Gargoyle——内存扫描逃逸技术-CSDN博客

0x00 前言

Gargoyle是一种在非可执行内存中隐藏可执行代码的技术。在一些程序员定义的间隔，gargoyle将苏醒，且一些ROP标记它自身为可执行，且做一些事：

这个技术是针对32位的Windows阐述的。在本文中，我们将深入探讨其实现细节。

0x01 实时内存分析

执行实时内存分析是一个相当大代价的操作，如果你使用Windows Defender，你可能在这个问题上就到头了(谷歌的反恶意软件服务)。因为程序必须在可执行的内存中，用于减少计算负担的一种常用技术是只限制可执行代码页的分析。在许多进程中，这将数量级的减少要分析的内存数量。

Gargoyle表明这是个有风险的方式。通过使用Windows异步过程调用，读写内存能被作为可执行内存来执行一些任务。一旦它完成任务，它回到读写内存，直到定时器过期。然后重复循环。

当然，没有Windows API InvokeNonExecutableMemoryOnTimerEx。得到循环需要做一些操作。

0x02 Windows异步过程调用(APC)

异步编程使一些任务延迟执行，在一个独立的线程上下文中执行。每个线程有它自己的APC队列，并且当一个线程进入alertable状态，Windows将从APC队列中分发任务到等待的线程。

有一些方法来插入APC：

ReadFileEx

SetWaitableTimer

SetWaitableTimerEx

WriteFileEx

进入alertable状态的方法：

SleepEx

SignalObjectAndWait

MsgWaitForMultipleObjectsEx

WaitForMultipleObjectsEx

WaitForSingleObjectEx

我们要使用的组合是用CreateWaitableTimer创建一个定时器，然后使用SetWaitableTimer插入APC队列：

默认的安全属性是fine，我们不想手动重置，并且我们不想要一个命名的定时器。因此对于CreateWaitableTimer所有的参数是0或者nullptr。这个函数返回一个HANDLE，表示我们新的定时器。接下来，我们必须配置它：

第一个参数是我们从CreateWaitableTimer得到的句柄。参数pDueTime是一个指向LARGE_INTEGER的指针，指定第一个定时器到期的时间。例如，我们简单的设为0(立即过期)。lPeriod定义了过期间隔(毫秒级)。这个决定了gargoyle调用的频率。

下个参数pfnCompletionRoutine将是我们要努力的主题。这是来自等待线程的Windows调用的地址。听起来很简单，除非在可执行内存中分发的APC没有一个gargoyle代码。如果我们将pfnCompletionRoutine指向gargoyle，我们将触发数据执行保护(DEP)。

取而代之，我们使用一些ROP gadget，将重定向执行线程的栈到lpArgToCompletionRoutine指向的地址。当ROP gadget执行，指定的栈在调用gargoyle第一条指令前调用VirtualProtectEx来标记gargoyle为可执行。

最后一个参数与在定时器到期后是否唤醒计算机有关。我们设置为false。

0x03 Windows数据执行保护和VirtualProtectEx

最后是VirtualProtectEx，用来修改各种内存保护属性：

我们将在两种上下文中调用VirtualProtectEx：在gargoyle完成执行后(在我们触发线程alertable之前)和在gargoyle开始执行之前(在线程分发APC之后)。看资料了解详情。

在这个PoC中，我们将gargoyle，跳板，ROP gadget和我们的读写内存都放进同一个进程中，因此第一个参数hProcess设置为GetCurrentProcess。下一个参数lpAddress与gargoyle的地址一致，dwSize与gargoyle的可执行内存大小一致。我们提供期望的保护属性给flNewProtect。我们不关心老的保护属性，但是不幸的是lpflOldProtect不是一个可选的参数。因此我们将将它设为一些空内存。

唯一根据上下文不同的参数是flNewProtect。当gargoyle进入睡眠，我们想修改它为PAGE_READWRITE或0x04。在gargoyle执行前，我们想标记它为PAGE_EXECUTE_READ或0x20。

0x04 栈跳板

注意：如果你不熟悉x86调用约定，本节将比较难以理解。对于新人，可以参考我的文章x86调用约定。

通常，ROP gadget被用来对抗DEP，通过构建调用VirtualProtectEx来标记栈为可执行，然后调用到栈上的一个地址。这在利用开发中经常很有用，当一个攻击者能写非可执行内存。可以将一定数量的ROP gadget放在一起做相当多的事。

不幸的是，我们不能控制我们的alerted线程的上下文。我们能通过pfnCompletionRoutine控制eip，并且线程栈中的指针位于esp+4，即调用函数的第一个参数(WINAPI/__stdcall调用约定)。

幸运的是，我们已经在APC入队前就执行了，因此我们能在我们的alerted线程中小心的构建一个新的栈(栈跳板)。我们的策略是找到代替esp指向我们栈跳板的ROP gadget。下面的形式的就能工作：

有点诡异，因为函数通常不以pop esp/ret结束，但是由于可变长度的操作码，Intel x86汇编过程会产生非常密集的可执行内存。不管怎样，在32位的mshtml.dll的偏移7165405处有这么一个gadget：

注意：感谢Sascha Schirra的Ropper工具。

在我们调用SetWaitableTimer时，这个gadget将设置esp为我们放入lpArgToCompletionRoutine中的任何值。剩下的事就是将lpArgToCompletionRoutine指向一些构造的栈内存。栈跳板看起来如下：

我们设置lpArgToCompletionRoutine为void* VirtualProtectEx参数，以便ROP gadget能ret到执行VirtualProtectEx。当VirtualProtectEx得到这个调用，esp将指向void* return_address。我们可以设置这个为我们的gargoyle。

0x05 gargoyle

让我们暂停片刻，看下在我们创建定时器和启动循环之前创建的读写Workspace。这个Workspace包含3个主要内容：一些配置帮助gargoyle启动自身，栈空间和StackTrampoline：