进程与线程(八)进程保护(1) && 驱动逆向初步

最新推荐文章于 2022-10-29 10:17:25 发布
最新推荐文章于 2022-10-29 10:17:25 发布
阅读量1k 收藏
点赞数
分类专栏: 内核研究 文章标签: hook exe byte c object string
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Shevacoming/article/details/7556072
版权 
INIT:00010D85                 public start
INIT:00010D85 start           proc near
INIT:00010D85                 mov     edi, edi
INIT:00010D87                 push    ebp
INIT:00010D88                 mov     ebp, esp
……………………略去
INIT:00010DC1                 mov     dword_10C90, eax
INIT:00010DC6                 pop     ebp
INIT:00010DC7                 jmp     DriverEntry ; 一般最后一个Jmp就是跳到DriverEntry
INIT:00010DC7 start           endp

IDA可以帮我们做很多事,很多东西不用我们自己去猜,一看就明白的东西我就略过了

.text:0001088E ; int __stdcall DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING pRegistryPath)
.text:0001088E DriverEntry     proc near               ; CODE XREF: start+42 j
.text:0001088E
.text:0001088E DeviceObject    = dword ptr -4
.text:0001088E DriverObject    = dword ptr  8
.text:0001088E pRegistryPath   = dword ptr  0Ch
.text:0001088E
.text:0001088E                 mov     edi, edi
.text:00010890                 push    ebp
.text:00010891                 mov     ebp, esp
………………………………………………………………
;略掉部分创建设备的代码
.text:000108E2 ; ---------------------------------------------------------------------------
.text:000108E2
.text:000108E2 loc_108E2:                              ; CODE XREF: DriverEntry+45 j
.text:000108E2                 mov     eax, offset DispatchCreateClose ;接下来要自己照着DriverObject的结构算一下,算出来各个派遣函数指向哪,当然在本程序中没什么用
.text:000108E7                 mov     [esi+40h], eax  ; IRP_MJ_CLOSE  
.text:000108EA                 mov     [esi+38h], eax  ; IRP_MJ_CREATE
.text:000108ED                 mov     dword ptr [esi+70h], offset DriverIOCtrl ; IRP_MJ_DEVICE_CONTROL
.text:000108F4                 mov     dword ptr [esi+34h], offset DriverUnload
.text:000108FB                 call    GetProcessNameOffset  ;从eprocess中得到文件名偏移
.text:00010900                 mov     uNameOffset, eax
.text:00010905                 call    FindPspTerminateThreadByPointer ;从PsTerminateSystemThread搜索PspTerminateThreadByPointer
.text:0001090A                 cmp     eax, ebx
.text:0001090C                 mov     PspTerminateThreadByPointer, eax
.text:00010911                 jz      short loc_10933
.text:00010913                 call    FindPspExitThread ; 跟上面那个差不多,懒得逆向了PspTerminateThreadByPointer中搜索PspExitThread
.text:00010918                 cmp     eax, ebx
.text:0001091A                 mov     PspExitThread, eax
.text:0001091F                 jz      short loc_10933
.text:00010921                 call    InlineHookPspExitThread  ;这是关键,一会儿会跟进
.text:00010926                 push    ebx             ; State
.text:00010927                 push    ebx             ; Type
.text:00010928                 push    offset Event    ; Event
.text:0001092D                 call    ds:KeInitializeEvent  ;创建事件,刚逆的时候还看不出来这是用来干什么的,后面会知道
………………略去
.text:00010939 DriverEntry     endp


InlineHookPspExitThread  如果你自己跟进去是非常郁闷的,因为它会显示成
mov     ax, word ptr unk_10CB0
mov     [edi+4], ax
mov     edi, dword_10CA4
mov     eax, dword_10C98
mov     [edi], eax
mov     ax, word ptr unk_10C9C
十几行诸如此类的代码,搞得我郁闷了很久,也不太确定这就是Inline, F5也毫无结果,只是知道push offset ff 8b,
查了查code table 发现c3是retn,于是想起retn返回栈顶的地址,Push xxxxxxxx再retn就是相当于jmp xxxxxxxx
再后来想到程序还没过滤NotePad呢 参考了以下字符串发现NotePad交叉参考为空,上下文又有一堆无意义的数字未被引用
于是恍然大悟这根本就是代码,不是数据,于是从.text:000105B4 到.text:00010677全部转换成代码,哈 豁然开朗

