破译A盾禁止加载驱动失效之谜

最新推荐文章于 2021-07-08 18:35:01 发布
最新推荐文章于 2021-07-08 18:35:01 发布
阅读量2k 收藏 1
点赞数
离职在家有一段日子了,闲来无事,看下了A盾的代码(版本为0.2.5),从资料中看到他禁止驱动加载的逻辑是:
系统加载驱动要调用ZwLoadDriver或者ZwSetSystemInformation函数来实现。而这两个函数又都必调用SeSinglePrivilegeCheck来检查权限,所以A盾利用inline hook技术hook了SeSinglePrivilegeCheck函数,当指令流执行到此处时,通过[ebp+4]得到调用函数的返回地址,这个返回地址当然位于发起调用的函数体内,对比一下这个地址是不是在ZwLoadDriver或者ZwSetWindowsInformation函数体中,由此判断是不是系统在加载驱动。如果是在加载驱动返回false即可禁止,否则调用原来的SeSinglePrivilegeCheck函数。
相关的代码如下:
代码: 
//禁止驱动加载
NTSTATUS DisEnableDriverLoading()
{
  int bRet;

  ulZwSetSystemInformationBase = GetSystemRoutineAddress(1,L"ZwSetSystemInformation");
  ulNtLoadDriverBase = GetSystemRoutineAddress(1,L"ZwLoadDriver");
  if (ulNtLoadDriverBase &&
    ulZwSetSystemInformationBase)
  {
    ulNtLoadDriverSize = SizeOfProc(ulNtLoadDriverBase);
    ulZwSetSystemInformationSize = SizeOfProc(ulZwSetSystemInformationBase);
  }

  ulSeSinglePrivilegeCheck = GetSystemRoutineAddress(1,L"SeSinglePrivilegeCheck");
  if (!ulSeSinglePrivilegeCheck ||
    !ulNtLoadDriverBase ||
    !ulZwSetSystemInformationBase)
  {
    return STATUS_UNSUCCESSFUL;
  }
  //计算reload后的地址,不然判断不对
  ulNtLoadDriverBase = ulNtLoadDriverBase - SystemKernelModuleBase+ImageModuleBase;
  ulZwSetSystemInformationBase = ulZwSetSystemInformationBase - SystemKernelModuleBase+ImageModuleBase;
  ulReloadSeSinglePrivilegeCheck = ulSeSinglePrivilegeCheck - SystemKernelModuleBase+ImageModuleBase;

  //hook reload SeSinglePrivilegeCheck

  bRet = HookFunctionByHeaderAddress(ulReloadSeSinglePrivilegeCheck,ulSeSinglePrivilegeCheck,SeSinglePrivilegeCheckHookZone,&SeSinglePrivilegeCheckPatchCodeLen,&SeSinglePrivilegeCheckRet);
  if(bRet)
  {
    bRet = FALSE;
    bRet = HookFunctionByHeaderAddress(
      NewSeSinglePrivilegeCheck,
      ulReloadSeSinglePrivilegeCheck,
      SeSinglePrivilegeCheckHookZone,
      &SeSinglePrivilegeCheckPatchCodeLen,
      &SeSinglePrivilegeCheckRet
      );
    if (bRet)
    {
      SeSinglePrivilegeCheckHooked = TRUE;
      //DbgPrint("hook SeSinglePrivilegeCheck success\n");
    }
  }
  return STATUS_SUCCESS;
}

//权限检查的时候返回失败来达到禁止加载驱动
BOOLEAN __stdcall NewSeSinglePrivilegeCheck(
  __in  LUID PrivilegeValue,
  __in  KPROCESSOR_MODE PreviousMode
  )
{
  ULONG ulPage;

  if (!bIsInitSuccess)
    goto _FunctionRet;

  //取返回地址
  _asm
  {
    mov eax,dword ptr[ebp+4]
    mov ulPage,eax
  }
  //KdPrint(("ulPage:%08x\r\n",ulPage));
  //RPsGetCurrentProcess = ReLoadNtosCALL(L"PsGetCurrentProcess",SystemKernelModuleBase,ImageModuleBase);
  if (!RPsGetCurrentProcess)
  {
    goto _FunctionRet;
  }
  if (RPsGetCurrentProcess() == ProtectEProcess)
  {
    goto _FunctionRet;
  }

  if (ulPage >= ulNtLoadDriverBase && ulPage <= ulNtLoadDriverBase+ulNtLoadDriverSize)
    return FALSE;
  
  if (ulPage >= ulZwSetSystemInformationBase && ulPage <= ulZwSetSystemInformationBase+ulZwSetSystemInformationSize)
    return FALSE;

_FunctionRet:
  OldSeSinglePrivilegeCheck = (SeSinglePrivilegeCheck_1)SeSinglePrivilegeCheckHookZone;
  return OldSeSinglePrivilegeCheck(
    PrivilegeValue,
    PreviousMode
    );
}
然而,我发现他的禁止驱动加载的模块在xp下无效,在win7也同样无效。为什么呢?

