[转](70)内核重载 xp sp3 x86 单核

最新推荐文章于 2023-04-15 12:29:26 发布
最新推荐文章于 2023-04-15 12:29:26 发布
阅读量191 收藏
点赞数
原文链接:https://blog.csdn.net/Kwansy/article/details/110072446
版权

 

一、项目说明

这次项目是这样设计的,首先 inline hook NtTerminateProcess 函数,使其他进程不能关闭受保护的进程,这里选择记事本。

然后编写一个普通的程序,调用 TerminateProcess 函数关闭记事本,如无意外是关不掉的。

然后编写驱动,从文件系统中加载一份新内核到内存,拉伸PE,修复重定位表,IAT表,SSDT表;HOOK KiFastCallEntry 函数,让我们的程序系统调用走新内核,这样就可以关掉记事本了。

二、前置任务

首先把保护记事本和关闭记事本的程序给出,这两个没什么难度,不想解释。

效果就是加载保护驱动后,无法 TerminateProcess 关闭记事本。

调用 TerminateProcess 关闭记事本的程序

// KillNotepad.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include <Windows.h>

// 提权函数:提升为DEBUG权限
BOOL EnableDebugPrivilege()
{
	HANDLE hToken;
	BOOL fOk=FALSE;
	if(OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES,&hToken))
	{
		TOKEN_PRIVILEGES tp;
		tp.PrivilegeCount=1;
		LookupPrivilegeValue(NULL,SE_DEBUG_NAME,&tp.Privileges[0].Luid);

		tp.Privileges[0].Attributes=SE_PRIVILEGE_ENABLED;
		AdjustTokenPrivileges(hToken,FALSE,&tp,sizeof(tp),NULL,NULL);

		fOk=(GetLastError()==ERROR_SUCCESS);
		CloseHandle(hToken);
	}
	return fOk;
}


int _tmain(int argc, _TCHAR* argv[])
{
	EnableDebugPrivilege();
	HWND hWnd = FindWindowA(NULL, "无标题 - 记事本");
	DWORD dwPid = -1;
	GetWindowThreadProcessId(hWnd, &dwPid);
	HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPid);

	TerminateProcess(hProcess,0);
	return 0;
}

保护记事本的驱动

//#include <ntddk.h>
#include <ntifs.h>
#include <ntimage.h>


//-----------------------------------------------------------------------------------------------
//-----------------------------------------------------------------------------------------------


typedef struct _LDR_DATA_TABLE_ENTRY
{
	LIST_ENTRY InLoadOrderLinks;
	LIST_ENTRY InMemoryOrderLinks;
	LIST_ENTRY InInitializationOrderLinks;
	PVOID DllBase;
	PVOID EntryPoint;
	ULONG SizeOfImage;
	UNICODE_STRING FullDllName;
	UNICODE_STRING BaseDllName;
	ULONG Flags;
	UINT16 LoadCount;
	UINT16 TlsIndex;
	LIST_ENTRY HashLinks;
	PVOID SectionPointer;
	ULONG CheckSum;
	ULONG TimeDateStamp;
	PVOID LoadedImports;
	PVOID EntryPointActivationContext;
	PVOID PatchInformation;
} LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

typedef NTSTATUS (*NTTERMINATEPROCESS) (HANDLE ProcessHandle, NTSTATUS ExitStatus);

// 系统服务表
typedef struct _KSYSTEM_SERVICE_TABLE
{
	PULONG ServiceTableBase;			// 函数地址表
	PULONG ServiceCounterTableBase;		// SSDT 函数被调用的次数
	ULONG NumberOfService;				// 函数个数
	PULONG ParamTableBase;				// 函数参数表
} KSYSTEM_SERVICE_TABLE, *PKSYSTEM_SERVICE_TABLE;