.text:000105B4                 db 6 dup(0CCh)
.text:000105BA ; ---------------------------------------------------------------------------
.text:000105BA
.text:000105BA OriginPspExitThread:                    ; CODE XREF: .text:0001066C p
.text:000105BA                                         ; DATA XREF: InlineHookPspExitThread+81 o
.text:000105BA                 mov     edi, edi
.text:000105BA ; ---------------------------------------------------------------------------
.text:000105BC aRrrrnotepad_exe db '烫烫烫烫烫烫悙悙notepad.exe',0
.text:000105D8 aNotepad_exe    db 'notepad.exe',0      ; DATA XREF: .text:00010649 o
.text:000105E4                 db 6 dup(0CCh)
.text:000105EA ; ---------------------------------------------------------------------------
.text:000105EA
.text:000105EA loc_105EA:                              ; DATA XREF: InlineHookPspExitThread+2A o
.text:000105EA                 mov     edi, edi
.text:000105EC                 push    ebp
.text:000105ED                 mov     ebp, esp    ;看到这个心里就有底了,标准的函数头
…………………………………………………………………………略去

上面的转换还是有点问题,别着急,一会儿弄
再看刚才的代码,这回就很清楚了

; void __cdecl InlineHookPspExitThread()
InlineHookPspExitThread proc near
mov     edi, edi
push    esi
push    edi
mov     edi, PspExitThread
mov     eax, [edi]
mov     OriginCode_1_, eax ; 保存10字节
mov     eax, [edi+4]
mov     OriginCode_2_, eax
mov     ax, [edi+8]
mov     orgincode_3_, ax
mov     byte ptr PushMyAddrCode, 68h
mov     edi, offset MyPspExitThread ; hook函数地址
mov     PushMyAddrCode+1, edi ; ...
mov     RETNcode, 0C3h
mov     Nopx4Code, 90909090h
mov     byte ptr PushPspAdd10, 68h
mov     edi, PspExitThread
add     edi, 0Ah
mov     PushPspAdd10+1, edi ; push &(PspExitThread + 0Ah)
mov     RETNcode1, 0C3h
mov     esi, offset SpinLock
mov     ecx, esi        ; SpinLock
call    ds:KfAcquireSpinLock
mov     byte_10CB8, al
mov     eax, cr0
and     eax, 0FFFEFFFFh
mov     cr0, eax
cli
mov     edi, offset OriginPspExitThread
mov     eax, OriginCode_1_
mov     [edi], eax
mov     eax, OriginCode_2_
mov     [edi+4], eax
mov     ax, orgincode_3_
mov     [edi+8], ax
add     edi, 0Ah
mov     eax, PushPspAdd10
mov     [edi], eax      ; 写入原始10字节 然后Pushpsp+10
mov     ax, word ptr RETN_0
mov     [edi+4], ax
mov     edi, PspExitThread
mov     eax, PushMyAddrCode
mov     [edi], eax
mov     ax, word ptr rETN_0
mov     [edi+4], ax
mov     eax, Nopx4Code  ; 剩余字节nop掉
mov     [edi+6], eax
sti
mov     eax, cr0
or      eax, 10000h
mov     cr0, eax
mov     dl, byte_10CB8
pop     edi
mov     ecx, esi
pop     esi
jmp     ds:KfReleaseSpinLock
InlineHookPspExitThread endp

