Dns被莫名篡改的逆向分析定位(笔记)

已于 2024-07-02 19:23:10 修改
阅读量995 收藏 10
点赞数 23
分类专栏: 逆向分析 文章标签: 运维 云计算 windows
于 2024-07-01 17:28:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liaozhilong88/article/details/140095670
版权
引言:最近发现用户的多台机器上出现了Dns被莫名修改的问题,从系统事件上看并未能正常确定到是那个具体软件所为,现在的需求就是确定和定位哪个软件具体所为。

解决思路:
  1. 首先到IPv4设置页面对Dns进行设置:
  2. 通过ProcExp确定了该窗口的宿主进程是Explorer.exe,通过ProcMon对Explorer进行监控,并未发现Explorer将静态Dns的地址写入注册表(后来发现其实Explorer是通过DllHost.exe来实现对注册表修改的,所以没监控到)。
  3. 通过对Explorer进行逆向分析发现Explorer实现比较复杂,后来通过网络发现修改Dns可以通过Netsh.exe这个程序来实现:
  4. 于是转到对Netsh.exe的逆向分析上来,经过仔细分析,发现Netsh.exe对dns的修改是通过netiohlp.dll的NhIpHandleSetDnsServer来实现的:

     
  5. 通过进一步定位发现是NhIpAddDeleteSetServer:
  6. 并发现会通过写入注册表来保存相关信息:

    并通过定位发现注册表地址是:
  7. 并且有重启Dnscahe服务等相关操作:
  8. 1)通过设置系统全局钩子来挂钩系统下所有进程然后挂钩SetRegvalue等api监控,该进程通过SetWindowHookEx来设置全局钩子(其实该挂钩方式不能挂钩没有消息循环的经常),通过inject-helper.exe进程来挂钩发现不能挂钩系统下的所有进程,而且新创建的进程也无法挂钩。
    2)通过设置KnowDlls注册表发现也无法正常挂钩所有进程。
    3)通过底层驱动挂钩,这个方法能监控到应用层的所有进程对注册表的操作,但为了回溯到目标进程,可能也需要加入对父子进程的回溯,这个相对麻烦一些。
  9. 笔者采用相对比较简单容易操作的方法。采用ProcMon来对注册表的监控:

    1)设置第一项筛选:operation is RegSetValue 操作

    2)设置第二项筛选:path is HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{33701f65-c437-47a4-9162-071bd72b3425}\NameServer (复制这个字符串修改UUID即可)

    最后的效果如下图:

    设置好后可以看到监控效果:

  10. 但是我们需要追踪最初始的设置Dns的进程,比如进程A调用了Netsh或DllHost等其他的三方进程来设置Dns,这个时候仅仅监控到Netsh或者DllHost等进程是没用的,需要对进程进行父进程的回溯,才知道源操作进程。
  11. 这个时候需要写一个ProcMon的插件,然后在ProcMon在监控到操作进程后能第一时间对父进程进行回溯。

    编写一个Dll插件,并通过窗口子类化方式来对ProcMon的ListView控件进行消息监控:
      
    static DWORD WINAPI DoWork(LPVOID param)
 {
     swprintf_s(g_szProfilePath, L"%s\\record_%d.log", GetCurrentExePath().c_str(), GetCurrentProcessId());
    
     do {
         HWND hwndTaskManager = FindWindowW(L"PROCMON_WINDOW_CLASS", L"Process Monitor - Sysinternals: www.sysinternals.com");
         if (!hwndTaskManager)
         {
             MessageBox(NULL, L"查找进程窗口失败", L"错误", NULL);
             break;
         }
         DWORD TaskManagerPID = 0;
         GetWindowThreadProcessId(hwndTaskManager, &TaskManagerPID);
         if (TaskManagerPID != GetCurrentProcessId())
         {
             MessageBox(NULL, L"TaskManagerPID != GetCurrentProcessId()", L"错误", NULL);
             break;
         }
         //EnumChildWindows(hwndTaskManager, _EnumChildProc, NULL);
         g_hListView = FindWindowExW(hwndTaskManager, NULL, L"SysListView32", L"");
         if (!g_hListView)
         {
             MessageBox(NULL, L"获取listview句柄为空", L"错误", NULL);
             break;
         }

