围绕SwapContext的一点代码

最新推荐文章于 2022-08-21 12:50:09 发布
最新推荐文章于 2022-08-21 12:50:09 发布
阅读量986 收藏
点赞数 1
分类专栏: 驱动开发 代码 文章标签: byte function thread hook c 测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jbwd1/article/details/7380761
版权 
 
这次的胡乱探究原因在于看到了一个08年的帖子:

· 标 题:HOOK SwapContext 枚举隐藏进程(学习笔记4)

· 作 者:bzhkl

· 时 间:2008-12-11 12:01

· 链 接:http://bbs.pediy.com/showthread.php?t=78464

都是很老的东西了,可惜很菜才开始关注

这篇帖子讲了HOOK SwapContext 枚举隐藏进程的方法

下面是我虚拟机的WIN XP SP3  调试的代码:

/*********************************************************************

nt!KiSwapContext:

8054696c 83ec10          sub     esp,10h

8054696f 895c240c        mov     dword ptr [esp+0Ch],ebx

80546973 89742408        mov     dword ptr [esp+8],esi

80546977 897c2404        mov     dword ptr [esp+4],edi

8054697b 892c24          mov     dword ptr [esp],ebp

8054697e 648b1d1c000000  mov     ebx,dword ptr fs:[1Ch]

80546985 8bf1            mov     esi,ecx                       //自己修改处

80546987 8bbb24010000    mov     edi,dword ptr [ebx+124h]

8054698d 89b324010000    mov     dword ptr [ebx+124h],esi

80546993 8a4f58          mov     cl,byte ptr [edi+58h]

80546996 e8f5000000      call    nt!SwapContext (80546a90)     //作者修改处

8054699b 8b2c24          mov     ebp,dword ptr [esp];

8054699e 8b7c2404        mov     edi,dword ptr [esp+4]

805469a2 8b742408        mov     esi,dword ptr [esp+8]

805469a6 8b5c240c        mov     ebx,dword ptr [esp+0Ch]

805469aa 83c410          add     esp,10h

805469ad c3              ret

805469ae 8bff            mov     edi,edi

/**********************************************************************/

作者就是在 0x80546996 地址处修改的CALL  XXXXX  的  XXXXX  使之先调用自己的FAKE函数,在Fake函数里得到换进换出的线程信息,进而得到进程信息。

所以想要试试能不能绕过这种方法,顺便可以增进inline hook以及堆栈平衡的理解

于是,第一次尝试:

作者是通过4号线程(本机)的KernelStack参数得到的SwapContext 的返回地址进而修改,于是打算直接绕过这里的CALL,由于测试中修改5个字节的JMP老是不对,后面指令碎屑填充nop会被认为成这样:jmp  9090:XXXXXXXX,基础有限不知为啥??于是改为了绝对跳转,在这修改

80546985 8bf1            mov     esi,ecx 

Fake函数:

__declspec (naked) VOID Fake_Function()

{

_asm

{

mov     esi,ecx                  //2 Byte

    mov     edi,dword ptr [ebx+124h] //6 Byte

        mov     dword ptr [ebx+124h],esi //6  Byte

        mov     cl,byte ptr [edi+58h]    //3  Byte

}

_asm

{

     _emit 0x90     //CALL SwapContext

         _emit 0x90

         _emit 0x90

         _emit 0x90

_emit 0x90

_emit 0x90     //JMP  BACK

         _emit 0x90

         _emit 0x90

         _emit 0x90

         _emit 0x90  

         _emit 0x90  

         _emit 0x90  

}

}

又想到如果有人在SawpContext开头做了HOOK,不就不行了么,于是又绕过了SawpContext的开头,流程:KiSwapContext--(JMP)---Fake_Function---(CALL)--Fake_SwapContext----(JMP TO)----SwapContext+14处,继续执行---(函数返回)---Fake_Function---(JMP)---KiSwapContext

_declspec (naked) VOID Fake_SwapContext()

{

_asm//14   BYTE

{

or      cl,cl

mov     byte ptr es:[esi+2Dh],2

pushfd

lea     ecx,[ebx+540h]

