最近发现有很多漏洞利用或木马程序样本会通过一些技术手段,达到使自动化检测系统或分析人员调试工具的栈回溯机制失效的目的。在本文中我将会简单分析和推测一下这类恶意样本都是通过哪些套路来实现和栈回溯机制的对抗。需要注意的是,文中讨论的堆栈都是代指线程在用户层的堆栈,并未涉及内核层的堆栈。
原文链接:xiaodaozhi.com/analysis/28…
0x0 准备
用这两天遇到的某个样本举例来说吧。那是个 RTF 文件格式的 CVE-2015-1641 漏洞利用样本。为调试其在 ShellCode 中创建子进程的行为,在 windbg 中给 ntdll!NtCreateUserProcess 函数下断点。命中断点之后,发现无法通过 kv 指令栈回溯来获取该线程当前时刻的调用栈序列,能获取到的栈帧只有当前所处的函数调用。而继续跟进该函数里所调用的任何一个函数中,发现调用栈仍旧只有一个栈帧。
Breakpoint 0 hit
eax=0900f130 ebx=00000000 ecx=00000044 edx=002e017c esi=05731400 edi=00000000
eip=76e65860 esp=0900edc8 ebp=0900f450 iopl=0 nv up ei pl nz na pe nc
cs=001bss=0023ds=0023es=0023fs=003bgs=0000 efl=00000206
ntdll!NtCreateUserProcess:
76e65860 b85d000000mov eax,5Dh
0:009> kv
ChildEBP RetAddrArgs to Child0900f450 00000000 00000000 00000000 057302e0 ntdll!NtCreateUserProcess (FPO: [11,0,0])
0:009> p
0:009> p
0:009> t
eax=0000005d ebx=00000000 ecx=00000044 edx=7ffe0300 esi=05731400 edi=00000000
eip=76e671b0 esp=0900edc4 ebp=0900f450 iopl=0 nv up ei pl nz na pe nc
cs=001bss=0023ds=0023es=0023fs=003bgs=0000 efl=00000206
ntdll!KiFastSystemCall:
76e671b0 8bd4mov edx,esp
0:009> kv
ChildEBP RetAddrArgs to Child0900f450 00000000 00000000 00000000 057302e0 ntdll!KiFastSystemCall (FPO: [0,0,0])
这个样本是怎么做到的呢?要理解这个问题,首先需要明确 windbg 或其他调试工具以及通常的检测系统都是怎么回溯栈的。要明白回溯栈的原理,那么就需要了解在 Windows 平台的 C/C++ 程序中调用函数时堆栈操作的逻辑。
0x1 原理
关于几种调用约定的区别和各自的特性,读者需自行了解。在这里不针对每种调用约定的压参方式做单独讨论,而是只关注调用时堆栈指针的改变。
根据规定,函数调用 CALL 指令可拆分为两步操作:
1.将调用者的下一条指令(EIP)的地址压栈2.跳转至将要调用的函数地址中(相对偏移或绝对地址)那么在执行到子函数首地址位置时,返回地址(即调用函数中调用位置下一条指令的地址)就已经存在于堆栈中了,