我们先找一份加载驱动的代码,既然它说驱动是通过ZwLoadDriver来加载的,那么我们直接找一份这样的代码来测试一下:
代码: 
#include <windows.h>
#include <stdio.h>

typedef struct _LSA_UNICODE_STRING {
    USHORT Length;
    USHORT MaximumLength;
    PVOID Buffer;
} LSA_UNICODE_STRING, *PLSA_UNICODE_STRING; 

typedef LSA_UNICODE_STRING UNICODE_STRING, *PUNICODE_STRING;

// 申明ntdll中使用的函数
typedef DWORD (CALLBACK* RTLANSISTRINGTOUNICODESTRING)(PVOID, PVOID,DWORD);
RTLANSISTRINGTOUNICODESTRING RtlAnsiStringToUnicodeString;
typedef DWORD (CALLBACK* RTLFREEUNICODESTRING)(PVOID);
RTLFREEUNICODESTRING RtlFreeUnicodeString;
typedef DWORD (CALLBACK* ZWLOADDRIVER)(PVOID);
ZWLOADDRIVER ZwLoadDriver;

int LoadDriver(char * szDrvName, char * szDrvPath)
{
    //修改注册表启动驱动程序
    char szSubKey[200], szDrvFullPath[256];
    LSA_UNICODE_STRING buf1;
    LSA_UNICODE_STRING buf2;
    int iBuffLen;
    HKEY hkResult;
    char Data[4];
    DWORD dwOK;
    iBuffLen = sprintf(szSubKey,"System//CurrentControlSet//Services//%s",szDrvName);
    szSubKey[iBuffLen]=0;
    dwOK = RegCreateKey(HKEY_LOCAL_MACHINE,szSubKey,&hkResult);
    if(dwOK!=ERROR_SUCCESS)
        return false;
    Data[0]=1;
    Data[1]=0;
    Data[2]=0;
    Data[3]=0;
    dwOK=RegSetValueEx(hkResult,"Type",0,4,(const unsigned char *)Data,4);
    dwOK=RegSetValueEx(hkResult,"ErrorControl",0,4,(const unsigned char *)Data,4);
    dwOK=RegSetValueEx(hkResult,"Start",0,4,(const unsigned char *)Data,4);
    GetFullPathName(szDrvPath, 256, szDrvFullPath, NULL);   
    printf("Loading driver: %s/r/n", szDrvFullPath);
    iBuffLen = sprintf(szSubKey,"//??//%s",szDrvFullPath);
    szSubKey[iBuffLen]=0;
    dwOK=RegSetValueEx(hkResult,"ImagePath",0,1,(const unsigned char *)szSubKey,iBuffLen);
    RegCloseKey(hkResult); 
    iBuffLen = sprintf(szSubKey,"//Registry//Machine//System//CurrentControlSet//Services//%s",szDrvName);
    szSubKey[iBuffLen]=0;
    buf2.Buffer = (PVOID)szSubKey;
    buf2.Length = iBuffLen;
    RtlAnsiStringToUnicodeString(&buf1,&buf2,1);
    //加载驱动程序
    dwOK = ZwLoadDriver(&buf1);
    RtlFreeUnicodeString(&buf1);
    iBuffLen=sprintf(szSubKey,"%s%s//Enum","System//CurrentControlSet//Services//",szDrvName);
    szSubKey[iBuffLen]=0;
    //删除注册表项
    RegDeleteKey(HKEY_LOCAL_MACHINE,szSubKey);
    iBuffLen=sprintf(szSubKey,"%s%s//Security","System//CurrentControlSet//Services//",szDrvName);
    szSubKey[iBuffLen]=0;
    RegDeleteKey(HKEY_LOCAL_MACHINE,szSubKey);
    iBuffLen=sprintf(szSubKey,"%s%s","System//CurrentControlSet//Services//",szDrvName);
    szSubKey[iBuffLen]=0;
    RegDeleteKey(HKEY_LOCAL_MACHINE,szSubKey);
    iBuffLen=sprintf(szSubKey,".//%s",szDrvName);
    szSubKey[iBuffLen]=0;
    return true;
}

int main(int argc, char *argv[])
{
    printf("Load driver with ZwLoadDriver( )/r/n");
    printf("Date: 8th May 2007/r/n");
    printf("Modifed by: GaRY <wofeiwo_at_gmail_dot_com>/r/n/r/n");
    if(argc != 3)
    {
        printf("Usage: %s <DriverFilename> <DriverPath>/r/n", argv[0]);
        exit(-1);
    }
    HMODULE hNtdll = NULL;
    hNtdll = LoadLibrary( "ntdll.dll" ); 
    