}

_asm

{

_emit 0x90  //jmp          Fake_SwapContext----SwapContext+0x14

        _emit 0x90

        _emit 0x90

        _emit 0x90

        _emit 0x90  

        _emit 0x90  

        _emit 0x90  

}

}

结果,居然不行。。。

照样可以得到进程信息,当时就郁闷了,结果用WINDBG查看,发现  自己的  CALL   SwapContext 被   替换成了他的,也就是说  他得到的  KernelStack  是我的CALL  Fake_SwapContext的返回地址。。。。KernelStack被修改了。。。。

基础太烂,都不知道KernelStack这个内核栈调用的开始是干嘛的,于是又在  CALL  Fake_SwapContext  前面加了一个CALL (一个空函数) 不行。。。。改为  在后面加一个CALL  还是不行。。。检测程序都能正确定位CALL    SwapContext   地址然后替换。。。。

查看SwapContext的具体实现发现,有这么一处:

80546ae0 fa              cli

80546ae1 896728          mov     dword ptr [edi+28h],esp

这里将栈指针存储到了线程的KernelStack,怪不得老能被他正确定位。。

于是,第二次尝试

在原有第一次基础上,在SwapContext函数的

80546ada 8a4e2c          mov     cl,byte ptr [esi+2Ch]    //这里跳走

80546add 884b50          mov     byte ptr [ebx+50h],cl

80546ae0 fa              cli

80546ae1 896728          mov     dword ptr [edi+28h],esp

80546ae4 8b4618          mov     eax,dword ptr [esi+18h]   //跳回这里

80546ae7 8b4e1c          mov     ecx,dword ptr [esi+1Ch]

跳转到自己的函数,修改esp的值,当时想就只是修改了线程的KernelStack的值,之后又恢复了esp的值,继续执行SwapContext后边的指令( mov     eax,dword ptr [esi+18h]   //跳回这里),应该可以吧...结果蓝的不成样子,完全不知道什么错误

还发现

u  KiSwapContext

得到的结果完全不同于原始的,第一条指令就不同。。我就纳闷了,KiSwapContext函数怎么会被改掉????

于是,第三次尝试

还是第一次这个流程

    流程:KiSwapContext--(JMP)---Fake_Function---(CALL)--Fake_SwapContext----(JMP TO)----SwapContext+14处,继续执行---(函数返回)---Fake_Function---(JMP)---KiSwapContext

    但是会在Fake_Function开始即判断接下来自己的   CALL  Fake_SwapContext有没有被修改,如果没有,继续走这个流程,如果被修改了,则跳回

80546996 e8f5000000      call    nt!SwapContext (80546a90)    

继续执行,不走这个流程了,心想这样应该可以了吧。。。。

经过测试成功!

修改如下:

#include <ntddk.h>

#define LOCKEDCODE code_seg()

ULONG RealSwapContextOffset;

ULONG FixAddr;//函数KiSwapContext修改处的地址

ULONG SwapContextAddr;

ULONG NextAddr;//KiSwapContext  CALL 处的下一条指令地址

ULONG GoBackAddr;

ULONG CallAddr;//CALL Fake_Swap处的地址

extern KIRQL Irql;

extern ULONG g_uCr0;

ULONG NewCallOffset;//CALL新的偏移

PETHREAD Thread;

VOID Fake_SwapContext();

VOID Fake_Stack();

BYTE Call_To_SwapContext[5]={0xE8,0,0,0,0};

BYTE Jmp_To_KiSwapContext[7] = {0xEA, 0, 0, 0, 0, 0x08, 0x00 };

BYTE Jmp_To_SwapContext[7] = {0xEA, 0, 0, 0, 0, 0x08, 0x00 };

BYTE JNZ_JMP[6]={0x0f,0x85, 0, 0, 0, 0};BYTE EditCode[8]={0xEA,0,0,0,0,0x08,0x00,0x90};

BYTE EditCode1[1]={0x90};

NTKERNELAPI

NTSTATUS

PsLookupThreadByThreadId (

    IN PVOID        UniqueThreadId,

    OUT PETHREAD    *Thread

);

ULONG GetRealSwapContextOffset()

{

ULONG status;

ULONG Off; status=PsLookupThreadByThreadId((PVOID)8, &(PETHREAD)Thread);//win xp sp3

DbgPrint("Thread地址:%x\n",Thread);

if(NT_SUCCESS(status))

{

if(MmIsAddressValid(Thread))