下面看原始那段转换的代码

text:000105BA OriginPspExitThread:                    ; CODE XREF: .text:0001066C p
.text:000105BA                                         ; DATA XREF: InlineHookPspExitThread+81 o
.text:000105BA                 mov     edi, edi
.text:000105BA ; ---------------------------------------------------------------------------
.text:000105BC                 db 0CCh
.text:000105BD                 db 0CCh ; ?
.text:000105BE                 db 0CCh ; ?
.text:000105BF                 db 0CCh ; ?
.text:000105C0                 db 0CCh ; ?
.text:000105C1                 db 0CCh ; ?
.text:000105C2                 db 0CCh ; ?            ; 原始十字节 push xxxxxxxx retn 0
.text:000105C3                 db 0CCh ; ?            ; 。
.text:000105C4                 db 0CCh ; ?
.text:000105C5                 db 0CCh ; ?
.text:000105C6                 db 0CCh ; ?
.text:000105C7                 db 0CCh ; ?
.text:000105C8                 db  90h ; ?
.text:000105C9                 db  90h ; ?
.text:000105CA                 db  90h ; ?
.text:000105CB                 db  90h ; ?
.text:000105CC NotePad         db  6Eh ; n             ; DATA XREF: .text:00010638 o
.text:000105CD                 db  6Fh ; o
.text:000105CE                 db  74h ; t
.text:000105CF                 db  65h ; e
.text:000105D0                 db  70h ; p
.text:000105D1                 db  61h ; a
.text:000105D2                 db  64h ; d
.text:000105D3                 db  2Eh ; .
.text:000105D4                 db  65h ; e
.text:000105D5                 db  78h ; x
.text:000105D6                 db  65h ; e
.text:000105D7                 db    0
.text:000105D8 aNotepad_exe    db 'notepad.exe',0      ; DATA XREF: .text:00010649 o
.text:000105E4                 db 0CCh
.text:000105E5                 db 0CCh ; ?
.text:000105E6                 db 0CCh ; ?
.text:000105E7                 db 0CCh ; ?
.text:000105E8                 db 0CCh ; ?
.text:000105E9                 db 0CCh ; ?
.text:000105EA ; ---------------------------------------------------------------------------
.text:000105EA
.text:000105EA MyPspExitThread:                        ; DATA XREF: InlineHookPspExitThread+2A o
.text:000105EA                 mov     edi, edi
.text:000105EC                 push    ebp
.text:000105ED                 mov     ebp, esp
.text:000105EF                 push    ebx
.text:000105F0                 push    esi
.text:000105F1                 push    edi
.text:000105F2                 push    10h
.text:000105F4                 call    ds:IoGetCurrentProcess
.text:000105FA                 add     eax, uNameOffset
.text:00010600                 mov     esi, ds:strncpy
.text:00010606                 push    eax
.text:00010607                 mov     edi, offset CurrentEXEname
.text:0001060C                 push    edi
.text:0001060D                 call    esi ; strncpy   ; 当前进程名
.text:0001060F                 add     esp, 0Ch
.text:00010612                 push    10h
.text:00010614                 call    KeGetCurrentThread
.text:00010619                 push    eax
.text:0001061A                 call    ds:IoThreadToProcess
.text:00010620                 add     eax, uNameOffset
.text:00010626                 mov     ebx, 10CF4h
.text:0001062B                 push    eax
.text:0001062C                 push    ebx
.text:0001062D                 call    esi ; strncpy
.text:0001062F                 mov     esi, ds:_strnicmp ; 比较名字
.text:00010635                 push    0Ch
.text:00010637                 push    edi
.text:00010638                 push    offset NotePad
.text:0001063D                 call    esi ; _strnicmp
.text:0001063F                 add     esp, 18h
.text:00010642                 test    eax, eax
.text:00010644                 jz      short loc_10657
.text:00010646                 push    0Ch
.text:00010648                 push    ebx
.text:00010649                 push    offset aNotepad_exe ; "notepad.exe"
.text:0001064E                 call    esi ; _strnicmp
.text:00010650                 add     esp, 0Ch
.text:00010653                 test    eax, eax
.text:00010655                 jnz     short loc_10669
.text:00010657
.text:00010657 loc_10657:                              ; CODE XREF: .text:00010644 j
.text:00010657                 xor     eax, eax        ; 如果匹配 那么就等待object
.text:00010659                 push    eax
.text:0001065A                 push    1
.text:0001065C                 push    eax
.text:0001065D                 push    eax
.text:0001065E                 push    offset Event
.text:0001065E ; ---------------------------------------------------------------------------
.text:00010663                 db 0FFh
.text:00010664                 db 15h
.text:00010665                 dd offset KeWaitForSingleObject
.text:00010669 ; ---------------------------------------------------------------------------
.text:00010669
.text:00010669 loc_10669:                              ; CODE XREF: .text:00010655 j
.text:00010669                 push    dword ptr [ebp+8]
.text:0001066C                 call    OriginPspExitThread