    //从ntdll.dll里获取函数
    if ( !hNtdll )
    {
        printf( "LoadLibrary( NTDLL.DLL ) Error:%d/n", GetLastError() );
        return false;
    }

    RtlAnsiStringToUnicodeString = (RTLANSISTRINGTOUNICODESTRING)
        GetProcAddress( hNtdll, "RtlAnsiStringToUnicodeString");
    RtlFreeUnicodeString = (RTLFREEUNICODESTRING)
        GetProcAddress( hNtdll, "RtlFreeUnicodeString");
    ZwLoadDriver = (ZWLOADDRIVER)
        GetProcAddress( hNtdll, "ZwLoadDriver");

    //注册驱动程序
    if(LoadDriver(argv[1], argv[2]) == false) return false;
    return true;
} 
通过调试发现在进入SSDT之前,传入eax的SSDT的索引号为0x61,而在win7这个索引号是0x9b。
如下所示:
名称: 9b.png查看次数: 0文件大小: 1.9 KB
进入到内核层时,对应的是NtLoadDriver,如下所示,其中红色的正是被hook的目标函数:
代码: 
nt!NtLoadDriver:
83df6329 6a48            push    48h
83df632b 68a860cb83      push    offset nt! ?? ::FNODOBFM::`string'+0x8ca8 (83cb60a8)
83df6330 e8f3eaecff      call    nt!_SEH_prolog4 (83cc4e28)
83df6335 33db            xor     ebx,ebx
83df6337 895de4          mov     dword ptr [ebp-1Ch],ebx
83df633a 648b3524010000  mov     esi,dword ptr fs:[124h]
83df6341 8a863a010000    mov     al,byte ptr [esi+13Ah]
83df6347 8845e0          mov     byte ptr [ebp-20h],al
83df634a 3ac3            cmp     al,bl
83df634c 0f840b010000    je      nt!NtLoadDriver+0x133 (83df645d)
83df6352 ff75e0          push    dword ptr [ebp-20h]
83df6355 ff3544f6fb83    push    dword ptr [nt!SeLoadDriverPrivilege+0x4 (83fbf644)]
83df635b ff3540f6fb83    push    dword ptr [nt!SeLoadDriverPrivilege (83fbf640)]
83df6361 e8b8480a00      call    nt!SeSinglePrivilegeCheck (83e9ac1e)
83df6366 84c0            test    al,al
83df6368 750a            jne     nt!NtLoadDriver+0x4b (83df6374)
83df636a b8610000c0      mov     eax,0C0000061h
83df636f e958010000      jmp     nt!NtLoadDriver+0x1a2 (83df64cc)
83df6374 895dfc          mov     dword ptr [ebp-4],ebx
83df6377 8b4508          mov     eax,dword ptr [ebp+8]
83df637a 8b0d20d7db83    mov     ecx,dword ptr [nt!MmUserProbeAddress (83dbd720)]
83df6380 3bc1            cmp     eax,ecx
83df6382 7202            jb      nt!NtLoadDriver+0x5d (83df6386)
83df6384 8bc1            mov     eax,ecx
83df6386 8b08            mov     ecx,dword ptr [eax]
83df6388 894dd4          mov     dword ptr [ebp-2Ch],ecx
83df638b 8b4804          mov     ecx,dword ptr [eax+4]
83df638e 894dd8          mov     dword ptr [ebp-28h],ecx
83df6391 66395dd4        cmp     word ptr [ebp-2Ch],bx
83df6395 7511            jne     nt!NtLoadDriver+0x7f (83df63a8)
83df6397 c745fcfeffffff  mov     dword ptr [ebp-4],0FFFFFFFEh
83df639e b80d0000c0      mov     eax,0C000000Dh
83df63a3 e924010000      jmp     nt!NtLoadDriver+0x1a2 (83df64cc)
而A盾中却是通过对比 ZwLoadDriver(注意此函数的开头为"Zw")的代码区域来实现禁止驱动加载。那ZwLoadDriver在内核中又是怎么回事呢?通过windbg查看一下:
代码: 
0: kd> u ZwLoadDriver
nt!ZwLoadDriver:
83c9589c b89b000000      mov     eax,9Bh
83c958a1 8d542404        lea     edx,[esp+4]
83c958a5 9c              pushfd
83c958a6 6a08            push    8
83c958a8 e8911c0000      call    nt!KiSystemService (83c9753e)
83c958ad c20400          ret     4
nt!ZwLoadKey:
83c958b0 b89c000000      mov     eax,9Ch
83c958b5 8d542404        lea     edx,[esp+4]
看来只是简单地处理一下就交给系统去处理了。真正实现加载驱动的代码并不在这里。即这里并没有直接调用被hook的函数SeSinglePrivilegeCheck ,所以在调用SeSinglePrivilegeCheck时 取得的返回地址,是不可能在ZwLoadDriver函数体内的,这也就是在判断返回地址是否在ZwLoadDriver时永远为不满足的原因。
到此就明白了为什么禁止驱动加载失效了。
总结一下:A盾通过hook  SeSinglePrivilegeCheck 来得到调用者的返回地址,按逆向出来的结果看,应该是比较这个返回地址在不在 NtLoadDriver函数体中,而不是判断在不在 ZwLoadDriver中。
通过把里面相关的代码捉出来,笔者实现了一个禁止加载驱动的代码,也许是因为NtLoadDriver没导出,所以我是通过ssdt指定的偏移得到NtLoadDriver的地址。代码上传在下面,兼容xp,win7平台。相信其他平台(非64 位)改一下偏移值应该也能跑起来。
附上成功禁止加载驱动的图:
点击图片以查看大图图片名称: QQ截图20150921104114.png查看次数: 5文件大小: 39.8 KB文件 ID : 100162

