一种躲避运行时代码校验的方法

最新推荐文章于 2022-12-26 21:19:30 发布
最新推荐文章于 2022-12-26 21:19:30 发布
阅读量1.5k 收藏
点赞数
分类专栏: 汇编及系统 文章标签: hook dll exe null module image

我们有时候需要对运行中的程序打内存补丁,或者对它的代码挂一些钩子之类的工作。但是现在相当多软件进行了运行时的代码检测。一旦发现内存中的代码被修改掉,就会进行处理。本文介绍了一种比较特别的办法,用于通过这些检测。

首先需要说一下做运行时代码校验的方法。一般来说,校验者需要取得当前模块的基地址,通过分析PE结构,获得代码节的偏移和大小,然后对内存中的代码进行CRC或者其他的一些校验。

这其中有个很大的问题,校验者默认了通过这种方式取得的代码节就是当前被使用到的代码,但是事实却不一定如此。一般编译器正常生成的代码,绝大部分跳转和call语句都使用相对地址,因此,我们完全可以把代码节或者整个exe文件映像复制到内存其他地方,并操作进程内的所有线程,使得它执行在新复制的那份代码中。这样,校验者仍然在扫描旧的地址,新的那份我们就可以随意修改了。

由于一旦进程开始执行,并且创建其他线程之后,我们通过取得线程Context获得的EIP,多半在系统代码中间,所以难以改变。唯一的方法就是,在exe的EntryPoint被执行前,将EntryPoint重定向到新的代码,并Hook CreateThread,将新线程也重新定位。可以通过下面几个步骤来实现:

  1. 如果想处理的进程为a.exe,并且a.exe是由b.exe创建的,那么我们需要hook掉b.exe的进程创建函数,一般是CreateProcess。
  2. 在Hook的CreateProcess中,以CREATE_SUSPENDED标志创建a.exe。并向a.exe中注入我们的dll,等待这个dll完成处理之后才ResumeThread a.exe的主线程。
  3. 注入的dll需要完成几件事。首先要获得主模块的基地址和大小,并分配足够的空间,将原始映像复制过去。然后Hook掉EntryPoint,并Hook CreateThread,最后恢复a.exe主线程。
  4. Hook掉的EntryPoint中,恢复被Hook的EntryPoint代码,防止在后面被检查出来,然后jmp到新分配的代码区域即可。
  5. Hook的CreateThread中,重新计算代码线程函数地址,并修改后创建。这样,所有线程就都在新分配的代码中执行了。

下面是注入的dll的实现代码:

 

pfnCreateThread
g_pCreateThread = ::CreateThread;

PBYTE    g_pbyNewImage = NULL;

 

#pragma
pack(push,1)

typedef
struct
_PUSH_RETN

{

    BYTE
byOpcodePush;//0×68

    DWORD
dwRetnAddr;

    BYTE
byOpcodeRetn;//0xC3

}PUSH_RETN, *PPUSH_RETN;

#pragma
pack(pop)

 

BYTE
g_abyOldEntry[6] = {0};

PBYTE
g_pbyOldEntry = 0;

PBYTE
g_pbyNewEntry = 0;

 

//这里使用Detours库Hook掉CreateThread。

BOOL
HookThreadCreate()

{

    DetourTransactionBegin();

    DetourUpdateThread( GetCurrentThread());

 

 

    if( DetourAttach( &(PVOID&)g_pCreateThread, Hook_CreateThread) != NO_ERROR)

    {

        DebugOut( TEXT( “Hook CreateThread failrn”));

    }

 

    if( DetourTransactionCommit() != NO_ERROR)

    {

        DebugOut( TEXT( “Hook failrn”));

        return
FALSE;

    }

    else

    {

        DebugOut( TEXT( “Hook okrn”));

        return
TRUE;

    }

}

 

//Hook的CreateThread里面,重新计算lpStartAddress地址,并按这个地址来创建

HANDLE
WINAPI
Hook_CreateThread(

                                LPSECURITY_ATTRIBUTES
lpThreadAttributes,

                                SIZE_T
dwStackSize,

                                LPTHREAD_START_ROUTINE
lpStartAddress,

                                LPVOID
lpParameter,

                                DWORD
dwCreationFlags,

                                LPDWORD
lpThreadId

                                )

{

    PBYTE
pfn = (PBYTE)lpStartAddress;

