sub_