也就是防杀,进程保护其实没什么意思,对于病毒,与其防止别人杀你进程,倒不如在R3下迅速处理完自己的工作然后撤退,没理由让exe长驻。盗号木马的话倒是要长期监视,但也没必要保护进程。要保护进程的大多是安全产品,也没必要做的太底层,不稳定了就得不偿失。防住R3层面的就可以了,然后再保护住自己窗口,句柄,最最重要的就是截住加载驱动的接口,如果用户愿意让驱动加载那出什么事就不怪你了。
大概说下结束进程的流程,结束进程似乎没有创建进程那么繁琐。
R3:
TerminateProcess→NtTerminateProcess→sysenter
R0:
ZwTerminateProcess→SSDT→NtTerminateProcess→PspTerminateThreadByPointer→KeInitializeApc→PspExitThread
大概是这样,古老的方法也挺多,R0下SSDT Hook NtOpenProcess NtTerminateProcess;Hook ObReferenceObjectByHandle;Hook PspTerminateThreadByPointer,Hook Ke(i)InitializeApc先进的可能也有,我还没来得及逆…
Hook  PspExitThread的不多,原因自然是太低层太不稳定,而且由于是以APC的形式插入线程,Hook之后也不是很方便。花了点时间逆了 diyhack的进程挑战赛的驱动,(一年以前的东西了。。不过那会儿本小菜正在高三的水深火热之中,毛都不懂),这个驱动就是Hook  PspExitThread,其实没什么东西,文件也小到2.5k。功能就是防止结束notepad,首先扔到IDA里,第一次逆向驱动,所以就多逆了很多,把整体驱动框架都逆向了出来,以后只要逆向自己感兴趣的部分就好了,顺便记录下第一次逆向驱动的全过程。
IDA加载后找到函数参考的start函数就是程序开始的位置了


为什么比较了两次文件名?分别用了KeGetCurrentThread  IoGetCurrentProcess ?这么做是为了防止别人DKOM 把线程所属指向别的进程然后结束掉
到此也就大概明白了,其实是在PsExitThread中无限等待事件触发,只到UnHook时触发才恢复。