// SSDT表
typedef struct _KSERVICE_TABLE_DESCRIPTOR
{
	KSYSTEM_SERVICE_TABLE ntoskrnl;		// 内核函数
	KSYSTEM_SERVICE_TABLE win32k;		// win32k.sys 函数
	KSYSTEM_SERVICE_TABLE unUsed1;
	KSYSTEM_SERVICE_TABLE unUsed2;
} KSERVICE_TABLE_DESCRIPTOR, *PKSERVICE_TABLE_DESCRIPTOR;

//-----------------------------------------------------------------------------------------------
//-----------------------------------------------------------------------------------------------

NTSTATUS DriverEntry(PDRIVER_OBJECT driver, PUNICODE_STRING reg_path);
VOID DriverUnload(PDRIVER_OBJECT driver);
VOID PageProtectOff();
VOID PageProtectOn();
VOID GetKernelBase(PDRIVER_OBJECT driver, PVOID *pKrnlBase, PULONG uKrnlImageSize);
PVOID MemorySearch(PVOID bytecode, ULONG bytecodeLen, PVOID pBeginAddress, PVOID pEndAddress);
VOID HookNtTerminateProcess();
VOID UnhookNtTerminateProcess();
VOID HbgNtTerminateProcess(HANDLE ProcessHandle, NTSTATUS ExitStatus);

//-----------------------------------------------------------------------------------------------
//-----------------------------------------------------------------------------------------------

PDRIVER_OBJECT g_Driver;
extern PKSERVICE_TABLE_DESCRIPTOR KeServiceDescriptorTable; // 内核导出的全局变量

PVOID pNtTerminateProcess;
PVOID pNtTerminateProcessHookRet;

// NtTerminateProcess 系统调用号
#define NTTERMINATEPROCESS_INDEX 0x101

//-----------------------------------------------------------------------------------------------
//-----------------------------------------------------------------------------------------------

NTSTATUS DriverEntry(PDRIVER_OBJECT driver, PUNICODE_STRING reg_path)
{	
	g_Driver = driver;
	driver->DriverUnload = DriverUnload;

	HookNtTerminateProcess();

	return STATUS_SUCCESS;
}

// 卸载驱动
VOID DriverUnload(PDRIVER_OBJECT driver)
{
	UnhookNtTerminateProcess();
	DbgPrint("Kernel Unload Successfully.\n");
}

// 关闭页保护
VOID PageProtectOff()
{
	__asm
	{
		cli; // 关闭中断
		mov eax, cr0;
		and eax, not 0x10000; // WP位置0
		mov cr0, eax;
	}
}

// 开启页保护
VOID PageProtectOn()
{
	__asm
	{
		mov eax, cr0;
		or eax, 0x10000; // WP位置1
		mov cr0, eax;
		sti; // 恢复中断
	}
}

// 获取内核基址,大小
VOID GetKernelBase(PDRIVER_OBJECT driver, PVOID *pKrnlBase, PULONG uKrnlImageSize)
{
	PLDR_DATA_TABLE_ENTRY pLdteHead; // 内核模块链表头
	PLDR_DATA_TABLE_ENTRY pLdteCur; // 遍历指针
	UNICODE_STRING usKrnlBaseDllName; // 内核模块名

	RtlInitUnicodeString(&usKrnlBaseDllName,L"ntoskrnl.exe");
	pLdteHead = (PLDR_DATA_TABLE_ENTRY)driver->DriverSection;
	pLdteCur = pLdteHead;
	do 
	{
		PLDR_DATA_TABLE_ENTRY pLdte = CONTAINING_RECORD(pLdteCur, LDR_DATA_TABLE_ENTRY, InLoadOrderLinks);
		//DbgPrint("DllBase: %p, SizeOfImage: %08X %wZ\n", pLdteCur->DllBase, pLdteCur->SizeOfImage, &(pLdteCur->FullDllName));
		if (RtlCompareUnicodeString(&pLdteCur->BaseDllName, &usKrnlBaseDllName, TRUE) == 0)
		{
			*pKrnlBase = pLdteCur->DllBase;
			*uKrnlImageSize = pLdteCur->SizeOfImage;
			return;
		}
		pLdteCur = (PLDR_DATA_TABLE_ENTRY)pLdteCur->InLoadOrderLinks.Flink;
	} while (pLdteHead != pLdteCur);
	return;
}

