一种躲避运行时代码校验的方法(Reload And Run)

最新推荐文章于 2023-11-08 23:56:32 发布
最新推荐文章于 2023-11-08 23:56:32 发布
阅读量2.5k 收藏 2
点赞数
文章标签: 代码校验 内存补丁 hook

 转自看雪。


   我们有时候需要对运行中的程序打内存补丁,或者对它的代码挂一些钩子之类的工作。但是现在相当多软件进行了运行时的代码检测。一旦发现内存中的代码被修改掉,就会进行处理。本文介绍了一种比较特别的办法,用于通过这些检测。

    首先需要说一下做运行时代码校验的方法。一般来说,校验者需要取得当前模块的基地址,通过分析PE结构,获得代码节的偏移和大小,然后对内存中的代码进行CRC或者其他的一些校验。
这其中有个很大的问题,校验者默认了通过这种方式取得的代码节就是当前被使用到的代码,但是事实却不一定如此。一般编译器正常生成的代码,绝大部分跳转和call语句都使用相对地址,因此,我们完全可以把代码节或者整个exe文件映像复制到内存其他地方,并操作进程内的所有线程,使得它执行在新复制的那份代码中。这样,校验者仍然在扫描旧的地址,新的那份我们就可以随意修改了。
    由于一旦进程开始执行,并且创建其他线程之后,我们通过取得线程Context获得的EIP,多半在系统代码中间,所以难以改变。唯一的方法就是,在exe的EntryPoint被执行前,将EntryPoint重定向到新的代码,并Hook CreateThread,将新线程也重新定位。可以通过下面几个步骤来实现:
1、  如果想处理的进程为a.exe,并且a.exe是由b.exe创建的,那么我们需要hook掉b.exe的进程创建函数,一般是CreateProcess。
2、  在Hook的CreateProcess中,以CREATE_SUSPENDED标志创建a.exe。并向a.exe中注入我们的dll,等待这个dll完成处理之后才ResumeThread a.exe的主线程。
3、  注入的dll需要完成几件事。首先要获得主模块的基地址和大小,并分配足够的空间,将原始映像复制过去。然后Hook掉EntryPoint,并Hook CreateThread,最后恢复a.exe主线程。
4、  Hook掉的EntryPoint中,恢复被Hook的EntryPoint代码,防止在后面被检查出来,然后jmp到新分配的代码区域即可。
5、  Hook的CreateThread中,重新计算代码线程函数地址,并修改后创建。这样,所有线程就都在新分配的代码中执行了。

下面是注入的dll的实现代码:

pfnCreateThread g_pCreateThread = ::CreateThread;
PBYTE  g_pbyNewImage = NULL;

#pragma pack(push,1)
typedef struct _PUSH_RETN
{
  BYTE byOpcodePush;//0x68
  DWORD dwRetnAddr;
  BYTE byOpcodeRetn;//0xC3
}PUSH_RETN, *PPUSH_RETN;
#pragma pack(pop)

BYTE g_abyOldEntry[6] = {0};
PBYTE g_pbyOldEntry = 0;
PBYTE g_pbyNewEntry = 0;

//这里使用Detours库Hook掉CreateThread。
BOOL HookThreadCreate()
{
  DetourTransactionBegin();
  DetourUpdateThread( GetCurrentThread());


  if( DetourAttach( &(PVOID&)g_pCreateThread, Hook_CreateThread) != NO_ERROR)
  {
    DebugOut( TEXT( "Hook CreateThread fail\r\n"));
  }

  if( DetourTransactionCommit() != NO_ERROR)
  {
    DebugOut( TEXT( "Hook fail\r\n"));
    return FALSE;
  }
  else
  {
    DebugOut( TEXT( "Hook ok\r\n"));
    return TRUE;
  }
}