IDA很方便,但是静态分析弊端也很大,但是在动态分析没效果的情况下就需要有一点耐性去在大脑里模拟程序的运行了。

其实这种挑战挺有意思的,算是锻炼思维,无聊的解决方法就很多,有点意思的算是MJ说的搜索data里的event然后唤醒线程
Shevacoming
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Win64 驱动内核编程-26.强制结束进程
天使也掉毛
03-29 4983
强制结束进程     依然已经走到驱动这一层了,那么通常结束掉一个进程不是什么难的事情。同时因为win64 位的各种保护,导致大家慢慢的已经不敢HOOK了,当然这指的是产品。作为学习和破解的话当然可以尝试各种hook。目前来说很多杀软进程保护都是通过回调了保护的,简单,稳定,安全。So,强制结束进程会比当年简单很多。 首先就是上一个最基本的驱动里结束进程的方法:   1.直接调用ZwTer
R0进程保护驱动源码_读写驱动_保护进程_R0进程保护驱动源码_zulu5fi_R0驱动读写
03-25
R0进程保护驱动源码 读写游戏内存,可以读写任意游戏进程信息,居家旅行必备工具
PsLookupProcessByProcessId的执行流程
yaneng的专栏
06-18 2774
本来偶在学习内核线程调度的东西,发现里面有关于HANDLE_TABLE的知识.于是参照WRK把附带的一些东西深入学习了一下子--关于PsLookupProcessByProcessId的执行流程[写点心得存档,供以后学习的同学参考.老鸟飘过~]本来偶在学习内核线程调度的东西,发现里面有关于HANDLE_TABLE的知识.于是参照WRK把附带的一些东西深入学习了一下子--
 进程线程的结束
maomao171314的专栏
12-12 749
进程线程的结束 在执行体层,线程的终止函数是NtTerminateThread,内部调用PspTerminateThreadByPointer完成终止处理。系统线程的终止函数是PsTerminateSystemThread,内部调用 PspTerminateThreadByPointer完成终止处理。 三个函数原型如下: NTSTATUS NtTerminateThread( _in_opt HANDLE ThreadHandle, _in NTSTATUS ExitStatus); N.
使用PsTerminateThreadByPointer强制结束进程
qq_41490873的博客
01-30 445
该函数会在内部检查是否是系统线程,如果是系统线程不会结束它. #include<ntifs.h> #include <ntddk.h> //根据进程结构获得进程名指针 需要自己申明一下。 ULONG64 g_kernelModuleBase = 0; typedef struct _LDR_DATA_TABLE_ENTRY { LIST_ENTRY InLoadOrderLinks; LIST_ENTRY InMemoryOrderLinks; LIST_ENTRY I
进程线程的创建过程
fyfy
04-13 2328
http://book.douban.com/annotation/28879242/
在Win7x64下隐藏进程保护进程
11-10
1. **注入DLL**:通过将动态链接库(DLL)注入到其他进程中,可以在目标进程中创建一个隐藏的执行线程,这样该进程的行为就难以被外界察觉。 2. **修改注册表**:通过修改注册表键`HKLM\SOFTWARE\Microsoft\Windows...
hook-zwquerysysteminformation.rar_hook_进程隐藏
07-14
"ZwQuerySystemInformation"是Windows内核API函数,用于获取关于系统的信息,包括进程线程、内存管理、硬件配置等。通过挂钩这个函数,攻击者或开发者可以拦截并控制系统对这些信息的访问,实现特定目的,比如隐藏...
完整版进程模块.rar
04-03
这些模块包含了代码、数据和资源,可以被进程中的不同线程调用执行。例如,"kernel32.dll"是Windows系统的核心动态库,包含了大量的系统函数。 在Linux中,进程模块的概念稍有不同,它主要与内核模块相关。内核模块...
hook_进程隐藏
07-16
`ZwQuerySystemInformation`是内核模式下获取系统信息的关键API,它允许获取到系统中的各种信息,包括进程线程、内存管理等。通过挂钩(Hook)这个函数,可以拦截并篡改系统返回的信息,从而达到隐藏特定进程的...
郁金香vc过驱动保护
05-15
郁金香VC++过驱动保护是一种针对游戏保护的技术,它主要通过驱动级别的Hook技术来防止第三方工具对游戏进程的调试和篡改。这种保护机制在2008年的版本中得到了增强,涉及到对多个关键系统函数的Inline Hook,包括但...
模拟PspTerminateProcess结束进程-学习笔记