{

NextAddr = *(PULONG)((ULONG)Thread+0x028 );

}

if(MmIsAddressValid(NextAddr+8))

{

_asm

{

push eax

mov eax,NextAddr

add eax,8

mov eax,[eax]

mov NextAddr,eax;

pop eax

}

DbgPrint("NextAddr:%x\n",NextAddr);

}

}

else

{

return 0;

}

_asm

{

mov eax,NextAddr

    sub eax,5

mov FixAddr,eax

mov edx,[eax+1]

push edx

pop Off

}

DbgPrint("FixAddr:%x\n",FixAddr);

DbgPrint("偏移:%x\n",Off);

SwapContextAddr=Off+NextAddr;

DbgPrint("SwapContext地址:%x\n",SwapContextAddr);

return Off;

}

__declspec (naked) VOID Fake_Function()

{

_asm

{

mov     esi,ecx                  //2 BYTE

    mov     edi,dword ptr [ebx+124h] //6 BYTE

        mov     dword ptr [ebx+124h],esi //6 BYTE

        mov     cl,byte ptr [edi+58h]    //3 BYTE

}//17 BYTE   对抗内核栈Patch

_asm

{

push ebx                         //1 BYTE

mov ebx,Fake_Function            //5 BYTE

add ebx,55                       //3 BYTE

mov ebx,[ebx]                    //2 BYTE

mov CallAddr,ebx                 //6 BYTE

pop ebx                          //1 BYTE

}//38

_asm

{

push eax                              //1 BYTE

mov eax,CallAddr                      //5 BYTE

cmp eax,NewCallOffset                 //6 BYTE

pop eax                               //1 BYTE

}//48

_asm

{

_emit 0x90  // 这个填充 jnz   //跳转到?KiSwapContext

        _emit 0x90

        _emit 0x90

        _emit 0x90

        _emit 0x90  //绝对地址

        _emit 0x90  

}//54

_asm

{

_emit 0x90  // 这个填充CALL   e8 xxxxxxxx 

        _emit 0x90

        _emit 0x90

        _emit 0x90

_emit 0x90

_emit 0x90  // 这个填充 jmp   //跳转到  KiSwapContext

        _emit 0x90

        _emit 0x90

        _emit 0x90

        _emit 0x90  //绝对地址

        _emit 0x90  

        _emit 0x90

}

}

VOID StartHookKiSwapContext()

{

ULONG uAttr;

ULONG uTemp,uTemp1;

ULONG NewCallOffset1;

RealSwapContextOffset=GetRealSwapContextOffset();

uTemp=(ULONG*)((BYTE*)Fake_Function+54);

NewCallOffset=(ULONG)Fake_SwapContext-uTemp-5;//Fake_Function----Fake_SwapContext

NewCallOffset1=(ULONG*)((BYTE*)SwapContextAddr+14);

DbgPrint("uTemp:%x\n",uTemp);

DbgPrint("NewCallOffset1:%x\n",NewCallOffset1);

DbgPrint("NewCallOffset:%x\n",NewCallOffset);

_asm

    {

        push eax;

        mov eax, cr0;

        mov uAttr, eax;

        and eax, 0FFFEFFFFh;

        mov cr0, eax;

        pop eax;

        cli

    }

    g_uCr0 = uAttr;

    //提升IRQL中断级

    //Irql=KeRaiseIrqlToDpcLevel();

*(ULONG*)(EditCode+1)=(ULONG*)Fake_Function;// KiSwapContext----Fake_Function

*((ULONG*)(Call_To_SwapContext + 1)) =NewCallOffset;//填充CALL指令

*((ULONG*)(Jmp_To_KiSwapContext + 1)) = (ULONG)((BYTE*)FixAddr+5);//填充JMP

*((ULONG*)(Jmp_To_SwapContext + 1)) = NewCallOffset1;

CallAddr=*(ULONG*)((BYTE*)Fake_Function+55);   //CALL   Fake_SwapContext    *(PULONG)CallAddr==(PULONG)Fake_SwapContext

*((ULONG*)(JNZ_JMP + 2)) = (ULONG)((BYTE*)FixAddr-1)-(ULONG)(((BYTE*)Fake_Function+48))-5;

RtlCopyMemory((BYTE*)Fake_Function+ 48,JNZ_JMP,6);