// 特征码搜索
PVOID MemorySearch(PVOID bytecode, ULONG bytecodeLen, PVOID pBeginAddress, PVOID pEndAddress)
{
	PVOID pCur = pBeginAddress;
	while (pCur != pEndAddress)
	{
		if (RtlCompareMemory(bytecode,pCur,bytecodeLen) == bytecodeLen)
		{
			return pCur;
		}
		((ULONG)pCur)++;
	}
	return 0;
}

// hook NtTerminateProcess
VOID HookNtTerminateProcess()
{	
	pNtTerminateProcess = (PVOID)KeServiceDescriptorTable->ntoskrnl.ServiceTableBase[NTTERMINATEPROCESS_INDEX];
	PageProtectOff();
	// hook NtTerminateProcess ,采取短跳+长跳的方式
	*(PUCHAR)((ULONG)pNtTerminateProcess - 5) = 0xE9;
	*(PULONG)((ULONG)pNtTerminateProcess - 4) = (ULONG)HbgNtTerminateProcess - (ULONG)pNtTerminateProcess;
	*(PUSHORT)pNtTerminateProcess = (USHORT)0xF9EB;
	PageProtectOn();
}

// unhook NtTerminateProcess
VOID UnhookNtTerminateProcess()
{
	*(PUSHORT)pNtTerminateProcess = (USHORT)0xFF8B;
	*(PUCHAR)((ULONG)pNtTerminateProcess - 5) = 0xCC;
	*(PULONG)((ULONG)pNtTerminateProcess - 4) = 0xCCCCCCCC;
}

// 被修改的 NtTerminateProcess 函数,简单打印参数
__declspec(naked) VOID HbgNtTerminateProcess(HANDLE ProcessHandle, NTSTATUS ExitStatus)
{
	PEPROCESS pEprocess;
	NTSTATUS status;
	PCHAR ImageFileName;

	__asm
	{
		mov edi,edi;
		push ebp;
		mov ebp,esp;

		pushad;
		pushfd;
		sub esp,0x20;
	}

	status = ObReferenceObjectByHandle(ProcessHandle,FILE_ANY_ACCESS,*PsProcessType,KernelMode,&pEprocess,NULL);
	if (!NT_SUCCESS(status))
	{
		goto ReturnToNtTerminateProcess;
	}
	// 根据镜像文件名判断是不是要保护的进程,字符串最大长度是16,超过就会截断,所以不用担心越界
	ImageFileName = (PCHAR)pEprocess + 0x174;
	if (strcmp(ImageFileName, "notepad.exe") == 0)
	{
		if (ProcessHandle == (HANDLE)0xFFFFFFFF)
		{
			// 通过关闭按钮关闭
			goto ReturnToNtTerminateProcess;			
		}
		else
		{
			// 通过任务管理器或其他进程调用TerminateProcess关闭
			//DbgPrint("Terminate denied. %s: NtTerminateProcess(%x, %x)\n", ImageFileName, ProcessHandle, ExitStatus);
			goto ReturnAccessDenied;
		}
	}
ReturnToNtTerminateProcess:
	pNtTerminateProcessHookRet = (PVOID)((ULONG)pNtTerminateProcess + 5);
	__asm
	{
		add esp,0x20;
		popfd;
		popad;
		jmp pNtTerminateProcessHookRet;
	}
ReturnAccessDenied:
	__asm
	{				
		add esp,0x20;
		popfd;
		popad;
		leave;
		mov eax,0xC0000022; // STATUS_ACCESS_DENIED
		retn 0x08;
	}
}

三、内核重载

写不出来,一是能力不足,二是动机不足。

动机方面,后面会学自建调用框架,完美替代内核重载。

能力方面,目前主要存在以下疑问:

  • MDL 是什么,不清楚,ExAllocatePool 申请出来的内存似乎还不能执行?
  • 修复 IAT 的方式?是否从当前内核内存镜像中复制过来?
  • 修复重定位的方式?用老办法修复,还是从当前内核镜像中拷贝?是否必须共用一份全局变量?
  • 修复SSDT表,是否是拷贝现有的SSDT表,然后减去新旧内核镜像的地址差?