//Hook的CreateThread里面,重新计算lpStartAddress地址,并按这个地址来创建
HANDLE WINAPI Hook_CreateThread(
                LPSECURITY_ATTRIBUTES lpThreadAttributes,
                SIZE_T dwStackSize,
                LPTHREAD_START_ROUTINE lpStartAddress,
                LPVOID lpParameter,
                DWORD dwCreationFlags,
                LPDWORD lpThreadId
                )
{
  PBYTE pfn = (PBYTE)lpStartAddress;
  HMODULE hMod = ::GetModuleHandle( NULL);
  pfn = g_pbyNewImage + (pfn - (PBYTE)hMod);
  HANDLE hThread = g_pCreateThread( lpThreadAttributes, dwStackSize, (LPTHREAD_START_ROUTINE)pfn, lpParameter, dwCreationFlags, lpThreadId);
  return hThread;
}

//Hook掉的入口点,恢复旧代码并跳转到新分配的代码空间
__declspec( naked ) VOID Hook_EntryPoint()
{
  //_asm int 3
  for ( DWORD i = 0; i < sizeof(g_abyOldEntry); i++)
  {//恢复旧的代码
    g_pbyOldEntry[i] = g_abyOldEntry[i];
  }
  _asm jmp g_pbyNewEntry;
}

//Hook掉入口点
VOID HookEntryPoint()
{
  DebugOut( _T( "In HookEntryPoint\r\n"));

  HMODULE hMod = ::GetModuleHandle( NULL);
  PIMAGE_DOS_HEADER pstDosHeader = (PIMAGE_DOS_HEADER)hMod;
  PIMAGE_NT_HEADERS pstHeader = (PIMAGE_NT_HEADERS)((PBYTE)hMod + pstDosHeader->e_lfanew);
  DWORD dwEntryRVA = pstHeader->OptionalHeader.AddressOfEntryPoint;
  PBYTE pbyRVA = (PBYTE)(hMod) + dwEntryRVA;
  PPUSH_RETN pstHook = (PPUSH_RETN)pbyRVA;
  memcpy( g_abyOldEntry, pbyRVA, sizeof(PUSH_RETN));
  pstHook->byOpcodePush = 0x68;
  pstHook->dwRetnAddr = (DWORD)Hook_EntryPoint;
  pstHook->byOpcodeRetn = 0xC3;

  g_pbyOldEntry = pbyRVA;
  g_pbyNewEntry = g_pbyNewImage + dwEntryRVA;
  DebugOut( _T("New image base = 0x%X, New EntryPoint = 0x%X\r\n \
        Old image base = 0x%X, Old EntryPoint = 0x%X\r\n"), g_pbyNewImage, g_pbyNewEntry, hMod, g_pbyOldEntry);
  DebugOut( _T( "HookEntryPoint OK\r\n"));
}

//在DllMain里面Process Attach的时候调用
VOID OnAttachProcess()
{
  HMODULE hMod = ::GetModuleHandle( NULL);
  DWORD dwSize = GetImageSize();
  g_pbyNewImage = new BYTE[dwSize];

  DWORD dwOldProtect = 0;
  VirtualProtect( g_pbyNewImage, dwSize, PAGE_EXECUTE_READWRITE, &dwOldProtect);
  VirtualProtect( (LPVOID)hMod, dwSize, PAGE_READWRITE, &dwOldProtect);
  memcpy( g_pbyNewImage, (LPVOID)hMod, dwSize);

  HookEntryPoint();
  HookThreadCreate();
}

//获得主模块映像大小
DWORD GetImageSize()
{
  HANDLE hShot = NULL;
  BOOL blResult = FALSE;
  MODULEENTRY32 stInfo = {0};
  stInfo.dwSize = sizeof( MODULEENTRY32);
  TCHAR tszTmp[MAX_PATH] = {0};

  ::GetModuleFileName( GetModuleHandle(NULL), tszTmp, MAX_PATH);
  _tcslwr( tszTmp);
  size_t s = _tcslen(tszTmp);
  for ( DWORD i = 0; i < s; i++)
  {
    if ( tszTmp[s - i] == '\\')
    {
      s = s - i + 1;
      break;
    }
  }
  hShot = ::CreateToolhelp32Snapshot( TH32CS_SNAPMODULE, ::GetCurrentProcessId());
  if ( INVALID_HANDLE_VALUE == hShot)
  {
    DebugOut( _T( "CreateToolhelp32Snapshot fail.Err=%d\r\n"), GetLastError());
    return 0;
  }

  blResult = ::Module32First( hShot, &stInfo);
  while ( blResult)
  {
    _tcslwr( stInfo.szModule);
    if ( _tcscmp( stInfo.szModule, tszTmp + s) == 0)
    {
      CloseHandle( hShot);
      return stInfo.modBaseSize;
    }
    blResult = ::Module32Next( hShot, &stInfo);
  }
  CloseHandle( hShot);
  return 0;
}

