VMP3.6的反调试和反虚拟机

已于 2022-06-27 14:33:32 修改
阅读量5.7k 收藏 12
点赞数 2
分类专栏: 爱好 文章标签: 大数据
于 2022-06-27 14:31:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37353105/article/details/125482851
版权

背景

看雪上有人泄露了3.6.0.1406,第一时间先下载下来,然后加壳之后扔进x32dbg,A debugger has been found.......

 还能怎么办?右键回收站。

 分析

正准备放弃的时候,想了想要不在看看,好吧那就在看看,结果一段瞎分析之后定位到了scylla没有处理完善的函数NtQueryInformationThread和QueryInformationProcess

HookNtQueryInformationThread ThreadHideFromDebugger 
HookNtQueryInformationProcess ProcessDebugPort 
HookNtQueryInformationProcess ProcessDebugObjectHandle 
HookNtQueryInformationProcess ProcessDebugPort

你问我怎么定位的,全是某牛姓男子给我说的,还有需要注意的是这些api下执行是不会断下的,因为它自己shadow了一份systemcall。

R3的反调试,在scylla配置如下的情况下,添加下面的代码(不管你是inline,vt,ifhook都可以,反正蓝的也不是我的电脑)

在内核的处理逻辑如下(都是最简单的返回,有的情况下返回是错误的)

NTSTATUS HookNtQueryInformationProcess(
	HANDLE           ProcessHandle,
	PROCESSINFOCLASS ProcessInformationClass,
	PVOID            ProcessInformation,
	ULONG            ProcessInformationLength,
	PULONG           ReturnLength
) {
	
	UCHAR* fileName = PsGetProcessImageFileName(PsGetCurrentProcess());

	if (memcmp((const char*)fileName, "SuperKiller",strlen("SuperKiller")) == 0 && ExGetPreviousMode() == UserMode)//最新的3.6
	{

		if (ProcessInformationLength != 0)
		{
			__try
			{
				ProbeForRead(ProcessInformation, ProcessInformationLength, 4);
				if (ReturnLength != 0)
					ProbeForWrite(ReturnLength, 4, 1);
			}

			__except (EXCEPTION_EXECUTE_HANDLER)
			{
				return GetExceptionCode();
			}
		}


		if (ProcessInformationClass == ProcessDebugObjectHandle)
		{
			DbgPrint("HookNtQueryInformationProcess ProcessDebugObjectHandle \n");
			PEPROCESS TargetProcess;
			NTSTATUS Status = ObReferenceObjectByHandle(ProcessHandle, 0x0400, *PsProcessType, UserMode, (PVOID*)& TargetProcess, NULL);
			if (NT_SUCCESS(Status) == TRUE)
			{
				__try
				{
					*(ULONG64*)ProcessInformation = NULL;
					if (ReturnLength != NULL)* ReturnLength = sizeof(ULONG64);

					Status = STATUS_PORT_NOT_SET;
				}

				__except (EXCEPTION_EXECUTE_HANDLER)
				{
					Status = GetExceptionCode();
				}

				ObDereferenceObject(TargetProcess);
				return Status;
			}
			return Status;
		}


		else if (ProcessInformationClass == ProcessDebugPort)
		{
			DbgPrint("HookNtQueryInformationProcess ProcessDebugPort \n");
			if (ProcessInformationLength != sizeof(ULONG64))
				return STATUS_INFO_LENGTH_MISMATCH;

			PEPROCESS TargetProcess;
			NTSTATUS Status = ObReferenceObjectByHandle(ProcessHandle, 0x0400, *PsProcessType, UserMode, (PVOID*)& TargetProcess, NULL);
			if (NT_SUCCESS(Status) == TRUE)
			{
				__try
				{
					*(ULONG64*)ProcessInformation = 0;
					if (ReturnLength != 0)
						* ReturnLength = sizeof(ULONG64);
				}
				__except (EXCEPTION_EXECUTE_HANDLER)
				{
					Status = GetExceptionCode();
				}

				ObDereferenceObject(TargetProcess);
				return Status;
			}
			return Status;
		}
		
		else if (ProcessInformationClass == ProcessDebugFlags)
		{
			DbgPrint("HookNtQueryInformationProcess ProcessDebugFlags \n");
			if (ProcessInformationLength != 4)
				return STATUS_INFO_LENGTH_MISMATCH;