下面给出目前唯一的成果,0环读写文件的API。

// 读取文件到内存中,返回读取的字节数;读取失败返回0
ULONG FileToMemory(LPCWSTR lpszFile, PVOID *pFileBuffer)
{
	OBJECT_ATTRIBUTES objectAttributes;
	IO_STATUS_BLOCK iostatus;
	HANDLE hfile;
	UNICODE_STRING KernelFileUnicodeString;
	NTSTATUS ntStatus;
	FILE_STANDARD_INFORMATION fsi;
	PUCHAR pBuffer;

	//初始化UNICODE_STRING字符串
	//RtlInitUnicodeString( &KernelFileUnicodeString, L"\\??\\C:\\Windows\\System32\\ntkrnlpa.exe");
	RtlInitUnicodeString( &KernelFileUnicodeString, lpszFile);

	//初始化objectAttributes
	InitializeObjectAttributes(&objectAttributes, 
		&KernelFileUnicodeString,
		OBJ_CASE_INSENSITIVE, 
		NULL, 
		NULL );

	//创建文件
	ntStatus = ZwOpenFile( &hfile, 
		GENERIC_ALL,
		&objectAttributes, 
		&iostatus, 
		FILE_SHARE_READ|FILE_SHARE_WRITE,
		FILE_SYNCHRONOUS_IO_NONALERT);

	if (!NT_SUCCESS(ntStatus))
	{
		KdPrint(("The file is not exist!\n"));
		return 0;
	}
	
	//读取文件长度
	ntStatus = ZwQueryInformationFile(hfile,
		&iostatus,
		&fsi,
		sizeof(FILE_STANDARD_INFORMATION),
		FileStandardInformation);

	//KdPrint(("The program want to read %d bytes\n",fsi.EndOfFile.QuadPart));

	//为读取的文件分配缓冲区
	pBuffer = (PUCHAR)ExAllocatePool(PagedPool,
		(LONG)fsi.EndOfFile.QuadPart);

	//读取文件
	ZwReadFile(hfile,NULL,
		NULL,NULL,
		&iostatus,
		pBuffer,
		(LONG)fsi.EndOfFile.QuadPart,
		NULL,NULL);
	//KdPrint(("The program really read %d bytes\n",iostatus.Information));

	//释放缓冲区
	//ExFreePool(pBuffer);

	*pFileBuffer = pBuffer;

	//关闭文件句柄
	ZwClose(hfile);
	return (ULONG)fsi.EndOfFile.QuadPart;
}

// 内存数据写入文件
VOID MemoryToFile(PVOID pMemBuffer, ULONG ulSize, LPCWSTR lpszFile) 
{
	OBJECT_ATTRIBUTES objectAttributes;
	IO_STATUS_BLOCK iostatus;
	HANDLE hfile;
	UNICODE_STRING logFileUnicodeString;
	NTSTATUS ntStatus;

	//初始化UNICODE_STRING字符串
	RtlInitUnicodeString( &logFileUnicodeString, lpszFile);

	//初始化objectAttributes
	InitializeObjectAttributes(&objectAttributes,
		&logFileUnicodeString,
		OBJ_CASE_INSENSITIVE,//对大小写敏感 
		NULL, 
		NULL );

	//创建文件
	ntStatus = ZwCreateFile( &hfile, 
		GENERIC_WRITE,
		&objectAttributes, 
		&iostatus, 
		NULL,
		FILE_ATTRIBUTE_NORMAL, 
		FILE_SHARE_WRITE,
		FILE_OPEN_IF,//即使存在该文件,也创建 
		FILE_SYNCHRONOUS_IO_NONALERT, 
		NULL, 
		0 );

