无聊写个示例程序,改自身PEB欺骗SREng

最新推荐文章于 2024-04-29 21:32:27 发布
最新推荐文章于 2024-04-29 21:32:27 发布
阅读量2k 收藏
点赞数
文章标签: include token path macros 汇编 string
  
freesoft00
freesoft00 当前离线
UID
129513
在线时间
490 小时
帖子
1290
积分
2589
技术
0
魅力
0
人气
21
活力
1202
性别
保密
经验
2589
阅读权限
30
最后登录
2012-6-29
主题
57
精华
0
查看个人网站 查看详细资料

卡饭_见习写手

Rank: 3Rank: 3

距离下一级还需 411 积分
积分
2589
技术
0
魅力
0
人气
21
注册时间
2006-12-7
2009-4-11 12:02:23 | 显示全部楼层
原帖是在剑盟看到轩辕小聪发的,转过来。


无聊写个示例程序,改自身PEB欺骗SREng无聊之中想到自己很久前用Delphi做过的类型的玩意,现在简化成汇编做个示例。

复制内容到剪贴板 代码:.386
.model flat,stdcall
option casemap:none
include \masm32\include\windows.inc
include \masm32\include\kernel32.inc
includelib \masm32\lib\kernel32.lib
include \masm32\include\user32.inc
includelib \masm32\lib\user32.lib
include \masm32\Macros\Strings.mac

.data
CCOUNTED_UNICODE_STRING        "svchost.exe", lpsname, 4
CCOUNTED_UNICODE_STRING        "C:\\WINDOWS\\system32\\svchost.exe", lpfname, 4

.code
Start        proc uses esi edi ebx
assume        fs:nothing
xor        eax, eax
mov        eax, fs:[eax+18h]
mov        eax, [eax+30h]
mov        ebx, [eax+10h]
lea        edi, [ebx+38h]
lea        esi, offset lpfname
push        esi
movsd
movsd
pop        esi
movsd
movsd
mov        eax, [eax+0Ch]
mov        eax, [eax+0Ch]
lea        edi, [eax+2Ch]
lea        esi, offset lpsname
movsd
movsd
lea        edi, [eax+24h]
lea        esi, offset lpfname
movsd
movsd
sleeploop:
invoke        Sleep,7D0h
jmp        sleeploop
ret
Start endp

end Start
include中的String.mac来自KmdKit。
程序原理就是修改PEB中有关自身文件名的UNICODE_STRING字符串。后面的Sleep死循环完全是为了让程序不退出,可以观察效果,试验完后直接结束进程即可。
由于PEB结构偏移声明比较罗嗦,这里直接硬编码了,不明白的自己在WINDBG下查。








[ 本帖最后由 freesoft00 于 2009-4-11 16:26 编辑 ]
附件: 你需要登录才可以下载或查看附件。没有帐号?注册卡饭
 
 

举报

  
freesoft00
freesoft00 当前离线
UID
129513
在线时间
490 小时
帖子
1290
积分
2589
技术
0
魅力
0
人气
21
活力
1202
性别
保密
经验
2589
阅读权限
30
最后登录
2012-6-29
主题
57
精华
0
查看个人网站 查看详细资料

卡饭_见习写手

Rank: 3Rank: 3

距离下一级还需 411 积分
积分
2589
技术
0
魅力
0
人气
21
注册时间
2006-12-7
2009-4-11 12:04:01 | 显示全部楼层
关注卡饭腾讯微博 -关注卡饭新浪微博
调用ZwQueryVirtualMemory遍历进程模块示例(更新)昨天发了个改自身PEB欺骗SREng的示例,本来只是纯属自娱自乐,结果大家的反馈让我大吃一惊,原来有这么多Ring3甚至Ring0的程序,在获取进程模块全文件名时都偷懒了,这实在令人大感意外。
也许大家都觉得,隐藏进程和检测隐藏进程才是王道,却没有注意到,恶意软件进程有时根本不需要隐藏,只要能给自己披上一个伪装,让安全软件把它的进程当成是正常的,就足够了。在现今杀毒软件普遍搞主动防御的情况下,这种情况更为明显。HIPS对恶意软件的行为,不是拦截不住,而是因为它“看起来正常”,而被放过了。我昨天发那个示例,其实本来就是想要让大家意识到这一点。
不过无论如何,还得自己收尾,Ring3情况下怎么对付这种伎俩?学IceSword,ZwQueryVirtualMemory。只不过IceSword是在驱动层调用(ntoskrnl.exe没有导出,要自己从SSDT中找地址),其实Ring3情况下也可以调用的。