至于通过 ZwSetSystemInformation来加载驱动的例子暂时没找到,如果在这一方案上有问题,估计也可能是对比的地址不合适所致。这里就不测试了


后记:不知什么时候开始,A盾的官网就上不去了?而且网上能看到关于这个软件的帖子都是2012~2013年的了,也不知这个bug后来的版本得到修正没有!挺有教育意义的一个工具就这样悄无声息,消声匿迹了???
kingswb
关注
管理信息化服务的趋势与发展
程序员光剑
08-03 847
2021年,随着数字化、移动互联网和云计算技术的飞速发展,在我国信息化发展迅猛的今天,企业正在面临越来越复杂的管理信息化服务,如何从系统层面有效实现管理信息化,成为我国领先的信息化模式之一?本文将从理论和实践两方面介绍信息化发展的趋势,探讨管理信息化服务的理念、方法、体系、工具、能力以及未来发展方向。在过去的一百多年里,人类由于科技的进步和生产力的提高而取得了惊人的成就。然而,信息化技术的迅速发展却带来了一系列新的管理难题。
[网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客常用DOS命令
热门推荐
杨秀璋的专栏
02-21 2万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了微软证书漏洞(CVE-2020-0601),并详细讲解了Windows验证机制、可执行文件签名复现及HTTPS劫持。本文将分享另一个主题——Cracer教程,第一篇文章将详细讲解安全术语、Web渗透流程和Windows基础、注册表及黑客常用DOS命令。基础性文章,希望对您有所帮助。
驱动防火墙,可以拦截驱动加载
11-29
非常好用的拦截加载驱动的工具,可以拦截驱动加载
拦截驱动文件,最好用的驱动拦截小工具
07-19
拦截驱动文件 安装任何软件安装驱动!最好用的驱动拦截小工具
A (A-Protect) 枚举进程的一个bug
莫灰灰的专栏
06-05 2366
ps: 1.A为最新版本(2012-06-01 A电脑防护 v0.2.6 快乐儿童版)。 2.驱动只在XP Sp3下测试有效。 3.A在我机器上驱动老是加载失败啊。 测试代码: /******************************************* * AUTHOR : 莫灰灰 * DATE : 2012-6-5 * BOLG : ht
windows内核开发学习笔记四十九:安全管理强制访问模型
jyl_sh的专栏
07-08 766
以上就是SRM中自主f访问控制的实现过程。SRM的强制访问过程是通过特权检查来实施的,sePrivilegeCheck调位于base\ntos\se\privileg.c文件中的SepPrivilegeCheck函数执行实际的特权检查。其参数Token代表了当前线程的安全环境,如同SepAccessCheck函数也需要代表调用线程的令牌一样;参数RequirePrivileges和RequiredPrivilegeCount合起来指明了调用线程要请求一组特权;参数PrivilegeSetCo...
LINUX系统管理之文件系统介绍(FHS)
m0_46849203的博客
12-21 272
LINUX系统管理之文件系统介绍 1.文件系统层级结构FHS 当我们使用root用户登录到系统后切换到/目录下执行ls命令 我们会看到/目录下有很多目录结构 Windows中一多根的形式组织文件如 C:\ D:\ E: Linux:以单根的方式组织文件 /目录结构 :FHS(Filesystem Hirerarchy Standard) LINUX或UNIX操作系统中,所有的文件和目录都被组织成一个根节点开始的倒置的树状结构。 文件系统的最顶层是由根目录开始的,系统使用/来表示根目录,在根 目录下的既可以是
NISP
极光时流
07-21 2798