	ZwWriteFile(hfile,NULL,NULL,NULL,&iostatus,pMemBuffer,ulSize,NULL,NULL);
	KdPrint(("The program really wrote %d bytes\n",iostatus.Information));

	//关闭文件句柄
	ZwClose(hfile);

}


---------------------
作者:hambaga
来源:CSDN
原文:https://blog.csdn.net/Kwansy/article/details/110072446
版权声明:本文为作者原创文章,转载请附上博文链接!
内容解析By:CSDN,CNBLOG博客文章一键转载插件

昵称正在加载
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ring0下使用内核重载绕过杀软hook
hongduilanjun的博客
04-08 1291
内核重载听起来是一个很高大上的概念,但其实跟PE的知识息息相关,那么为什么会有内核重载的出现呢? 我们知道从ring3进入ring0需要通过int2e/sysenter(syscall)进入ring0,而进入ring0之后又会通过KiFastCallEntry/KiSystemService去找SSDT表对应响应的内核函数,那么杀软会在这两个地方进行重点盯防。 首先是对int2e/sysenter的盯防,我们知道大多数函数都是通过一系列的调用链,最终找到ntdll.dll里面的函数,找到调用号后通过int
CVE-2020-1472漏洞实战 深度剖析
Ms08067安全实验室
11-18 9202
本文作者:Faith(Ms08067实验室 内网安全攻防知识星球)0x00漏洞说明CVE-2020-1472是继MS17010之后一个比较好用的内网提权漏洞,影响Windows Serv...
Win7 内核重载 1 ——内核版PELoader
zfdyq
12-19 8373
重载重点,其实就是自己实现一个山寨版的Windows PELoader  ,重载其实就是将一个模块自己重新加载一份到别的内存,运行它。 所谓内核重载,则是将内核文件即:ntkrnlpa.exe 自己加载一份到内存,并运行它,这样的好处可以避免一切HOOK,如SSDT ,InLineHook 等等,原理就是HOOK继续 HOOK主原来内核,但是实际上Windows走的是我们自己的内核
微软承认Win10存在严重NTFS漏洞,承诺尽快修复
C语言C++学习俱乐部:765860056
01-29 231
微软正努力修复存在于 Windows 10 系统中的关键 NTFS 漏洞。当用户打开 HTML 文件、Windows 快捷方式或者解压缩包含单行命令的 Zip 文件时候,这个漏洞可能会损坏用户的磁盘。 在该漏洞被触发的时候,用户就会看到一个弹出窗口,表示他们需要重启电脑来修复硬盘错误,以便于重启时启动 Windows 检查磁盘实用程序来修复损坏的磁盘。 这个漏洞事实上是在两年前,由前 CERT 协调中心的安全研究员 Will Dorman 发现的。他表示Windows10 Version 180..
NTFS驱动存在堆溢出(CVE-2021-31956 )分析
qq_41252520的博客
03-14 4172
CVE-2021-31956 0x00 漏洞简介 该漏洞发生在 Ntfs.sys文件中,由于该系统程序在处理文件额外信息查询时,对相关对象检查不严谨导致堆溢出,攻击者可以利用该漏洞进行本地权限提升。 0x01 影响版本 windows_10:-:*:*:*:*:*:*:* windows_10:20h2:*:*:*:*:*:*:* windows_10:21h1:*:*:*:*:*:*:* windows_10:1607:*:*:*:*:*:*:* windows_10:1809:*:*:*:*:*:*
使用 PoolMon 查找内核模式内存泄漏
renluborenlubo的专栏
01-30 1747
poolmon
内核重载_hospitalb3n_内核重载_x86内核重载_
09-30