因此我今天再给一个示例,可以把之前发的PEB.exe的真身给揭发出来。

一直只知道IceSword(以及看雪论坛上开源的山寨版IceSword)是用ZwQueryVirtualMemory来遍历进程的虚拟内存,从而得到加载的模块的,不过从来没有自己试过。
看了山寨版IceSword相关代码,原来是在Ring3中实现的,就想自己动手整一整,结果发现原来不是那么难。于是用汇编写了个Win32控制台程序来做演示。
基本原理不复杂,倒是细枝末节耗去很多时间。

首先我是以区段内存对齐的单位0x1000字节进行遍历,这样会出现多个区段属于同一个文件。这样我使用两次调用ZwQueryVirtualMemory:
第一次使用参数MemoryBasicInformation,判断传回的MEMORY_BASIC_INFORMATION结构中的AllocationBase字段值与传入的Base是否相等,相等则说明这是文件的第一个区段,这时才进行第二次调用;
第二次使用参数MemorySectionName,获得区段文件名。
山寨版IceSword使用的是0x10000字节为间隔,似乎就避免了这个麻烦,而且也不会漏掉模块。

第一次写Win32控制台程序,也是第一次用msvcrt.dll中的函数(由masm32rt.inc中封装)做字符串处理,发现自己这一块居然超不熟,耗费了不少时间。

其实说原创也不是太合适了,因为参考了一些网上的代码,比如山寨版IceSword,还有提SeDebugPrivilege的那部分也是直接拿的网上的代码(其实只要不是访问系统进程,提权不是必须的)。

代码写得比较挫,又一次证实了自己在Win32汇编这块还很菜……

调用方法:把进程ID作为命令行参数传入,如Query.exe 1000

update:这帖发看雪之后,引来几位牛人回帖,也算值了
如海风月影回帖指出不支持非本地磁盘盘符解析的毛病,这个是我之前偷懒了。

看了看雪上的回帖之后又修改了一下,主要是在盘符转换方面不再偷懒,现在应该可以支持非本地磁盘了。
对这个功能,发现KsBinSword好像没有做?
网上搜索发现QueryDosDevice,但据说没有功能反过来的,这样只能先对A-Z的盘符调用QueryDosDevice,把结果保存起来,然后需要转换的时候再跟全文件名比对。

另外调试了一下ZwQueryVirtualMemory的调用,因为我很在意那几个nls文件,记得好像说是内核创建进程过程中将其映射的。想看看怎么把它们跟后面的Module区分开来。
发现这几个nls映像头部的AllocationProtect都有PAGE_EXECUTE属性,而其他各个exe和dll的映像头部的AllocationProtect属性没有PAGE_EXECUTE,但两者当前的Protect属性都有PAGE_EXECUTE。
因此加了几行代码来做检测,在原文中被注释掉了,如果把注释掉的还原,则显示出来的模块中不包括nls文件。 复制内容到剪贴板
代码:;===============================================================================
;use ZwQueryVirtualMemory to enum Modules of a process
;subsystem:console
;OS Platform:tested on Windows XP Professional simplified with Service Pack 3
;轩辕小聪 http://hi.baidu.com/yicong2007
;
;release notes:
;
;2009.04.06
;改写ConvertDeviceStr函数,实现DosDevice与盘符的转换,以支持非本地磁盘盘符的获取。
;遍历时只对具有PAGE_EXECUTE属性的内存查找MemorySectionName。
;如将被注释掉的三处代码还原,可过滤掉nls文件的显示,但不知这样是否会漏掉模块。
;
;2009.04.05
;第一个版本
;
;===============================================================================
include \masm32\include\masm32rt.inc
include \masm32\include\w2k\native.inc
includelib \masm32\lib\masm32.lib
include \masm32\macros\macros.asm
include \masm32\include\advapi32.inc
includelib \masm32\lib\advapi32.lib

.data
PID dd 0
Base dd 0
hProcess dd 0
DataLength dd 0
lpszPID db 120 dup(0)
lpoutdata db 300h dup(0)
lpFileName db 120h dup(0)
lpDeviceList dd 26d dup(0)
lpListBuffer db MAX_PATH*26d dup(0)
.code

