前言
在之前几篇文章已经学习了解了几种钩取的方法
- 浅谈调试模式钩取
- 浅谈热补丁
- 浅谈内联钩取原理与实现
- 导入地址表钩取技术
这篇文章就利用钩取方式完成进程隐藏的效果。
进程遍历方法
在实现进程隐藏时,首先需要明确遍历进程的方法。
CreateToolhelp32Snapshot
CreateToolhelp32Snapshot
函数用于创建进程的镜像,当第二个参数为0
时则是创建所有进程的镜像,那么就可以达到遍历所有进程的效果。
EnumProcesses
EnumProcesses
用于将所有进程号的收集。
ZwQuerySystemInfomation
ZwQuerySystemInfomation
函数是CreateToolhelp32Snapshot
函数与EnumProcesses
函数底层调用的函数,也用于遍历进程信息。代码参考https://cloud.tencent.com/developer/article/1454933
进程隐藏
通过上述分析可以知道遍历进程的方式有三种,分别是利用CreateToolhelp32Snapshot
、EnumProcesses
以及ZwQuerySystemInfomation
函数
但是CreateToolhelp32Snapshot
与EnumProcesses
函数底层都是调用了ZwQuerySystemInfomation
函数,因此我们只需要钩取该函数即可。
由于测试环境是Win11
,因此需要判断在Win11
情况下底层是否还是调用了ZwQuerySystemInfomation
函数。
可以看到在Win11
下还是会调用ZwQuerySystemInfomation
函数,在用户态下该函数的名称为NtQuerySystemInformation
函数。
这里采用内联钩取的方式对ZwQuerySystemInfomation
进行钩取处理,具体怎么钩取在 浅谈内联钩取原理与实现已经介绍过了,这里就不详细说明了。这里对自定义的ZwQuerySystemInfomation
函数进行说明。
首先第一步需要进行脱钩处理,因为后续需要用到初始的ZwQuerySystemInfomation
函数,紧接着获取待钩取函数的地址即可。
为了隐藏指定进程,我们需要遍历进程信息,找到目标进程并且删除该进程信息实现隐藏的效果。这里需要知道的是进程信息都存储在SYSTEM_PROCESS_INFORMATION
结构体中,该结构体是通过单链表对进程信息进行链接。因此我们通过匹配进程名称找到对应的SYSTEM_PROCESS_INFORMATION
结构体,然后进行删除即可,效果如下图。
通过单链表中删除节点的操作,取出目标进程的结构体。代码如下
完整代码:https://github.com/h0pe-ay/HookTechnology/blob/main/ProcessHidden/inlineHook.c
但是采用内联钩取的方法去钩取任务管理器就会出现一个问题,这里将断点取消,利用内联钩取的方式去隐藏进程。
首先利用bl
命令查看断点
紧着利用 bc [ID]
删除断点
在注入之后任务管理器会在拷贝的时候发生异常
在经过一番调试后发现,由于多线程共同执行导致原本需要可写权限的段被修改为只读权限
在windbg
可以用使用!vprot + address
查看指定地址的权限,可以看到由于程序往只读权限的地址进行拷贝处理,所以导致了异常。
但是在执行拷贝阶段是先修改了该地址为可写权限,那么导致该原因的情况就是其他线程执行了权限恢复后切换到该线程中进行写,所以导致了这个问题。
因此内联钩取是存在多线程安全的问题,此时可以使用微软自己构建的钩取库Detours
,可以在钩取过程中确保线程安全。
帮助网安学习,全套资料S信免费领取:
① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP客户端安全检测指南(安卓+IOS)
Detours
项目地址:https://github.com/microsoft/Detours
环境配置
参考:
使用vcpkg
下载
实例
挂钩
利用Detours
挂钩非常简单,只需要根据下列顺序,并且将自定义函数的地址与被挂钩的地址即可完成挂钩处理。
脱钩
然后根据顺序完成脱钩即可。
挂钩的原理
从上述可以看到,Detours
是通过事务确保了在DLL
加载与卸载时后的原子性,但是如何确保多线程安全呢?后续通过调试去发现。
可以利用x ntdl!ZwQuerySystemInformation
查看函数地址,可以看到函数的未被挂钩前的情况如下图。
挂钩之后原始的指令被修改为一个跳转指令把前八个字节覆盖掉,剩余的3字节用垃圾指令填充。
该地址里面又是一个jmp
指令,并且完成间接寻址的跳转。
该地址是自定义函数ZwQuerySystemInformationEx
,因此该间接跳转是跳转到的自定义函数内部。
跳转到TrueZwQuerySystemInformation
内部发现ZwQuerySystemInformation
函数内部的八字节指令被移动到该函数内部。紧接着又完成一个跳转。
该跳转到ZwQuerySystemInformation
函数内部紧接着完成ZwQuerySystemInformation
函数的调用。
综上所述,整体流程如下图。实际上Detours
实际上使用的是热补丁的思路,但是Detours
并不是直接在原始的函数空间中进行补丁,而是开辟了一段临时空间,将指令存储在里面。因此在挂钩后不需要进行脱钩处理就可以调用原始函数。因此就不存在多线程中挂钩与脱钩的冲突。
完整代码:https://github.com/h0pe-ay/HookTechnology/blob/main/ProcessHidden/detoursHook.c