Windows内存隐藏技术初探
2012-06-29 12:04
141 查看
标 题: 【转载】Windows内存隐藏技术初探
作 者: NetRoc
时 间: 2007-12-17,11:30:41
作 者: NetRoc
时 间: 2007-12-17,11:30:41
[align=center]NetRoc/cc682[/align] 最早看到Shadow Walker这种隐藏内存数据的技术的时间忘了,呵呵。大约是一年多或者两年以前吧。当时还只是提出了理论性的东西,没有人实现出来。前段时间搞NP玩的时候,对Themida和虚拟机深恶痛绝,遂想,干脆把内存数据隐藏得了,省得挂个钩子还得缩手缩脚,找个一劳永逸的办法。于是google了一把网上的代码,自己也花了几天时间实现了一下。虽然不太完美,不支持PAE,目前也只能隐藏ring3的代码,不过对这项技术的原理和实现也算是摸清楚了。由于对现在的安全软件具有极度破坏性的杀伤力,开始没想写这篇文章,不过最近确实比较无聊,NMAKE的文章又比较难写,so还是写写玩吧,权当练文笔了,呵呵。 关于内存隐藏的概念。有时候我们会面临这么一个问题,如果我们有一段内存中的代码,不想被别人发现,但是又要它能确确实实的执行起来起作用,怎么办?或许有很多办法,比如自我变形之类的。但是,如果可以完完全全把这段代码的痕迹从内存中“抹消”,岂不是很舒坦的事情?hoho。简单来说,就是让内存中的一段数据,执行的时候是一个样子,但是read/write的时候又是另外一个样子。是不是有点玄妙了?呵呵。 一切都要从Petium架构CPU提供的TLBS说起。TLBS的全称是Translation Lookaside Buffers。为了加速处理器内存在分页模式下的访问速度,从P6 family的cpu开始就支持这样一种特性。处理器会将最近访问过的页目录(page-directory)和页表(page-table)存储在芯片内部称为translation lookaside buffers的缓存中。P6 family处理器分别为4K页面和4M页面分别保留不同的TLBs。绝大多数对分页的访问,都可以通过TLBs的内容完成,只有在缓存中找不到所访问的页面的信息时,才会去访问实际的页目录和页表。Ring0的代码通过重新装载CR3或者使用INVLPG指令,可以将TLB里面某些页表的入口无效化。而CPU分别为内存的执行和读写保存了不同的TLB,即DTLB和ITLB。对于DTLB,在执行数据访问指令的时候,会更新DTLB中被访问页面的入口;而对于ITLB,在执行某个页面代码的时候,会更新ITLB内的入口。通常情况下,DTLB和ITLB的内容是同步的,但是我们可以通过操作这两种TLB,实现对某段内存的读写/执行控制。 如何才能在某个内存地址被读写或者访问的时候获得控制呢?很明显,当内存访问出错的时候,系统会触发页面异常,即Trap0E。通过钩挂Trap0E,并且将我们要控制的内存页面PTE标记为不存在,并且通过INVLPG指令清空TLB中该页的入口,这样,当对这个页面进行读写/执行访问的时候,TLB中不存在该页的入口信息,并且页面不存在,能够触发Trap0E,使得我们可以获得系统的控制权。 接下来,我们需要区分触发异常是由于读写访问还是执行访问。通过比较发生异常的页面地址,和出现异常的代码地址,我们可以区分异常类型。如果出现异常的地址就是发生异常时正执行的代码地址,那么说明是一次执行访问;反之则是读写访问。在捕获到异常并区分出异常类型之后,就可以通过分别手动装载DTLB和ITLB使得读写/执行数据的过滤。TLB被装载之后,只要没有被清除出去,对这些页面的访问就通过TLB里面的内容实现。这样使得Hook页面之后的访问速度,比未Hook之前并不会有明显的损失。 基本的思想就是这样了,后面贴出来一些我的代码实现,其中很多直接“参考”了OllyBone和网上其他公布出来的代码。 由于目的是想做对目标进程的Hook,并且隐藏被修改的代码,仅需要支持对ring3代码的隐藏即可。我的流程是在驱动中提供了一个接口,将应用层传进去的一段代码复制到要hook的地址,并保存原始内容。通过内存伪装,使得该地址执行的是新代码,而读写操作得到的是旧代码。为了在自己Trap0E里面区分是哪个进程触发的异常,采用了比较奇怪的办法,即通过对比CR3寄存器的值来判断,至于为什么这么做,忘了……。另外,为了装载ITLB,需要调用一下伪装页面内的代码,所以我们在被Hook的页面内需要找到一条retn指令,并把这个地址传递给驱动,在装载ITLB的时候,驱动程序直接call这句retn。 下面的代码还有一些问题,只是当时写的实验性的代码,所以也比较零乱。不过大致的流程是清楚的。 这段是IoCtrl里面的 case IOCTL_SHADOWHOOK: //Shadow Hook!! g_ulHookPid = (ULONG)PsGetCurrentProcessId(); g_ulHookProcessCr3 = GetCR3(); if( g_pbyCode == NULL) { g_pbyCode = ExAllocatePoolWithTag( PagedPool, 4*1024, 'SWHK'); g_pMdl = IoAllocateMdl( g_pbyCode, 4*1024, FALSE, FALSE, NULL); if ( g_pMdl == NULL) { ExFreePool( g_pbyCode); g_pbyCode = NULL; break; } else { __try { MmProbeAndLockPages( g_pMdl, KernelMode, IoReadAccess); g_blIsLocked = TRUE; } __except( EXCEPTION_EXECUTE_HANDLER) { IoFreeMdl(g_pMdl); g_pMdl = NULL; ExFreePool( g_pbyCode); g_pbyCode = NULL; g_blIsLocked = FALSE; } } } RtlZeroMemory( g_pbyCode, 4*1024); pstShadowHookInfo = (PSHADOW_HOOK_INFO)Irp->AssociatedIrp.SystemBuffer; RtlCopyMemory( g_pbyCode, (PVOID)(pstShadowHookInfo->ulStartAddr & 0xFFFFF000), 4*1024); SetCopyOnWrite( (PVOID)pstShadowHookInfo->ulStartAddr); g_ulHookCodeLen = pstShadowHookInfo->ulLength; _asm {//关闭内存写保护 cli; mov eax,cr0; and eax,0fffeffffh; mov