     这种方法对加壳之后的exe作用有限,因为Hook的并不是真实的OEP。这样做常常会造成壳执行过程中,或者跳转到OEP之后迅速崩溃。本文仅仅是介绍一种思想,有时候巧妙的构思可以使得复杂问题很快得到解决。
    改良之后,这个技巧可以用到不少地方,呵呵

zfdyq0
关注
【C++软件调试技术】使用 Windbg 分析软件异常时的诸多细节与技巧总结
dvlinker的技术专栏
01-11 1万+
使用 Windbg 分析软件异常时的诸多细节与技巧总结。
【Jenkins】持续集成与交付 (六):Gitlab代码托管服务安装
最新发布
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
04-25 1万+
🟣【Jenkins】持续集成与交付 (六):Gitlab代码托管服务安装
一种躲避运行时代码校验方法
06-24 1012
作 者: NetRoc时 间: 2008-01-25,15:16链 接: http://bbs.pediy.com/showthread.php?t=58896一种躲避运行时代码校验方法cc682/NetRoc关键字:代码校验内存补丁hook    我们有时候需要对运行中的程序打内存补丁,或者对它的代码挂一些钩子之类的工作。但是现在相当多软件进行了运行
Pygame实现小球躲避
恒Keep毅
12-18 3069
前言: 这学期的Python课,要写代码是真的多… 课程实验一是一个五子棋,但是发了代码。 至于代码质量嘛~ 我直接全部根据自己划分的结构改了 这里吐槽下 (真的发下来的代码 惨不忍睹 ) 我改了快4个小时 后面功能不想加了… 这次是自己写嘛~ 那就写个想样的。 首发于 https://sleepymonster.cn 结构划分 我分为了 run 入口 setting 设置 main 主逻辑 utils 仓库 其实我想的是:全部设置到页面上去,但是偷懒~ (期末要去弄绩点) 直接开始贴代码 run
github上的python代码怎么运行_使用 Python 在 GitHub 上运行你的博客 -Fun言
weixin_39946300的博客
12-21 7784
使用 Pelican 创建博客,这是一个基于 Python 的平台,与 GitHub 配合的不错。GitHub 是一个非常流行的用于源代码控制的 Web 服务,它使用 Git 同步本地文件和 GitHub 服务器上保留的副本,这样你就可以轻松地共享和备份你的工作。除了为代码仓库提供用户界面之外,GitHub 还运允许用户直接从仓库发布网页。GitHub 推荐的网站生成软件包是 Jekll,是使用R...
热重载 (Hot reload)
Flutter 社区
11-05 9324
Flutter 的热重载功能可帮助您在无需重新启动应用程序的情况下快速、轻松地测试、构建用户界面、添加功能以及修复错误。通过将更新的源代码文件注入到正在运行的Dart ...
Unity | Script Hot Reload
itsxwz
02-15 2308
Unity运行时脚本热重载
RPGLE 事务处理程序实例代码
01-07
如何使用AS400 中RPGLE 的事务控制操作与隔离级别
AS400-RPG-01
码农成长记
11-08 880
RPG 的全称:Report Program Generator能 COPY、修改、编译源代码(RPGLE、CLP),并能运行编译后的程序能 COPY、修改、编译文件(PF、LF、PRTF、DSPF)对数据文件(PF)有简单的认识(FIELD -> RECORD -> PF),并知道 LF 与 PF 的对应关系编写 HELLO WROLD0003.00 C0004.00 C调用程序 call + 程序名 屏幕反白出现 “HELLO WORLD”字样。
代码检查、评审、单元测试工具 大搜集
natural_Caduceus
10-12 1万+
1.团队评审工具 静态代码分析工具列表分析—代码分析工具列表(30款工具) 2.代码检查工具 华为DevCloud 三款主流静态源代码安全检测工具比较 静态代码分析工具清单:开源篇(各语言) 代码静态分析工具——splint的学习与使用 3.代码测试框架 使用 Jtest:一款优秀的 Java 代码优化和测试工具 java单元测试工具 junit 一文了解十大 Java 开发者必备测试框架! 4....