			PEPROCESS TargetProcess;
			NTSTATUS Status = ObReferenceObjectByHandle(ProcessHandle, 0x0400, *PsProcessType, UserMode, (PVOID*)& TargetProcess, NULL);
			if (NT_SUCCESS(Status) == TRUE)
			{
				__try
				{
					*(ULONG*)ProcessInformation = 0;
					if (ReturnLength != 0)
						* ReturnLength = sizeof(ULONG);
				}
				__except (EXCEPTION_EXECUTE_HANDLER)
				{
					Status = GetExceptionCode();
				}

				ObDereferenceObject(TargetProcess);
				return Status;
			}

			return Status;
		}

		else if (ProcessInformationClass == ProcessBreakOnTermination)
		{
			DbgPrint("HookNtQueryInformationProcess ProcessBreakOnTermination \n");
			if (ProcessInformationLength != 4)
				return STATUS_INFO_LENGTH_MISMATCH;

			PEPROCESS TargetProcess;
			NTSTATUS Status = ObReferenceObjectByHandle(ProcessHandle, 0x1000, *PsProcessType, UserMode, (PVOID*)& TargetProcess, NULL);
			if (NT_SUCCESS(Status) == TRUE)
			{
				__try
				{
					*(ULONG*)ProcessInformation = 0;
					if (ReturnLength != 0)
						* ReturnLength = sizeof(ULONG);
				}
				__except (EXCEPTION_EXECUTE_HANDLER)
				{
					Status = GetExceptionCode();
				}

				ObDereferenceObject(TargetProcess);
				return Status;
			}

			return Status;
		}
	}

	return ((PNtQueryInformationProcess)g_jmpNtQueryInformationProcess)(ProcessHandle, ProcessInformationClass, ProcessInformation, ProcessInformationLength, ReturnLength);
}


NTSTATUS HookNtQueryInformationThread(
	HANDLE          ThreadHandle,
	THREADINFOCLASS ThreadInformationClass,
	PVOID           ThreadInformation,
	ULONG           ThreadInformationLength,
	PULONG          ReturnLength
) {
	UCHAR* fileName = PsGetProcessImageFileName(PsGetCurrentProcess());

	if (memcmp((const char*)fileName, "SuperKiller", strlen("SuperKiller")) == 0 && ExGetPreviousMode() == UserMode)//最新的3.6
	{
		if (ThreadInformationLength != 0)
		{
			__try
			{
				ProbeForRead(ThreadInformation, ThreadInformationLength, 4);
				if (ReturnLength != 0)
					ProbeForWrite(ReturnLength, 4, 1);

			}
			__except (EXCEPTION_EXECUTE_HANDLER)
			{
				return GetExceptionCode();
			}
		}

		if (ThreadInformationClass == ThreadHideFromDebugger)
		{
			DbgPrint("HookNtQueryInformationThread ThreadHideFromDebugger \n");
			if (ThreadInformationLength != 1)
				return STATUS_INFO_LENGTH_MISMATCH;

			PETHREAD TargetThread;
			NTSTATUS Status = ObReferenceObjectByHandle(ThreadHandle, 0x40, *PsThreadType, UserMode, (PVOID*)& TargetThread, NULL);
			if (NT_SUCCESS(Status) == TRUE)
			{
				__try
				{
					*(BOOLEAN*)ThreadInformation =0;

					if (ReturnLength != 0)* ReturnLength = 1;
				}
				__except (EXCEPTION_EXECUTE_HANDLER)
				{
					Status = GetExceptionCode();
				}

				ObDereferenceObject(TargetThread);
				return Status;
			}

			return Status;
		}

	}
	return ((PNtQueryInformationThread)g_jmpNtQueryInformationThread)(ThreadHandle, ThreadInformationClass, ThreadInformation, ThreadInformationLength, ReturnLength);
}

R0的反调试,都是直接返回失败

NTSTATUS HookNtQuerySystemInformation(
	SYSTEM_INFORMATION_CLASS SystemInformationClass,
	PVOID                    SystemInformation,
	ULONG                    SystemInformationLength,
	PULONG                   ReturnLength
) {
	if(SystemInformationClass ==  SystemKernelDebuggerInformation || SystemInformationClass == SystemKernelDebuggerInformationEx || SystemCodeIntegrityInformation == SystemInformationClass || ProcessDebugObjectHandle == SystemInformationClass)
		return STATUS_UNSUCCESSFUL;

	return ((PNtQuerySystemInformation)g_jmpNtQuerySystemInformation)(SystemInformationClass, SystemInformation, SystemInformationLength, ReturnLength);
}