CreateDeviceList proto

CreateDeviceList proc uses esi edi ebx
        local        VolNum
        local        i

        mov        VolNum, 3A41h
        mov        i, 0
        mov        esi, offset lpListBuffer
        mov        edi, offset lpDeviceList
        .repeat
                invoke        QueryDosDevice, addr VolNum, esi, MAX_PATH
                .if        eax!=0
                        mov        [edi], esi
                        xor        eax, eax
                        mov        byte ptr [esi+MAX_PATH-1], al
                .endif        
                lea        esi, [esi+MAX_PATH]
                lea        edi, [edi+4]
                add        VolNum, 1
                add        i, 1
        .until        i == 26d        
        mov        eax, 1
        ret        
CreateDeviceList endp

ConvertDeviceStr proto :DWORD, :DWORD

;=====================================================
;把得到的文件名中的盘符翻成平常的C、D……并将字符串改
;成输出所需的格式
;=====================================================
ConvertDeviceStr proc uses esi edi ebx lpSource:DWORD, ImageBase:DWORD

        local        VolNum
        local        lptmp[MAX_PATH]:byte
        local        i
        local        match

        lea        edi, lptmp
        xor        eax, eax
        mov        i, eax
        mov        match, eax
        mov        ecx, MAX_PATH
        rep        stosb
        mov        VolNum, 41h
        mov        esi, offset lpDeviceList

        .repeat
                mov        edi, [esi]
                .if        edi!=0
                        invoke        crt_strstr, lpSource, edi
                        .if        eax==lpSource
                                mov        match, 1
                                .break
                        .endif        
                .endif        
                add        esi, 4
                add        VolNum, 1
                add        i, 1
        .until        i==26d        

        .if        match==0
                invoke        crt_strncpy, addr lptmp, lpSource, MAX_PATH
        .else        
                invoke        crt_strlen, edi
                mov        esi, lpSource
                lea        esi, [esi+eax]
                invoke        crt_sprintf, addr lptmp, CTXT('%s:%s'), addr VolNum, esi
        .endif        
        invoke        crt_sprintf, lpSource, CTXT('%08X   %s',0dh,0ah), ImageBase, addr lptmp
        ret
                        
ConvertDeviceStr endp

DebugPrivilege   PROTO :DWORD

;=====================================================
;提SeDebugPrivilege,copy from network
;=====================================================

DebugPrivilege    proc uses esi edi ebx dwEnbled

        local        hToken
        local        tmpLuid:LUID,tkp:TOKEN_PRIVILEGES
   
        invoke        GetCurrentProcess
        lea        ebx,hToken
        invoke        OpenProcessToken, eax, TOKEN_ADJUST_PRIVILEGES Or TOKEN_QUERY, ebx
        invoke        LookupPrivilegeValue, NULL, CTXT('SeDebugPrivilege'), addr tmpLuid
        mov        tkp.PrivilegeCount,1
        push        tmpLuid.LowPart
        pop        tkp.Privileges[0].Luid.LowPart
        push        tmpLuid.HighPart
        pop        tkp.Privileges[0].Luid.HighPart
        .if        dwEnbled
                mov        tkp.Privileges[0].Attributes, SE_PRIVILEGE_ENABLED
        .else        
                mov        tkp.Privileges[0].Attributes,NULL
        .endif        
        invoke        AdjustTokenPrivileges, hToken, FALSE, addr tkp, sizeof TOKEN_PRIVILEGES, NULL, NULL
        invoke        GetLastError
        .if        eax == ERROR_SUCCESS
                push        TRUE
        .else        
                push        FALSE
        .endif               
        invoke        CloseHandle,hToken
        pop        eax
        ret
        