    HMODULE
hMod = ::GetModuleHandle( NULL);

    pfn = g_pbyNewImage + (pfn - (PBYTE)hMod);

    HANDLE
hThread = g_pCreateThread( lpThreadAttributes, dwStackSize, (LPTHREAD_START_ROUTINE)pfn, lpParameter, dwCreationFlags,lpThreadId);

    return
hThread;

}

 

//Hook掉的入口点,恢复旧代码并跳转到新分配的代码空间

__declspec( naked ) VOID
Hook_EntryPoint()

{

    //_asm int 3

    for ( DWORD
i = 0; i < sizeof(g_abyOldEntry); i++)

    {//恢复旧的代码

        g_pbyOldEntry[i] = g_abyOldEntry[i];

    }

    _asm
jmp
g_pbyNewEntry;

}

 

//Hook掉入口点

VOID
HookEntryPoint()

{

    DebugOut( _T( “In HookEntryPointrn”));

 

    HMODULE
hMod = ::GetModuleHandle( NULL);

    PIMAGE_DOS_HEADER
pstDosHeader = (PIMAGE_DOS_HEADER)hMod;

    PIMAGE_NT_HEADERS
pstHeader = (PIMAGE_NT_HEADERS)((PBYTE)hMod + pstDosHeader->e_lfanew);

    DWORD
dwEntryRVA = pstHeader->OptionalHeader.AddressOfEntryPoint;

    PBYTE
pbyRVA = (PBYTE)(hMod) + dwEntryRVA;

    PPUSH_RETN
pstHook = (PPUSH_RETN)pbyRVA;

    memcpy( g_abyOldEntry, pbyRVA, sizeof(PUSH_RETN));

    pstHook->byOpcodePush = 0×68;

    pstHook->dwRetnAddr = (DWORD)Hook_EntryPoint;

    pstHook->byOpcodeRetn = 0xC3;

 

    g_pbyOldEntry = pbyRVA;

    g_pbyNewEntry = g_pbyNewImage + dwEntryRVA;

    DebugOut( _T(“New image base = 0x%X, New EntryPoint = 0x%Xrn

                Old image base = 0x%X, Old EntryPoint = 0x%Xrn”), g_pbyNewImage, g_pbyNewEntry, hMod, g_pbyOldEntry);

    DebugOut( _T( “HookEntryPoint OKrn”));

}

 

//在DllMain里面Process Attach的时候调用

VOID
OnAttachProcess()

{

    HMODULE
hMod = ::GetModuleHandle( NULL);

    DWORD
dwSize = GetImageSize();

    g_pbyNewImage = new
BYTE[dwSize];

 

    DWORD
dwOldProtect = 0;

    VirtualProtect( g_pbyNewImage, dwSize, PAGE_EXECUTE_READWRITE, &dwOldProtect);

    VirtualProtect( (LPVOID)hMod, dwSize, PAGE_READWRITE, &dwOldProtect);

    memcpy( g_pbyNewImage, (LPVOID)hMod, dwSize);

 

    HookEntryPoint();

    HookThreadCreate();

}

 

//获得主模块映像大小

DWORD
GetImageSize()

{

    HANDLE
hShot = NULL;

    BOOL
blResult = FALSE;

    MODULEENTRY32
stInfo = {0};

    stInfo.dwSize = sizeof( MODULEENTRY32);

    TCHAR
tszTmp[MAX_PATH] = {0};

 

    ::GetModuleFileName( GetModuleHandle(NULL), tszTmp, MAX_PATH);

    _tcslwr( tszTmp);

    size_t
s = _tcslen(tszTmp);

    for ( DWORD
i = 0; i < s; i++)

    {

        if ( tszTmp[s - i] == ”)

        {

            s = s - i + 1;

            break;

        }

    }

    hShot = ::CreateToolhelp32Snapshot( TH32CS_SNAPMODULE, ::GetCurrentProcessId());

    if ( INVALID_HANDLE_VALUE == hShot)

    {

        DebugOut( _T( “CreateToolhelp32Snapshot fail.Err=%drn”), GetLastError());

        return 0;

    }

 

    blResult = ::Module32First( hShot, &stInfo);

    while ( blResult)

    {

        _tcslwr( stInfo.szModule);

        if ( _tcscmp( stInfo.szModule, tszTmp + s) == 0)

        {

            CloseHandle( hShot);

            return
stInfo.modBaseSize;

        }

        blResult = ::Module32Next( hShot, &stInfo);