         fnOriginNetworkList = (WNDPROC)SetWindowLongPtrW(
             g_hListView,
             GWLP_WNDPROC,
             (LONG_PTR)NetworkListWndProc);
     } while (0);
     return 0;
 }
    // 这里是ListView控件的消息处理函数 
LRESULT CALLBACK NetworkListWndProc(
     HWND hwnd,      // handle to window
     UINT_PTR uMsg,      // message identifier
     WPARAM wParam,  // first message parameter
     LPARAM lParam   // second message parameter
 )
 {
     if (uMsg == LVM_SETITEMTEXT || uMsg == LVM_SETITEMTEXTA || uMsg == 4211)
     { 
         wchar_t szSection[50] = { 0 };
         wsprintf(szSection, L"%d_%d", g_iPrevItem, pItem->iItem);
         wchar_t szSubItem[50] = { 0 };
         wsprintf(szSubItem, L"%d", pItem->iSubItem);
         WritePrivateProfileStringW(szSection, szSubItem, pItem->pszText, g_szProfilePath);

         if (pItem->iSubItem == 3) // process ID
         {
             time_t tm = time(NULL);
             struct tm now;
             localtime_s(&now, &tm);
             wchar_t str[100] = { 0 };
             wcsftime(str, sizeof(str) / 2, L"%A %c", &now);
             WritePrivateProfileStringW(szSection, L"time", str, g_szProfilePath);

             DWORD pid = _wtoi(pItem->pszText);
             stuProcNode node = { _wtoi(pItem->pszText), szSection };
             PushProcNodeQueue(node);  // 这里不卡顿消息线程,把父进程回溯抛到另一个独立线程处理
         }
     }

     LRESULT rc = CallWindowProc(
         fnOriginNetworkList,
         hwnd,
         uMsg,
         wParam,
         lParam);

     return rc;
 }
    // 这里是父进程回溯操作
static DWORD WINAPI  DoQueryProcess(LPVOID param)
 {
     while (1)
     {
         WaitForSingleObject(g_hQueryProcEvt, INFINITE); // 新的请求进入队列会触发事件

         std::vector<stuProcNode> ProcNodeList;
         GetProcNodeQueue(ProcNodeList);

         for (int i = 0; i < ProcNodeList.size(); i++)
         {
             std::wstring strpPidNameList;
             DWORD pid = ProcNodeList[i].dwPid;
             while (1)
             {  
                 // 回溯一下父进程
                 HANDLE hProcess = OpenProcess(PROCESS_QUERY_INFORMATION, FALSE, pid);
                 if (hProcess == (HANDLE)-1 || hProcess == 0)
                 {
                     break;
                 }

                 WCHAR szPath[MAX_PATH] = { 0 };
                 GetProcessImageFileName(hProcess, szPath, MAX_PATH);

                 strpPidNameList += L"  [";
                 wchar_t buffer[20] = { 0 };
                 _itow_s(pid, buffer, 20, 10);
                 strpPidNameList += buffer;
                 strpPidNameList += L"  ";
                 strpPidNameList += wcsrchr(szPath, L'\\') ? wcsrchr(szPath, L'\\') + 1 : L"NULL";
                 strpPidNameList += L"]  ";

                 PROCESS_BASIC_INFORMATION pbi = { 0 };
                 if (0 == NtQueryInformationProcess(hProcess, 0, &pbi, sizeof(pbi), NULL))
                 {
                     pid = pbi.InheritedFromUniqueProcessId;
                 }
                 else
                 {
                     break;
                 }
                 
                 CloseHandle(hProcess);
             }
             WritePrivateProfileStringW(ProcNodeList[i].strSection.c_str(), L"PidNameINFO", strpPidNameList.c_str(), g_szProfilePath);
         }
     }
     return 0;
 }
  12. 代码写好了,这个时候通过CFF软件修改ProcMon的导入表,使其依赖我们的插件,这个时候当ProcMon启动的时候就会自动加载我们的插件了,相当于变相注入到了ProcMon进程。
    看看效果:

  13. 这样的监控程序就算写好了,可以交付运维去部署监控了,一旦监控到就会输出到日志文件,并把父子进程进行了回溯。

  14. 附录(全局钩子注入代码):
    BOOL create_inject_process(LPCWSTR inject_helper, LPCWSTR hook_dll, DWORD id, bool bRemoteThread)
{
	BOOL success = FALSE;
	WCHAR sz_command_line[4096] = { 0 };
	PROCESS_INFORMATION pi = { 0 };
	STARTUPINFO si = { 0 };
	si.cb = sizeof(si);

	swprintf_s(sz_command_line, L"\"%s\" \"%s\" %s %lu",
		inject_helper,
		hook_dll,
		bRemoteThread ? L"0" : L"1",
		id);

	success = CreateProcessW(inject_helper, sz_command_line, NULL, NULL,
		false, CREATE_NO_WINDOW, NULL, NULL, &si, &pi);
	if (success) {
		CloseHandle(pi.hThread);
		WaitForSingleObject(pi.hProcess, 300);
		CloseHandle(pi.hProcess);
	}
	else {
		GetLastError();
	}

	return success;
}

BOOL remote_thread_inject(LPCWSTR inject_helper, LPCWSTR hook_dll, DWORD process_pid)
{
	return create_inject_process(inject_helper, hook_dll, process_pid, true);
}