从AS400上导出RPGLE程序代码
产品经理,程序人生
07-16 2832
打开IBM Personal Communications 1.定位需要导出的RPGLE程序 1.1打开我们要导出的RPGLE程序,这是为了在第二个步骤的时候方便设置参数。 1.2或者你也可以不用打开你的RPGLE程序,如果你熟悉你的库和里面的文件的话。 2.设置导出属性 菜单栏中:操作—>接受来自主机的文件,进入下面的窗口: 图1 2.1 在“库/文件(成员)”下的空白处按
代码检查指南】送给面对BUG的时候不知所措的你
刘炫320的博客
08-10 3637
1. 前言 一直听说真正的工业界,真正的代码量占用了很少的精力,更多的精力都在其他的环节。 50%的精力在讨论、展示自己的想法和思路 20%的精力在造轮子、单元测试 20%的精力在写说明文档 10%的精力在真正写代码 还有100%的精力在改自己发现的BUG,自己没发现的BUG,别人发现的BUG。哎,不对啊,怎么总精力不是100%而是200%?没错,这就是程序员为什么需要经常加班的原因。 那么,当我们在面对程序出现了我们不能理解的BUG的时候,应该怎么办? 下面是几个准则,供大家参考。 2. 充分相信代码和机
代码静态检查实践
阅读之后,对你有帮助,那就点个赞再走吧
09-20 2281
在分享和你分享代码静态检查实践这个主题时,我分享了近五年国内的大型互联网公司在持续交付实践中摸爬滚打的经验。从这五年的发展实践中,我们可以清楚地看到,越来越多的研发团队把静态检查作为了一个不可或缺的环节,这也确实帮助研发团队提升了代码质量。当然,机器是死的,人是活的,我们千万不要过分迷信静态检查的结果,还要时刻擦亮眼睛,看看是否存在误报等问题。
As400 rpgle程序编译错误排查
sun1102的专栏
07-17 1054
As400 rpgle程序编译错误排查 1 CRTBNDRPG PGM(mylib/test1 ) SRCFILE(MYSRCLIB/MYSRC) SRCMBR(test1) BNDDIR(mylib/mybnddir) 这里假设我的程序是 test1,用户是user1,编译失败,如下图 2 通过wrksplf 查看对应的程序编译信息 spooled file ...
Android安全防护之旅---只需要这几行代码让Android程序项目变得更加安全
尼古拉斯.赵四的博客
04-07 677
​我们在编码美丽微信公众号已经弄过了很多app了,不管是协议还是外挂,我们都是那么一路走过来了,在操作的过程中也发现了很多问题就是应用不在乎安全问题带来的后果,因为安全始终都是不可忽视的问题,辛辛苦苦写的代码被人看的体无完肤对不起自己也对不起公司,所以如果你做了这几件事至少可以防止一些人把你的app给无情的强奸了。本文就来总结一下不用加固方式也可以让你的应用变得更加安全可靠。 一、代码资源...
easymule学习----校验dll信息
gongming的专栏
09-15 680
偶尔下了下easyMule的代码学习,看到一些较好的地方,贴一下:校验dll的信息:static bool CheckLangDLLVersion(const CString& rstrLangDLL) { bool bResult = false; DWORD dwUnused; DWORD dwVerInfSize = GetFileVersionInfoSize(const_cast((LPCTSTR)rstrLangDLL), &dwUnused); if (dwVerInfSiz
JS刷新页面技巧解析:reload与replace方法
"本文主要介绍了JavaScript中用于刷新页面的各种方法,包括`reload`和`replace`,以及一些其他常见的刷新技巧。" 在JavaScript中,有时我们需要实现页面的刷新功能,例如用户提交表单后更新显示的数据,或者在某些...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值