    }

    CloseHandle( hShot);

    return 0;

}

这种方法对加壳之后的exe作用有限,因为Hook的并不是真实的OEP。这样做常常会造成壳执行过程中,或者跳转到OEP之后迅速崩溃。本文仅仅是介绍一种思想,有时候巧妙的构思可以使得复杂问题很快得到解决。

b2b160
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
RPGLE 事务处理程序实例代码
01-07
如何使用AS400 中RPGLE 的事务控制操作与隔离级别
AS400-RPG-01
最新发布
码农成长记
11-08 629
RPG 的全称:Report Program Generator能 COPY、修改、编译源代码(RPGLE、CLP),并能运行编译后的程序能 COPY、修改、编译文件(PF、LF、PRTF、DSPF)对数据文件(PF)有简单的认识(FIELD -> RECORD -> PF),并知道 LF 与 PF 的对应关系编写 HELLO WROLD0003.00 C0004.00 C调用程序 call + 程序名 屏幕反白出现 “HELLO WORLD”字样。
RPG开发基础
kwgrun的专栏
10-11 3774
1. 如何建立库、文件和成员 鉴于很多朋友都还是刚接触AS/400,我就从系统登陆开始简单说说吧! 打开AS/400仿真终端(可以是PCOM、CA等软件,如何配置就不说了),输入用户名和密码,进入系统。 如果你的权限足够的话,可以使用CRTLIB命令给自己建
代码静态检查实践
阅读之后,对你有帮助,那就点个赞再走吧
09-20 2199
在分享和你分享代码静态检查实践这个主题时,我分享了近五年国内的大型互联网公司在持续交付实践中摸爬滚打的经验。从这五年的发展实践中,我们可以清楚地看到,越来越多的研发团队把静态检查作为了一个不可或缺的环节,这也确实帮助研发团队提升了代码质量。当然,机器是死的,人是活的,我们千万不要过分迷信静态检查的结果,还要时刻擦亮眼睛,看看是否存在误报等问题。
JAVA实现社会统一信用代码校验方法
08-25
1. 首先,需要定义一个统一社会信用代码的接口,用于提供社会统一信用代码校验方法。 2. 其次,需要生成供较验使用的代码映射关系,使用BidiMap来存储代码和其对应的数字关系。 3. 然后,需要实现社会统一信用代码...
电子-一种电度表自动校验方法
09-15
标题中的“电子-一种电度表自动校验方法”指的是在电力行业中,通过自动化技术对电度表(也称为电能表)进行精准检测和校准的方法。这种方法旨在提高电度表计量的准确性和效率,确保电力系统的公正、合理运行。 在...
ajax实现提交时校验表单方法
11-21
本文实例为大家分享了ajax提交时校验表单的方法,供大家参考,具体内容如下 方法一: 代码示例:  巧妙设计之处:ajax提交的话,不能够进行校验拦截,设置一个flag来判断,很巧妙的设计之处,故收藏! function ...
一百行JS代码实现一个校验工具
01-19
因此,我觉得一个团队或者是一个项目,需要一个校验工具,简化我们的工作。 首先,参考一下 Joi。只看这一小段代码: Joi.string().alphanum().min(3).max(30).required() 我希望我的校验工具Coi也是链式调用,链式...
代码检查、评审、单元测试工具 大搜集
热门推荐
natural_Caduceus
10-12 1万+
1.团队评审工具 静态代码分析工具列表分析—代码分析工具列表(30款工具) 2.代码检查工具 华为DevCloud 三款主流静态源代码安全检测工具比较 静态代码分析工具清单:开源篇(各语言) 代码静态分析工具——splint的学习与使用 3.代码测试框架 使用 Jtest:一款优秀的 Java 代码优化和测试工具 java单元测试工具 junit 一文了解十大 Java 开发者必备测试框架! 4....
内存DLL完整代码
11-28
内存DLL完整代码内存DLL完整代码内存DLL完整代码内存DLL完整代码内存DLL完整代码
AS400 之RPGLE Part 1
weixin_41447442的博客
12-27 1816
RPG在写程序之前关于程序开发,想强调的是:业务流程先于程序——程序是给计算机看的,流程是人执行的;程序是死的,而流程则是一个相对模糊的东西。所以在写程序前,要先弄清楚自己到底要做什么,然后将自己的思想表达给计算机——这个过程就是CODING。RPG的长处在于数据库处理,界面交互能力倒是其次。所以最开始需要了解一些关于数据库文件的相关知识(这里就只强调跟400有关的)。在下面的操作中,假设朋友已经会用STRPDM,会文件的COPY,修改。数据文件PF:COPY一个已经有的比较快点。然后修改一下里面的数据,就