BOOL UI_Message_inject(LPCWSTR inject_helper, LPCWSTR hook_dll, DWORD process_tid)
{
	return create_inject_process(inject_helper, hook_dll, process_tid, false);
}


调用:
#define SHELLPLUGINNAME64   L"PatchPlg64.dll"
#define SHELLPLUGINNAME32   L"PatchPlg32.dll"
#define INJECTHELPER64      L"inject-helper64.exe"
#define INJECTHELPER32      L"inject-helper32.exe"
void CHookMonitorDlg::OnBnClickedOk()
{
	HWND hwnd = (HWND)0x6060241A; //FindWindowExW(NULL, NULL, L"TaskManagerWindow", L"");
	DWORD dwPid = 0;
	DWORD dwTid = GetWindowThreadProcessId(hwnd, &dwPid);
	BOOL b64BitProcess = IsProcessBit(dwPid);

	std::wstring strCurpath = GetCurrentExePath();
	std::wstring strInjectHelper = strCurpath + L"\\" + (b64BitProcess ? INJECTHELPER64 : INJECTHELPER32);
	std::wstring strInjectPlugin = strCurpath + L"\\" + (b64BitProcess ? SHELLPLUGINNAME64 : SHELLPLUGINNAME32);
	//remote_thread_inject(strInjectHelper.c_str(), strInjectPlugin.c_str(), dwPid);
	UI_Message_inject(strInjectHelper.c_str(), strInjectPlugin.c_str(), /*dwTid*/0);
}

    插件代码:

    BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
                     )
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:

        /* this prevents the library from being automatically unloaded
         * by the next FreeLibrary call */
        GetModuleFileNameW(hModule, name, MAX_PATH);
        LoadLibraryW(name);

        dll_inst =(HINSTANCE)hModule;
        init_dummy_window_thread();
        Hook();
        break;
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}


#define DEF_FLAGS (WS_POPUP | WS_CLIPCHILDREN | WS_CLIPSIBLINGS)

HWND dummy_window;
static DWORD WINAPI dummy_window_thread(LPVOID* unused)
{
    static const wchar_t dummy_window_class[] = L"temp_d3d_window_4033485";
    WNDCLASSW wc;
    MSG msg;

    OutputDebugStringA("lzlong dummy_window_thread");

    memset(&wc, 0, sizeof(wc));
    wc.style = CS_OWNDC;
    wc.hInstance = dll_inst;
    wc.lpfnWndProc = (WNDPROC)DefWindowProc;
    wc.lpszClassName = dummy_window_class;

    if (!RegisterClass(&wc)) {
        //hlog("Failed to create temp D3D window class: %lu",
        //    GetLastError());
        return 0;
    }

    dummy_window = CreateWindowExW(0, dummy_window_class, L"Temp Window",
        DEF_FLAGS, 0, 0, 1, 1, NULL, NULL,
        dll_inst, NULL);
    if (!dummy_window) {
        //hlog("Failed to create temp D3D window: %lu", GetLastError());
        return 0;
    }

    while (GetMessage(&msg, NULL, 0, 0)) {
        TranslateMessage(&msg);
        DispatchMessage(&msg);
    }

    (void)unused;
    return 0;
}

static inline void init_dummy_window_thread(void)
{
    HANDLE thread =
        CreateThread(NULL, 0, (LPTHREAD_START_ROUTINE)dummy_window_thread, NULL, 0, NULL);
    if (!thread) {
        //hlog("Failed to create temp D3D window thread: %lu",
        //    GetLastError());
        return;
    }

    CloseHandle(thread);
}

extern "C" {
    __declspec(dllexport) LRESULT CALLBACK
        dummy_debug_proc(int code, WPARAM wparam, LPARAM lparam)
    {
        static bool hooking = true;
        MSG* msg = (MSG*)lparam;

        if (hooking && msg->message == (WM_USER + 432)) {
            HMODULE user32 = GetModuleHandleW(L"USER32");
            BOOL(WINAPI * unhook_windows_hook_ex)(HHOOK) = NULL;

            unhook_windows_hook_ex = (BOOL(WINAPI*)(HHOOK))GetProcAddress(GetModuleHandleW(L"user32"), "UnhookWindowsHookEx");

            if (unhook_windows_hook_ex)
                unhook_windows_hook_ex((HHOOK)msg->lParam);
            hooking = false;
        }

        return CallNextHookEx(0, code, wparam, lparam);
    }
}

    部分inject-helper的代码:

    
typedef HHOOK (WINAPI *set_windows_hook_ex_t)(int, HOOKPROC, HINSTANCE, DWORD);