反虚拟机

1、需要处理的是cpuid,代码是抄的别人写的vt,随便改改

Registers->Rcx = (ULONG_PTR)dwCpuidRegisters.ecx & 0xFFFFFFFF7FFFFFFF;//绕过vmp的虚拟机检测

2、需要注意中断,如果用的vthook,需要判断当前的tf标志位

if (GuestRflag.fields.tf)
{
ULONG64 info = 0;
// 注入一个硬件调试中断
InjectInterruption(kHardwareException, EXCEPTION_VECTOR_DEBUG, false, 0);
info = VmxCsRead(GUEST_INTERRUPTIBILITY_INFO);
info &= ~2;
VmxCsWrite(GUEST_INTERRUPTIBILITY_INFO, info);
}

3、NtQuerySystemInformation的处理,比3.5多了一个BMSR

NTSTATUS HookNtQuerySystemInformation(
	SYSTEM_INFORMATION_CLASS SystemInformationClass,
	PVOID                    SystemInformation,
	ULONG                    SystemInformationLength,
	PULONG                   ReturnLength
) {
	if (SystemInformationClass == SystemFirmwareTableInformation && SystemInformation)
	{
		__try
		{
			if (*(PULONG)SystemInformation == 0x4649524d || *(PULONG)SystemInformation == 0x52534d42)//MRIF BMSR
			{
				return STATUS_UNSUCCESSFUL;
			}
		}
		__except (EXCEPTION_EXECUTE_HANDLER) {}
	}

	return ((PNtQuerySystemInformation)g_jmpNtQuerySystemInformation)(SystemInformationClass, SystemInformation, SystemInformationLength, ReturnLength);
}

结束

做完上面的准备工作,vmp3.6就能在虚拟机正常被调试了,这些都是某牛姓男子教的,我啥也不会!我是真菜啊!