NISP七月份练习01 文章目录NISP七月份练习01NISP七月份练习02NISP七月份练习03NISP七月份练习04NISP七月份练习05NISP七月份练习06NISP七月份练习07NISP七月份练习08NISP七月份练习09NISP七月份练习10NISP七月份练习11NISP七月份练习12NISP七月份练习13NISP七月份练习14NISP七月份练习15NISP七月份练习16NISP七月份练习17NISP七月份练习18 1我国的( )主要规定了关于数据电文、电子签名与认证及相关的法律责任 A.《中华人
信息安全-期末复习题
李桥桉的博客
01-04 1万+
信息安全概论 一、选择题: 1.Smtp协议使用的端口号是(D )。 A、20 B、21 C、23 D、25 2.下面那个命令可以显示本机的路由信息。( ) A、Ping B、Ipconfig C、Tracert D、Netstat 3.计算机病毒是指:( C )。 A、带细菌的磁盘   B、 已损坏的磁盘  C、 具有破坏性的特制程序    D、被破坏了的程序 4.197
A-Protect_0.4.3 A最新版 源代码
07-14
A-Protect_0.4.3 A最新版 源代码
A v4.4版本源代码
09-08
A电脑防护(原名 3600safe)anti-rootkit开放源代码
过NtOpenProcess保护的方法总结
xrain_zh的专栏
05-03 2145
来自:http://blog.csdn.net/jepco1/article/details/5531449 过NtOpenProcess保护的方法总结,搜集了一下网上的方案,自己整理了一下。 一般的保护程序喜欢在NtOpenProcess中设置inline hook,修改返回句柄。调试程序使用该程序附加附加到被保护进程的时候,就得不到正确的进程访问句柄,因而附加失败。 反此类保
Win64 驱动内核编程-7.内核里操作进程
天使也掉毛
03-05 4738
在内核里操作进程     在内核里操作进程,相信是很多对 WINDOWS 内核编程感兴趣的朋友第一个学习的知识点。但在这里,我要让大家失望了,在内核里操作进程没什么特别的,就标准方法而言,还是调用那几个和进程相关的 NATIVE API 而已(当然了,本文所说的进程操作,还包括对线程和 DLL 模块的操作)。本文包括 10 个部分:分别是:枚举进程、暂停进程、恢复进程、结束进程、枚举线程、暂停线
用ZwSetSystemInformation函数的SystemLoadAndCallImage调用驱动
weixin_33989780的博客
06-29 538
//////////////////////////////////////// // New Deployment Module for rootkit 040 // ------------------------------------- // -Greg Hoglund http://www.rootkit.com /////////////////////////////...
ZwSetSystemInformation释疑
Rookie Rock
11-13 1552
ZwSetSystemInformation比较特殊,用了那段经典的加载方法,会发现老是加载不成功,到底成不成呢?我用VMWARE+WinDbg测试了,lm,发现服务列表里面是有了的,但是dbgview没有输出。在这里(http://hi.baidu.com/hypkb/blog/item/fe58b7830b377498f603a6f4.html)找到这样一段话: 起初是在那本书上面看到的,可惜怎么试都是失败,本身很简单就调调API的问题,再后来看到这篇:用SystemLoadAndCallImage加载
破译MDD误区:应对挑战与实践指南
模型驱动开发(MDD)作为一种旨在通过模型而非源代码直接表达系统结构和行为的方法,近年来并未像预期那样普及。本文将探讨MDD面临的误解和挑战,以及如何克服这些问题。 首先,一个主要的挑战在于早期的MDD实施缺乏...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值