在本文中,我们将深入探讨x86内核重载的相关知识点,包括内核的基本结构、重载的动机、过程以及涉及的关键技术。 首先,我们需要理解内核在操作系统中的地位。内核是操作系统的核心部分,它负责管理系统的硬件资源...
X86内核重载.rar
06-05
X86内核重载:理解与实践》 在计算机科学领域,X86内核重载是一项高级技术,涉及到操作系统内部的工作机制。本文将深入探讨这一主题,特别是如何实现一个类似Windows PELoader的功能,以及重载的含义和实际操作。...
Overloaded-kernel-for-XPSP3.rar_内核 重载_内核重载_重载内核
09-20
Windows XP Service Pack 3(XP SP3)环境中,"Overloaded-kernel-for-XPSP3.rar" 提供了一个经过重载内核,这表明它可能包含了对原始XP内核的修改或扩展,以实现特定的目标。这种内核通常由开发人员使用Windows...
windows xp内核重载
11-07
总的来说,"Windows XP内核重载"是一个高级且复杂的主题,涉及系统编程、调试和硬件交互等多个方面。这需要开发者具备深厚的计算机系统知识,以及对Windows XP内核的深入理解。同时,由于内核级别的操作可能影响到...
ReloadKernel(重载内核全程分析)
02-25
重载内核内容: 1、 将内核文件加载到内存 2、 进行基址重定位 3、 重定位ssdt结构 4、 Hook KiFastCallEntry,让RING3进程调用走新内核
重载内核全程分析笔记(附源码)
08-28
重载内核全程分析笔记(附源码) 还记得七夕的那几天,老V率先把AGP的源码发布出来,然后是EasyDebugger的源码出土,后面陆续有很多大牛把珍藏已久的代码拿出来晒太阳,那段疯狂的日子,让看雪论坛都面临崩溃的边缘。折腾了大半天,终于把代码都下载下来了,可是下载下来做什么呢,自己连看都看不懂 于是,带着激动而又郁闷的心情继续学习内核编程。 由于是初学者,很多时候也有不清楚的地方,若下文中有什么地方理解有误,还请大牛多多指正
windows xp sp3 symbol
11-29
Windows XP SP3(Service Pack 3)操作系统中,“symbol”通常指的是调试符号,这是开发者和系统管理员在诊断和调试软件问题时所必需的关键信息。调试符号提供了关于系统内部函数、变量、类和对象的详细元数据,...
内核重载的认识
weixin_41725706的博客
12-03 336
内核重载得认识
x86重载内核[源码在最后]
最新发布
deadpoolwilson12的博客
04-15 709
[滴水三期中级学习记录]x86内核重载技术,驱动程序编写
CVE-2020-2883复现以及漏洞原理分析
HUSTIS1804的博客
01-15 6542
CVE-2020-2883
重载内核全程分析笔记
whatday的专栏
11-05 1万+
标 题: 【原创】重载内核全程分析笔记 作 者: Speeday 时 间: 2013-08-20,20:19:46 链 接: http://bbs.pediy.com/showthread.php?t=177555 还记得七夕的那几天,老V率先把AGP的源码发布出来,然后是EasyDebugger的源码出土,后面陆续有很多大牛把珍藏已久的代码拿出来晒太阳,那段疯狂的日子,让看雪论坛都面
重载内核实现绕过一切钩子
weixin_30390075的博客
09-09 414
很久不玩PE格式了,这次由于要恢复SSDT表的缘故+一个忽然兴起的念头,导致我花了一个小午写了个运行在Ring0的简单PE加载器,并且有意外的收获。 恢复SSDT表手段很多,基本上都是直接从文件中依赖重定位表获取对应数据,重定位后得到相对当前内核加载位置的正确调用地址。大部分的实现代码比较粗糙,因为要不停的在文件地址和内存地址之间进行换,因此代码繁琐不易读懂。 我在考虑解放方案的时...
CVE-2020-1938任意文件读取漏洞复现
热门推荐
weixin_45715461的博客
05-30 1万+
CVE-2020-1938任意文件读取漏洞复现
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值