Returns' Station

I've taken a shit load of drugs~

关于Inline hook check的一些想法与问题
          这东西弄了近一周才有点眉目,网络上的资料不是很多。爆搜百度google好久还是发现有一点点资料的:
1.rootkits那本书讲了一点,不过那个太挫了,检测了跟没检测一样。就是搜e9 e8判断跳转模块。

2.sysnap的blog里有一点~~最初给我了不少feel,感谢之~~

在我完成了大部分之后发现了 3.sudami的毕设~~~  里面那个流程图实在很清楚,弥补了不少我没想到的问题~~感谢之~~

后来逆了几个ark,各种ark处理方式不太一样,最悲剧的是很多ark都是把code传到 r3去处理,实在懒得逆向exe(od各种下断至今没玩爽...anti dbg也很烂)

本来想看看国外的网页有没有讨论的或者src,惊艳的很少,于是发现我E文也很挫,构造的关键词不怎么样。

总的来说我就是个“挫”字.....

不过经过一周的愣神和坚持不懈还是弄出点东西来,废话结束 开始记录

1.现代ark的方法想找到模块地址是不现实的~随便加点花指令就看不出来了,检测功能的主要精力应该放在对比磁盘和内存中代码不同。至于模块的检查,检查简单的 jmp call push ret之类的就好,当然有时间可以加点n段跳的检查。。当然遇见个变态来个十段跳。。太xx了

2.内核文件的对照,可以自己NtReadFile写入NonePagedPool,还见过网上某大牛写的Ring 0 PELoader,把大牛名字忘记了,真是抱歉。或者直接MmLoadSystemImage,极其方便....当然要记得重定位,PAGE段重定位的时候记得MmLockPagableCodeSection,不然会蓝死....

3.函数什么时候结束?这个很难弄 有ret未必是函数尾,0xcc大多是情况下可以表示函数结束,但也不是绝对,只好扫面函数头起一段足够的长度,遇到反汇编引擎失败的情况返回

4.检测出Inline也未必是恶意代码,不能随便恢复,微软自己有时也给自己打补丁,比如KeFindConfigurationEntry,系统跑起来之后会把开头变成call。INIT section部分会面目全非,所以我只检测.text和PAGE....

5.从EAT和SDDT的函数出发进行递归可以检测未导出函数,但是要避免重复,sudami的论文里写是用HashTable来存放....想半天也没想出怎么构造合理的哈希函数,处理冲突有很复杂。没在内核用过AVL,现在只是简单的用线性表存储,感觉效率不是很差,这块的算法有待改进

就这么多。。刚刚测试了一下我的code,感觉效果还可以。。xuetr的Inline check似乎会有重复检测到SSDT hook的问题...这跟他的检测方法有关...我逆向太挫...没看出个所以然来...
阅读更多
个人分类: 内核研究
想对作者说点什么? 我来说一句

没有更多推荐了,返回首页

不良信息举报

关于Inline hook check的一些想法与问题

最多只允许输入30个字

加入CSDN,享受更精准的内容推荐,与500万程序员共同成长!
关闭
关闭