#define RETRY_INTERVAL_MS      500
#define TOTAL_RETRY_TIME_MS    4000
#define RETRY_COUNT            (TOTAL_RETRY_TIME_MS / RETRY_INTERVAL_MS)

int inject_library_safe_obf(DWORD thread_id, const wchar_t *dll,
		const char *set_windows_hook_ex_obf)
{
	HMODULE user32 = GetModuleHandleW(L"USER32");
	set_windows_hook_ex_t set_windows_hook_ex;
	HMODULE lib = LoadLibraryW(dll);
	LPVOID proc;
	HHOOK hook;
	size_t i;

	if (!lib || !user32) {
		return INJECT_ERROR_UNLIKELY_FAIL;
	}

#ifdef _WIN64
	proc = GetProcAddress(lib, "dummy_debug_proc");
#else
	proc = GetProcAddress(lib, "_dummy_debug_proc@12");
#endif

	if (!proc) {
		return INJECT_ERROR_UNLIKELY_FAIL;
	}

	set_windows_hook_ex = (void*)GetProcAddress(user32, set_windows_hook_ex_obf);

	hook = set_windows_hook_ex(WH_GETMESSAGE, proc, lib, thread_id);
	if (!hook) {
		return GetLastError();
	}

	/* SetWindowsHookEx does not inject the library in to the target
	 * process unless the event associated with it has occurred, so
	 * repeatedly send the hook message to start the hook at small
	 * intervals to signal to SetWindowsHookEx to process the message and
	 * therefore inject the library in to the target process.  Repeating
	 * this is mostly just a precaution. */

	for (i = 0; i < RETRY_COUNT; i++) {
		Sleep(RETRY_INTERVAL_MS);
		PostThreadMessage(thread_id, WM_USER + 432, 0, (LPARAM)hook);
	}
	return 0;
}