RtlCopyMemory((BYTE*)Fake_Function+ 54,Call_To_SwapContext,5); //Fake_Function----Fake_SwapContext     

RtlCopyMemory((BYTE*)Fake_SwapContext+14,Jmp_To_SwapContext,7);//Fake_SwapContext----SwapContext+0x14

RtlCopyMemory((BYTE*)Fake_Function+ 59,Jmp_To_KiSwapContext,7);//Fake_Function----KiSwapContext  

RtlCopyMemory((BYTE*)FixAddr-17,EditCode,8);//KiSwapContext----Fake_Function

//_asm int 3

    //KeLowerIrql(Irql);

    _asm

    {

        sti

        push eax;

        mov eax, g_uCr0;

        mov cr0, eax;

        pop eax;

    }

}

_declspec (naked) VOID Fake_SwapContext()

{

_asm//14   BYTE

{

or      cl,cl

mov     byte ptr es:[esi+2Dh],2

pushfd

lea     ecx,[ebx+540h]

}

_asm

{

    _emit 0x90  // 这个填充 jmp          Fake_SwapContext----SwapContext+0x14

        _emit 0x90

        _emit 0x90

        _emit 0x90

        _emit 0x90  

        _emit 0x90  

        _emit 0x90  

}

}

调用StartHookKiSwapContext即可
futosky
关注
专栏目录
在C语言中实现协程库(一)----------协程切换原理详解
happyAnger6的专栏
07-04 1394
从这篇文章开始,我将一点一点详细介绍如何在c语言中实现协程库.并对其中涉及到的技术进行详细的解释. 感兴趣的小伙伴欢迎一起参与 代码地址 协程切换原理 使用glibc中<ucontext.h>提供的相关函数 用户态切换简单来说就是保存当前上下文,切换到新的上下文. 用户态程序的上下文一般包含如下信息: 栈 各种寄存器 信号掩码: linux信号掩码是基于线程的,协程也需要支持单独设置信号掩码信息 我们来看一下glibc定义的用户态上下文结构ucontext_t: typedef struct
HOOK SwapContext 枚举隐藏进程(学习笔记4)
01-08 3865
 作 者: bzhkl 时 间: 2008-12-11,12:01 链 接: http://bbs.pediy.com/showthread.php?t=78464 以前想检测一个被隐藏的进程 后来用暴力枚举的方法解决了 但是HOOK SwapContext没有看到有完整的代码 所以搜集了点网上有用的模块 自己整合实现了下 确定支持XP3, XP2没测试 应该也能支持 附完整工程代
win7x64hookSwapContext函数
01-05
64位系统下hook SwapContext函数,ring0。
[C/C++]windows下实现swapcontext等函数实践
weixin_34391445的博客
07-02 616
2019独角兽企业重金招聘Python工程师标准>>> ...
setcontext getcontext makecontext swapcontext
Network/Storage/Linux Kernel
12-03 3331
Linux上下文切换以及协程 上下文切换,听起来虚无缥缈,什么是上下文,切换又是指的是什么?其实上下文就可以理解为一个进程所运行的相关的寄存器值,即包括sp/bp/pc等值,换句话说,一个上下文,就是包括了能够恢复进程运行所需要的所有必要的东西。所谓的切换, 那是多进程的操作系统必要的功能,一个CPU能够运行多个进程(看起来),那么必然要在多个进程之间不停的切换,A切换到B时,必...
(24)[进程与线程] 分析SwapContext
qq_50332504的博客
08-21 825
SwapContext有几个参数? SwapContext在哪里实现了线程切换? 哪里进行了进程切换(修改CR3)? TSS存储当前的 SS0 : ESP0。 FS:[0]在3环总能正确指向当前TEB。 异常链表的切换。 完整分析代码
线程切换 —— 逆向分析 KiSwapContex/SwapContex
walker的博客
03-14 381
简介 在 Windows 内核中,线程的切换是通过底层内核 API 函数 KiSwapContex/SwapContex 实现的。 KiSwapContex KiSwapContex 的逆向分析如下: .text:00404828 ; =============== S U B R O U T I N E ======================================= .text:00404828 .text:00404828 .text:00404828 ; __fastcall KiS