(一)Flink 概览
springk的专栏
06-05 98
本章针对 Apache Flink 的基本概念、应用场景、主要组件、运行架构、版本历史进行介绍,让学者对 Flink 这项分布处理技术能够有初步的了解。
Flink处理快速入门
soso1968的博客
10-19 1492
作为流一体的计算框架,Flink不仅能够提供低延迟的流数据处理(Streaming Data Processsing),也能进行高吞吐的处理(Batch Data Processing)。实时计算Flink版对处理能力进行了专门的支持,提供了包括作业开发、作业运维、作业编排、资源队列管理、数据结果探查等能力,可以利用Flink处理能力更好地解决业务需求。本文通过具体的示例为您介绍如何利用实时计算Flink版关键功能进行数据处理。实时计算Flink版提供了以下关键功能来支持Flink处理SQL
Flink SQL 处理
weixin_30420305的博客
09-25 1166
<dependencies> <dependency> <groupId>org.apache.flink</groupId> <artifactId>flink-table-planner_2.11</artifactId> <version>1.9.0&...
OpenEuler部署Flink 1.19.2完全分布集群
最新发布
shisjin的博客
03-14 3063
OpenEuler部署Flink 1.19.2完全分布集群
Flink1.7.2 sql 处理示例
大数据技术分享
03-15 2304
Flink1.7.2 sql 处理示例 源码 https://github.com/opensourceteams/flink-maven-scala 概述 本文为Flink sql Dataset 示例 主要操作包括:Scan / Select,as (table),as (column),limit,Where / Filter,between and (where),Sum,min,...
flink sql-处理
qq_38360229的博客
10-01 1080
前言 本文为学习flink入门与实战/网易云课堂-flink数据项目实战课程的笔记整理,由于工作需要,先学习flink sql 一、table api & flink sql 介绍 flink sql可以达到流结合 使用类sql执行计算 二、maven依赖 <dependency> <groupId>org.apache.flink</groupId> <artifactId&g
二刷大数据(三)- Flink1.17
qq_58551342的博客
04-18 1584
通过算子链,多个算子的子任务(Subtask)可以共享同一个 Task Slot,避免了跨进程或跨网络的数据交换,减少了线程上下文切换、数据序列化/反序列化的开销,同时也降低了对系统资源的需求。如果作业的并行度大于可用的任务槽数量,部分子任务将在其他 TaskManager 的任务槽中执行,或者等待空闲的任务槽。综上所述,Flink 中的水位线是事件时间处理框架中不可或缺的一部分,它通过动态跟踪和传播事件时间的进展,解决了实时数据流中的乱序问题,确保了基于事件时间的窗口计算能够在合理的时间内准确完成。
20241001数据计算 - SPRAK3.5与FLINK1.20 (实践)
weixin_46449024的博客
09-27 270
两款流行的大数据计算引擎都在流计算方面不断进化;看来流一体是趋势。两者都将SQL发挥的淋漓精致,开发效率将来必然会有更大的提升。
Flink SQL实现流一体
大数据研习社
04-22 8016
1 Flink统一思想 1.1 有界流和无界流 在Flink中,处理时流处理的一个特例。 1.2 Flink老架构与问题 1.Flink用户角度(企业开发人员) (1)开发的时候,Flink SQL支持的不好,就需要在两个底层API中进行选择,甚至维护两套代码。 (2)不同的语义、不同的connector支持、不同的错误恢复策略等。 (3)Table API也会受不同的底层API、不同的connector等问题的影响。 2.Flink开发者角度(Flink社区人员)
flink sql 案例
weixin_42600128的博客
01-04 224
好的。 Flink SQL是一种用于编写和执行Flink程序的语言。它允许用户使用SQL语法从多个来源获取数据并进行转换和处理,然后将结果写入到多个目标。 下面是一个简单的Flink SQL案例: 假设我们有一个名为"user_events"的表,其中包含用户ID和用户事件(如点击或购买)。我们希望每小时计算出每个用户的事件总数。 我们可以使用以下Flink SQL查询实现此目的: SELECT ...
Flink SQL
yiku9527的博客
01-09 470
基于Flink 1.7
Flink02:【案例】流处理处理开发
weixin_40612128的博客
03-15 765
先把Flink的开发环境配置好。 创建maven项目:db_flink 首先在model中将scala依赖添加进来。 然后创建scala目录,因为针对flink我们会使用java和scala两种语言 创建包名 在src/main/java下创建com.imooc.java 在src/main/scala下创建com.imooc.scala 接下来在pom.xml中引入flink相关依赖,前面两个是针对java代码的,后面两个是针对scala代码的,最后一个依赖是这对flink1.11这个版本需要添加的
轻松通关Flink第05讲:Flink SQL & Table 编程和案例
sucaiwa的博客
03-26 407
我们在前面的课时中讲过 Flink 的分层模型,Flink 自身提供了不同级别的抽象来支持我们开发流或者处理程序,下图描述了 Flink 支持的 4 种不同级别的抽象。Table API和SQL处于最顶端,是 Flink 提供的高级 API 操作。Flink SQLFlink 实时计算为简化计算模型,降低用户使用实时计算门槛而设计的一套符合标准 SQL 语义的开发语言。
Flink1.19 Scheduler调度器及任务部署
m0_73904819的博客
08-15 912
首先启动JobMaster,初始化jobMaster对象时,会将JobGraph转化ExectionGraph并且生成Execution拓扑图,调度器根据拓扑图进行调度,先向ResourceManager申请资源后,而RM会向TaskExecutor申请资源,资源申请完成后,部署Flink任务。schedulingStrategy调度策略接口,当前为流处理,PipelinedRegionSchedulingStrategy。->startScheduling() 开始调度资源申请和任务部署。
FlinkSQL开发
Appreciate(欣赏)
01-29 2201
Table API和SQL是最上层的API,在Flink中这两种API被集成在一起,SQL执行的对象也是Flink中的表(Table),所以我们一般会认为它们是一体的。Flink流统一的处理框架,无论是处理DataSet API)还是流处理(DataStream API),在上层应用中都可以直接使用Table API或者SQL来实现;这两种API对于一张表执行相同的查询操作,得到的结果是完全一样的
极客时间_FlinkSQL 实战
南雨有云
02-12 893
极客时间_FlinkSQL 实战
Flink1.19心跳机制
m0_73904819的博客
07-31 2055
12.调用requestHeartbeat()方法,传进去两个参数,一个是resourceid(每一个tm后者jobmaster都有唯一resourceid),另一个payload,是发送的消息数据,下面的whencompleteAsync是心跳消息发送后,失败或者成功的逻辑就在这里面,我们继续点进requestheartbeat()方法。11.这个时候我们再回头看这个定时调度的任务,此时map中有值,会调用requestHeartbeat()方法,点进这个方法。Flink1.19心跳机制实现原理。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值