DebugPrivilege    endp

Start        proc uses esi edi ebx

        invoke        GetCL, 1, offset lpszPID        
        invoke        crt_sscanf, offset lpszPID, CTXT('%d'), offset PID
        .if        PID==0
                invoke        StdOut, CTXT('Invaild PID.')
                ret        
        .endif        
        invoke        DebugPrivilege, 1
        .if        eax==FALSE
                invoke        StdOut, CTXT('Enable SeDebugPrivilege failed.')
                ret
        .endif        
        invoke        OpenProcess, PROCESS_QUERY_INFORMATION, 0, PID
        .if        eax==0
                invoke        StdOut, CTXT('OpenProcess failed.')
                ret
        .endif        
        mov        hProcess, eax
        invoke        GetModuleHandle, CTXT('ntdll.dll')
        mov        esi, eax
        invoke        GetProcAddress, esi, CTXT('ZwQueryVirtualMemory')
        mov        edi, eax
        invoke        StdOut, CTXT('ModuleBase ImageFileName',0dh,0ah)
        invoke        CreateDeviceList
        .repeat        
                push        offset DataLength
                push        300h
                push        offset lpoutdata
                push        MemoryBasicInformation
                push        Base
                push        hProcess
                call        edi
                mov        esi, offset lpoutdata
                assume        esi:ptr MEMORY_BASIC_INFORMATION
                ;mov        ebx, [esi].AllocationProtect
                ;and        ebx, WSLE_PAGE_EXECUTE
                mov        ecx, [esi].Protect
                and        ecx, WSLE_PAGE_EXECUTE
                mov        esi, [esi].AllocationBase
                assume        esi:nothing
                .if        eax==0 && esi==Base && ecx!=0 ;&& ebx==0               
                        push        offset DataLength
                        push        300h
                        push        offset lpoutdata
                        push        MemorySectionName
                        push        Base
                        push        hProcess
                        call        edi        
                        .if        eax==0
                                mov        esi, offset lpoutdata
                                assume        esi:ptr MEMORY_SECTION_NAME
                                movzx        eax, [esi].SectionFileName._Length
                                .if        eax!=0
                                        mov        esi, [esi].SectionFileName.Buffer
                                        assume        esi:nothing
                                        invoke        crt_sprintf, offset lpFileName, CTXT('%ws'),esi
                                        invoke        ConvertDeviceStr, offset lpFileName, Base
                                        invoke        StdOut, offset lpFileName
                                .endif                                       
                        .endif
                .endif        
                mov        eax, Base
                add        eax, 1000h
                mov        Base, eax
        .until        Base==80000000h
        ret