liaozhilong88
关注
  • 23
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
路由器DNS篡改怎么办?如何看路由器是否被劫持
10-01
通过劫持路由器,可以篡改路由器DNS地址,一旦DNS地址被篡改,其就可以控制电脑访问网络的情况,下面为大家介绍3种方法看路由器是否被劫持
宽带路由器DNS篡改怎么办 路由器DNS被劫持的解决办法
10-01
由于DNS异常重要,任何修改你DNS设置的行为,如果没有明确告知欲将你的DNS改换成什么IP、并征得你同意都可以视为DNS篡改,下面为大家介绍下具体的解决方法,感兴趣的朋友可以参考下
这一年,这些书:2022年读书笔记
Heartsuit的博客
12-31 3万+
Note: 以下 `markdown` 格式文本由 `json2md` 自动转换生成,可参考[JSON转Markdown:我把阅读数据从MongoDB中导出转换为.md了](https://blog.csdn.net/u013810234/article/details/113360229)了解具体的转换过程。2022年读书笔记
第12节 DNS服务器部署与安全
m0_64378913的博客
12-17 2384
不仅互联网有DNS服务器,中大型企业也有自己的DNS服务器。因此学会DNS服务器的搭建是很有必要的。本节首先介绍了DNS的基本概念、域名结构、解析类型和解析过程等原理。其次介绍了主要DNS服务器的部署过程,并扩展了设置转发器、备份、清理缓存、别名等操作。最后还讲解了常用的DOS命令。
信息安全学习笔记(计算机三级)
qq_45418203的博客
02-17 982
本文章根据B站视频【【杨冬信安】2023年软考信息安全工程师必考知识点(每日1背)】 https://www.bilibili.com/video/BV1VS4y127Hc/?share_source=copy_web&vd_source=cfaee2d6b4ce1389cc9a101338395e4d进行学习而产生的笔记,虽然是软考必背,但其实我考的是计算机三级信息安全技术。考过了准备把笔记发出来,下面有些知识点是“未来教育”题库里面记下的。如有不对,欢迎各位大佬指正。
软考中级工程师笔记
a505964648的博客
05-08 3316
进制。
app,waf笔记
qq_45981247的博客
06-06 851
软考中级网络工程师全面学习笔记第2版(5万字)+配套视频及课件
热门推荐
m0_46179473的博客
08-04 12万+
1、文件包括网工第五版软考中级网络工程师全面学习笔记第二版(5万字)、常用检测命令实践图、协议神图、应第五常见编码图、相版配套视频及课件 2、文件中相应的视频链接也会持续的更新;对于相应的笔记文档的话,这里笔记只有一个文件且体积小也可以编辑,如果是用着WPS云文档也可上传到自己的云文档中,排版的也还可以,即便是打印出来也可以很好的进行阅读与查看 .........
第12节 DNS服务器基本概念、解析原理及部署——以win2003为例
Fighting_hawk的博客
12-08 4662
1. 了解DNS的基本概念、域名结构、解析类型和解析过程等原理。 2. 了解DNS服务器的部署过程,了解设置转发器、备份、清理缓存等操作。 3. 了解常用的DOS命令。
系统集成|第三章(笔记)
xhmico的博客
07-25 911
上篇: 第二章、信息系统服务管理 生命周期:开发方法:项目开发过程:: 概述:是指将计算机软件、硬件、网络通信等技术产品集成为能够满足用户特定需求的信息系统,是一项综合性的系统工程。信息系统集成包括计算机应用系统工程和网络系统工程的总体策划、设计、开发、实施、服务及保障等方方面面。生命周期:分类::信息系统集成项目: 方案设计包括: 和 系统架构:是将系统整体分解为更小的子系统和组件,从而形成不同的逻辑层或服务。设备、DBMS 及技术选型: 软件需求:软件的生命周期:软件设计组成包括:视图包括:软件测试::
明翰恶意软件分析笔记V0.1(持续更新)
欢迎!欢迎来到17号城市!
08-27 2173
文章目录恶意软件分析恶意软件能做什么恶意代码类型1. 基础静态分析反病毒引擎扫描【工具】恶意代码的指纹`查找字符串【工具】`加壳PEiD【工具】PE文件格式文件头 PE header`DLL文件结构`DLL表分节(Section)`.text(代码段)`.rdata(数据段)`.data(数据段)`.idata(数据段).edata(数据段).rsrc.reloc未整理PE View【工具】PE Studio【工具】PE Viewer【工具】Resource Hacker【工具】链接库与函数`DLL文件`静
路由器DNS被劫持篡改的解决方法以迅捷路由器为例
10-01
不少电脑用户的路由器DNS地址遭篡改,遇到最多的就是当在淘宝搜索商品的时候,搜素结果会跳转到某些特殊的网址上,我们只需要进入路由器设置里边检查下DNS是否遭劫持篡改,如果有,改成自动获取即可
路由器DNS被黑客篡改怎么办?.docx
09-27
路由器 DNS 被黑客篡改怎么办?是指黑客通过破解无线网络密码,连接到无线路由器,并篡改路由器 DNS 地址,以达到危害用户网络安全、获取私利的目的。这包括篡改路由器 DNS 地址、监控全网用户的上网情况、窃取用户...
GoogleDNS劫持背后的技术分析
03-04
最近世界真是越来越不太平了,尤其是对于大部分普通人而言。昨天又传来噩耗,根据网络监测公司BGPMon,Google的公开DNS服务器IP8.8.8.8被劫持到了委内瑞拉和巴西超过22分钟。
分布式存储Ceph的部署及应用(创建MDS、RBD、RGW 接口)
weixin_44112402的博客
07-17 749
存储机制会把数据分散存储到多个节点上,具有高扩展性、高性能、高可用性等优点。Ceph使用C++语言开发,是一个开放、自我修复和自我管理的开源分布式存储系统。具有高扩展性、高性能、高可靠性的优点。Ceph目前已得到众多云计算厂商的支持并被广泛应用。RedHat及OpenStack,Kubernetes都可与Ceph整合以支持虚拟机镜像的后端存储。粗略估计,我国70%—80%的云平台都将Ceph作为底层的存储平台,由此可见Ceph俨然成为了开源云平台的标配。
CI/CD详解 & Jenkins 介绍与实战
my的博客
07-16 977
本文大纲概览: CI/CD 概念与工作流程 详解 Jenkins安装、启动、初始化配置 使用Jenkins部署github上的 xzll-im 微服务项目 freestyle方式 push代码后自动部署 pipeline方式部署 pipeline + push 方式 本文实操过程中,相关工具版本信息如下: centos版本: CentOS Linux release 7.9.200...
Langchain-Chatchat3.1版本docker部署流程——知识库问答
最新发布
qq_38531623的博客
07-18 285
langchain-chatchat3.1 docker部署 知识库问答篇
7.17(nodejs、vue、SSH服务、SSH免密登录)
m0_71589190的博客
07-17 1061
nodejs、vue、SSH服务、SSH免密登录

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值