swapcontext
最新发布
08-18
而引用提到,TSS中的ESP0的来源可以在SwapContext代码中找到。因此,可以通过分析SwapContext函数的代码来回答问题。引用提到了SwapContext函数的工作,它保存了旧线程的寄存器到自己的栈顶,更新了KPCR中的...
win32拦截SwapContext函数
06-12
在Windows系统中,"win32拦截SwapContext函数"是一个高级技术实践,它涉及到操作系统内核、线程管理和钩子(Hook)技术。SwapContext函数是POSIX线程库(pthreads)中用于线程上下文切换的关键函数,但在Windows环境...
libco文档以及代码.zip
10-17
基于glibc-2.17源码修改的一个swapcontext高性能汇编版本 socket函数的coroutine hook,阻塞式的socket调用会直接切换为异步调用 适用场景:已有大量的同步调用网络库,例如HttpGet/Memcache_cli/...,
HOOK SwapContext 枚举隐藏进程(学习笔记4)(1)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-26 1166
HOOK SwapContext 枚举隐藏进程(学习笔记4) 作者:windows内核安全技术站A盾电脑防护 dump 文件接收:asm32asm@gmail.com " style="text-decoration:none; color:rgb(69,82,95)">A盾电脑防护 | 分类: 分类:进程 | 标签: | 2012-2-21 作 者: bzhkl
进程线程005 SwapContext函数分析
鬼手的博客
02-12 2982
文章目录线程切换与TSS内核堆栈内核堆栈结构调用API进零环SwapContext代码分析线程切换与FSSwapContext代码分析SwapContext的其他问题SwapContext有几个参数 怎么判断出来的?SwapContext在哪里实现了线程切换?0环的ExceptionList是在哪里备份的 线程切换与TSS SwapContext这个函数是Windows线程切换的核心,无论是主动切...
协程基础_context系列函数
拙言的专栏
10-09 2619
最近想看看协程,对这个的具体实现不太了解,查了下,协程最常规的做法就是基于makecontext,getcontext,swapcontext这类函数在用户空间切换用户上下文。 所以在这通过例子代码尽量把context相关的函数弄清楚先。 #include #include #include static ucontext_t uctx_main, uctx_func1, uctx_f
pjf获得SwapContext地址方法的解析
misterliwei的专栏
12-21 5534
pjf获得SwapContext地址方法的解析 在用hook SwapContext法来检查隐藏进程时,首要条件是获得SwapContext的地址。Pjf在博文 ([1]) 中提出了使用线程KernelStack中保存的地址来获得SwapContext地址的方法。本文主要来解析此法。注意本文中正在运行的、即将被换出的线程我们称为旧线程;即将换进的线程称为新线程。 SwapConte
线程的主动切换——KiSwapThread&KiSwapContext逆向
weixin_45678798的博客
08-04 1119
线程的切换分为主动切换和被动切换两种方式 主动切换主要是通过KiSwapThread进行的。
Linux系统编程练手项目:使用C语言实现协程
01-16
协程是最近几年比较火的一个概念,尤其是在互联网后台、手机游戏后台等场景中被大量使用。它跟我们经常使用的进程、线程有什么区别呢?有哪些优势呢?本期课程为《Linux系统编程》的练手项目:带领大家从零开始,使用仅仅50余行代码,就可以实现一个简单的协程,实现协程的三个基本API接口函数:create、yield、resume。从最开始的汇编开始,到最上层的API的封装,通过这个小项目的实战训练,让你真正理解协程的概念。
协程分析之context上下文切换
weixin_34311757的博客
10-28 694
为什么80%的码农都做不了架构师?>>> ...
getcontext makecontext setcontext swapcontext
housansan的专栏
03-29 2779
getcontext makecontext setcontext swapcontext 允许在一个程序中多个线程进行切换. typedef struct ucontext { struct ucontext *uc_link; // 当前 thread 运行完后, 接着运行 uc_link sigset_t uc_sigmas
Windows进程与线程学习笔记(九)—— 线程优先级/进程挂靠/跨进程读写
qq_41988448的博客
12-09 1110
Windows进程与线程学习笔记(九)—— 线程优先级前言要点回顾调度链表 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 要点回顾 三种情况会导致线程切换: 当前线程主动调用API: KiSwapThread -> KiSwapContext -> SwapContext 当前线程时间片到期: KiDispatchInt...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值