Start endp

end Start

[ 本帖最后由 freesoft00 于 2009-4-11 16:26 编辑 ]
wdykanq
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
修改程序peb过某些防火墙
天使的薄荷
01-21 1357
现在自己构造数据包进行发送已经不是很现实了,简单的数据还行,如果是大的数据,比如发送一个文件,比如不停的和外界的服务器保持联系,都是很不方便的,所以找到了一个方法,就是将程序peb修改成和某些系统进程一样的peb,这样就在一定程度上伪装成了系统进程,这里以lsass.exe为例。有关peb的资料请自己查相关资料,或者是好好看看 windows核心编程,windows程序设计。首先声明相关的结
PEBFake:PEBFake(修改PEB 伪装当前进程路径、参数等)
05-27
Fake process imagepath and nameBTW当然你可以去修改其他进程的PEB信息,参考:测试效果
通过 PEB 变进程名,实现“穿透”防火墙
01-12 1973
PEB(Process Environment Block)——进程环境块,存放进程信息,每个进程都有自己的 PEB 信息。在 Win 2000 下,进程环境块的地址对于每个进程来说是固定的,在 0x7FFDF000 处,这是用户区内存,所以程序能够直接访问。准确的 PEB 地址应从系统的 EPROCESS 结构的 1b0H 偏移处获得,但由于 EPROCESS 在进程的核心内存区,所以程序不能直
关于进程PEB结构的修改实现
eaglenet的专栏
02-18 4654
关于进程PEB结构前辈们给出了几篇比较详细的文章。例如:《JIURL玩玩Win2k进程线程篇 PEB》《陆麟 的 WIN2000 SP1的PEB结构》其中JIURL写的那篇是我到现在看到最详细的了。但是他们都没有给出具体的编程实现。所以在这里我就实现了一下PEB结构修改算是一个小小补充吧:)。下面是我的实现代码。关于原理我在里就不多说了,原理的东西可以看上面两个大牛的文章。代码如下:CODE:
Delphi获取进程的命令行参数
autumn20080101的专栏
05-05 2227
您现在的位置:首页 >> 算法基础 >> 信息正文 Delphi获取进程的命令行参数 2009-4-16 15:20:35 来源: 转载 作者:wr960204 访问:909 次 被顶:3 次 字号:【大 中 小】 type UNICODE_STRING = packed record Length: Word; MaximumLength: Word;
PEB20534驱动(WINDOWS)含验证程序.rar
08-24
PEB20534下的windows驱动代码,含验证代码
PEB_Test.cpp
12-17
1:读取进程的PEB信息 2:进程反调试 3:https://blog.csdn.net/sinat_34260423/article/details/55096488
PEB隐藏模块
09-03
PEB隐藏模块PEB
PEB4266.pdf.gz_3304_VINETIC_family_peb
09-14
VINETIC Voice and Internet Enhanced Telephony Interface Concept ...PEB 3324 PEB 3322 PEB 3332 PEB 3320 PEB 3314 PEB 3394 PEB 3304 PEB 4264/-2 PEB 4364 PEB 4265/-2 PEB 4365 PEB 4266 PEB 4262 PEB 4268
SRENG2 算号器源代码
07-31
SRENG2 算号器源代码,使用VC++ 2008编写
Delphi中结构体成员内存偏移基址计算方法(C++中的offsetof 的实现)
wh445306
08-10 430
C++中: (PVOID64)(Ldr64 + offsetof(PEB_LDR_DATA64, InLoadOrderModuleList)) //------------------------------------------------------------------ delphi中实现: VAR Ldr64: PEB_LDR_DATA64; 1, PVOID(NativeUInt(@Ldr64)+NativeUInt(@PEB_LDR_DATA64(nil^).InLoadOrderMo.
用户层修改peb实现隐藏一些东西
weixin_34032827的博客
03-14 954
#include "stdafx.h" #include <string> #include <Windows.h> #include <Shlwapi.h> #pragma comment(lib,"ole32.lib") #pragma comment(lib,"shlwapi.lib") #pragma comment(lib,"shell32.l...
PEB在傀儡进程执行代码
求索
03-11 1144
PEB在傀儡进程执行代码
一步一步教你写DOTA外挂
huobengle
12-22 751
好久木有研究DOTA了,整理篇小菜文章。 首先,我们要提升外挂本身程序权限,使其能够有权限修改war3游戏的内存。这个c++可以使用如下代码 void EnableDebugPriv()//提升程序自身权限 { HANDLE hToken; LUID sedebugnameValue; TOKEN_PRIVILEGES tkp; ...
鸿蒙内核源码分析(汇编基础篇) | CPU在哪里打卡上班
最新发布
maniuT的博客
04-29 909
本篇通过拆解一段很简单的汇编代码来快速认识汇编,为读懂鸿蒙汇编打基础.系列篇后续将逐个剖析鸿蒙的汇编文件.
第三章、汇编1
feng__shuai的博客
04-23 1220
g:这是另一个编译选项,用于生成调试信息。使用 -g 选项编译程序会在生成的可执行文件中包含调试信息,包括源代码中的行号、变量名等,以便在调试器中进行调试时能够准确定位到源代码的位置。-g 选项通常与其他优化选项一起使用,以便在优化后的代码中进行调试。,以尽量保持生成的代码易读易调试。但是,它并不会进行像 -O1、-O2 或 -O3 这样的更加激进的优化。因此,当你希望在调试时仍然能够方便地查看源代码和变量名时,可以使用 -Og。-Og 的含义是“优化级别为 g”,其中的 “g” 代表了"g优化"。
Golang 程序运行报汇编错误
sstya的专栏
04-29 223
错误提示如下:C:/Program Files/Go1.22.0/src/runtime/sys_windows_amd64.s:75 +0x7a fp=0x31f590 sp=0x31f570 pc=0x11300fa。错误原因:Go sdk 1.22.0版本对service pack 1系统的兼容性有问题。我们将go1.20升级到go1.22后编译的可执行程序体积明显变小,我猜测可能删减了一些sp1的支持库。2.将go sdk 1.22.0降至1.20.2 .或者尝试更高版本看是否处理了这个问题。
peb修改路径后不起效
07-15
2. 程序重启前置:某些程序在启动时会读取并保存PEB中的路径信息,如果在程序启动后修改PEB路径,程序需要重启才能生效。 3. 函数缓存:某些函数在调用时会缓存PEB中的路径信息,以提高性能。因此,如果修改PEB中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值