MichaelJScofield的专栏
05-27 5509
此文是阅读黑防上胡文亮大牛《模拟实现NT系统通用PspTerminateProcess》后作为学习笔记记录下来的,仅作学习记录,理解错的请勿拍砖。和通过特征暴力搜索定位PspTerminateProcess的地址的方法相比,亮点就是模拟了实现PspTerminateProcess,PspTerminateThreadByPointer等函数。 此前先看PJF大牛的一篇《进程终止的内幕》
强制进程结束(内核函数)
mmmsss987的博客
06-02 1214
windows给我们结束进程的函数是PsTerminateSystemThread function,通过反汇编我们可以看到PsTerminateSystemThread 调用了未导出的函数PspTerminateThreadByPointer ,然后这个函数又调用了APC和PspExitThread函数对进程实现强制结束。 ...
驱动 -- 强制结束进程 -- 整理
FadeTrack
06-22 2304
有一阵子没 写博客,正好这几天 写了个内核级强制结束进程 的小例子。写这个例子之前都没去查什么资料,主要是想试试自己能不能写出来吧。写完后才发现 看雪论坛 曾经发表过一篇很相似的文章,实现的细节可能有点不一样,不过原理基本是相同的了。 都是通过 这个 PspTerminateThreadByPointer 函数,我是通过查ReactOs 来理解的 NtTeriminateProc
浅谈驱动中强制结束进程的3种方法
少仲
04-12 6698
一个应用程序想要结束另一个进程所要做的事:首先获得目标的进程ID,接着利用OpenProcess获取进程句柄(确保足够权限),最后将句柄传给TerminateProcess了结那个进程. OpenProcess通过本机系统服务接口进入核心态,随后调用ntoskrnl的NtOpenProcess.在服务函数里,系统使用SeSinglePrivilegeCheck检查调用者是否有DEBUG权
线程编程之线程安全退出(原创)---by cacorot
weixin_30547797的博客
10-10 90
线程编程之线程安全退出(原创)---by cacorot 在多线程编程的时候,我们会建立线程去完成某项任务。例如杀毒软件点击开始后,就会创建一个线程开始杀毒。如果想取消杀毒,就会通过另外一个按钮来结束这个线程。但是该如何结束杀毒线程呢? 如果在windows下,该操作系统在ring3层提供了一个函数TerminateThread。原型如下 BOOL Termina...
pspcidtable杂谈
yaneng的专栏
06-18 1603
今天再次看了gz1X牛的文章,回忆了许多知识. 哈哈. 玩了很长时间游戏,写点儿文字算是对自责的一种安慰 要说R0枚举隐藏进程, 只是对没有抹掉PspCidTable而言的.gz1X牛提示了2种方法:Quote::1. 利用未导出的ExEnumHandleTable函数2. 获取PHANDLE_TABLE_ENTRY等,然后PsLookupProcessByProcessId 偶觉得都
驱动开发:内核强制结束进程运行
最新发布
CSDN
10-29 1万+
内核态,但有时我们不得不想办法结束掉这些特殊的进程,当然某些正常进程在特殊状态下也会无法被正常结束,此时使用驱动前行在内核态将其结束掉就变得很有用了,驱动结束进程有多种方法。存在时则可以看到结束效果,当然这种方式只是在内核层面调用了结束进程函数,其本质上还是正常结束,只是这种方式权限要大一些仅此而已。没有被导出,所以我们需要动态的这个内存地址,然后动态调用即可,这个寻找方法可以总结为以下步骤。第二种方法,其原理就是将进程内的线程全部结束掉从而让进程自动结束,由于。首先是第一种方法结束进程,封装实现。
使用 PspTerminateThreadByPointer 强制结束进程
LYSM
06-24 1850
实现过程 我们知道,线程是进程中执行运算的最小单位,是进程中的一个实体,是被系统独立调度和分派的基本单位,线程自己不拥有系统资源,只拥有一点在运行中必不可少的资源,但它可与同属一个进程的其它线程共享进程所拥有的全部资源。一个线程可以创建和撤消另一个线程,同一进程中的多个线程之间可以并发执行。 也就是说,当一个进程中的所有线程都被结束的时候,这个进程也就没有了存在的意义,也随之结束了。这,便是我们本文介绍的这种强制杀进程的实现原理,即把进程中的线程都杀掉,从而让进程消亡,实现间接杀进程的效果。 Windows
3-3、认识进程线程(网络编程)学习PPT
06-11
"3-3、认识进程线程(网络编程)学习PPT" 在计算机科学中,进程线程是操作系统管理程序执行的基本单位。本节学习内容主要涉及这两个概念在网络编程中的应用。 首先,CPU时间片是操作系统为了公平分配CPU资源,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值