As400 rpgle程序编译错误排查
sun1102的专栏
07-17 1012
As400 rpgle程序编译错误排查 1 CRTBNDRPG PGM(mylib/test1 ) SRCFILE(MYSRCLIB/MYSRC) SRCMBR(test1) BNDDIR(mylib/mybnddir) 这里假设我的程序是 test1,用户是user1,编译失败,如下图 2 通过wrksplf 查看对应的程序编译信息 spooled file ...
代码检查指南】送给面对BUG的时候不知所措的你
刘炫320的博客
08-10 3613
1. 前言 一直听说真正的工业界,真正的代码量占用了很少的精力,更多的精力都在其他的环节。 50%的精力在讨论、展示自己的想法和思路 20%的精力在造轮子、单元测试 20%的精力在写说明文档 10%的精力在真正写代码 还有100%的精力在改自己发现的BUG,自己没发现的BUG,别人发现的BUG。哎,不对啊,怎么总精力不是100%而是200%?没错,这就是程序员为什么需要经常加班的原因。 那么,当我们在面对程序出现了我们不能理解的BUG的时候,应该怎么办? 下面是几个准则,供大家参考。 2. 充分相信代码和机
从AS400上导出RPGLE程序代码
产品经理,程序人生
07-16 2765
打开IBM Personal Communications 1.定位需要导出的RPGLE程序 1.1打开我们要导出的RPGLE程序,这是为了在第二个步骤的时候方便设置参数。 1.2或者你也可以不用打开你的RPGLE程序,如果你熟悉你的库和里面的文件的话。 2.设置导出属性 菜单栏中:操作—>接受来自主机的文件,进入下面的窗口: 图1 2.1 在“库/文件(成员)”下的空白处按
开发检查测试参考文档整理
发现问题,面对问题,分析问题,解决问题,总结问题
12-26 880
成长的关键在于总结和反思,为了避免相同的问题重复发生,避免无谓的踩坑,提高工作效率,减少共性BUG的产生。我这里将日常WEB开发中常见的开发注意自测检查事项进行了抽象,整理,分类,希望能够帮助开发人员减少出现这些易错的,常见的开发问题。
easymule学习----校验dll信息
gongming的专栏
09-15 660
偶尔下了下easyMule的代码学习,看到一些较好的地方,贴一下:校验dll的信息:static bool CheckLangDLLVersion(const CString& rstrLangDLL) { bool bResult = false; DWORD dwUnused; DWORD dwVerInfSize = GetFileVersionInfoSize(const_cast((LPCTSTR)rstrLangDLL), &dwUnused); if (dwVerInfSiz
【漏洞发现-xss跨站脚本攻击】伪代码绕过
m0_46344990的博客
05-30 279
一、漏洞描述 xss跨站脚本攻击是黑客通过“html注入”篡改了网页,插入了js恶意脚本,前端渲染时进行恶意代码执行,从而控制用户浏览的一种攻击。经常出现在需要用户输入的地方,一旦对输入不进行处理,就会发生网页被篡改。 分为三类 反射型:经过后端,不经过数据库 存储型:经过后端,经过数据库 DOM型:不经过后端,是基于文档对象型的一种漏洞,dom-xss是通过url参数去控制触发的 xss靶场第九关服务器采用了替换恶意关键字的方式防御,对输入进行小写转化,并且检查提交数据字符串中是否有http:
"一句话"的艺术——简单的编码和变形绕过检测
weixin_34401479的博客
03-08 348
RedFree · 2013/12/30 12:04 0x00 背景 话说现在针对Web端文件代码检测的服务器安全类软件已经非常普及了,常见的有阿D保护盾、安全狗、护卫神、360网站卫士。它们所拥有的功能也大致相同,如: +---------------------㈠----...
vue保存时自动校验代码
09-20
在Vue项目中,我们可以配置ESLint规则,通过在保存时自动运行ESLint来校验代码的正确性。 2. 使用Vue CLI:Vue CLI是Vue.js官方提供的一个脚手架工具,可以帮助开发者快速搭建Vue项目。在Vue CLI中,我们可以通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值