cr0,eax; } RtlCopyMemory( (PVOID)pstShadowHookInfo->ulStartAddr, (PVOID)pstShadowHookInfo->pbyHookCode, pstShadowHookInfo->ulLength); _asm {//重新打开内存写保护 mov eax,cr0; or eax,0x10000; mov cr0, eax; sti; } CpuCount = *KeNumberProcessors; while( CpuCount > 0) { KeSetAffinityThread( KeGetCurrentThread(), CpuCount);//绑定CPU HookMemoryPage( (PVOID)pstShadowHookInfo->ulStartAddr, g_pbyCode, (PVOID)pstShadowHookInfo->pfnNullSub); CpuCount--; } g_blIsHookedPage = TRUE; ntStatus = HookTrap0E(); if( !NT_SUCCESS(ntStatus)) { DbgPrint( "HookTrap0E fail.\r\n"); } break; 下面是钩挂Trap0E Hook Trap0E NTSTATUS HookTrap0E() { CCHAR CpuCount = 0; PIDTENTRY IdtEntry = NULL; IDTR stIdtr = {0}; if( g_blIsHookTrapE0) return STATUS_UNSUCCESSFUL; CpuCount = *KeNumberProcessors; while( CpuCount > 0) { KeSetAffinityThread( KeGetCurrentThread(), CpuCount);//绑定CPU //得到 IDTR 中得段界限与基地址 _asm sidt stIdtr; IdtEntry = (PIDTENTRY)stIdtr.Base; //保存原有得 IDT RtlCopyMemory(&g_IdtEntryOld, &IdtEntry[0x0E], sizeof(g_IdtEntryOld)); _asm cli;//禁止中断 g_ulOldTrap0E = (ULONG)IdtEntry[0x0E].OffsetLow | ((ULONG)IdtEntry[0x0E].OffsetHigh<<16); IdtEntry[0x0E].OffsetLow = (unsigned short)NewTrap0E; IdtEntry[0x0E].OffsetHigh = (unsigned short)((unsigned int)NewTrap0E>>16); _asm sti;//开中断 CpuCount--; } g_blIsHookTrapE0 = TRUE; return STATUS_SUCCESS; } 这是Hook一个页面 void HookMemoryPage( PVOID pExecutePage, PVOID pReadWritePage, PVOID pfnCallIntoHookedPage) { PPTE ExecutePte; g_pExecutePage = pExecutePage; g_pReadWritePage = pReadWritePage; g_pfnCallIntoHookedPage = pfnCallIntoHookedPage; __asm cli; //关中断 ExecutePte = GetPteAddress( pExecutePage); g_pReadWritePTE = GetPteAddress( pReadWritePage); g_ExecutePTE = ExecutePte; //这里因为我们是Hook ring3页面,所以不用EnableGlobalPageFeature //EnableGlobalPageFeature( ExecutePte); //标记页面为不存在 MarkPageNotPresent( ExecutePte); //清空TLB入口 __asm invlpg pExecutePage __asm sti //reenable interrupts }//end HookMemoryPage 下面是钩挂的Trap0E的代码了。关键就在这里。 #pragma optimize( "", off ) void __declspec (naked) NewTrap0E(void) { __asm { pushad mov edx, dword ptr [esp+0x20] //PageFault.ErrorCode test edx, 1 //不是缺页错误 jne PassDown //通过CR3判断当前进程 mov eax, cr3 cmp eax, g_ulHookProcessCr3 jnz PassDown mov eax,cr2 //faulting virtual address //////////////////////////////////////// //判断是否是Hook掉的page ///////////////////////////////////////// mov ebx, g_pExecutePage and ebx, 0xFFFFF000 and eax, 0xFFFFF000 cmp eax, ebx mov eax, cr2 jnz PassDown //不是,传下去 /////////////////////////////////////// //下面处理Hook掉的页面了 ///////////////////////////////////// mov eax, cr2 push eax push eax call GetPteAddress mov ebx, eax //ebx = pPte pop eax cmp [esp+0x24], eax //判断是执行出错还是读写时出错? je LoadITLB //判断是否是Hook的那些字节 cmp eax, g_pExecutePage jb LoadDTLB sub eax, g_pExecutePage cmp eax, g_ulHookCodeLen jg LoadDTLB jmp LoadFakeFrame LoadITLB: //////////////////////////////// //是一次执行操作,所以Load ITLB /////////////////////////////// cli or dword ptr [ebx], 0x01 //标志页面为存在 call g_pfnCallIntoHookedPage //通过调用一下那个页面内的代码,装载ITLB and dword ptr [ebx], 0xFFFFFFFE //重新标记为不存在 //sti jmp ReturnWithoutPassdown //////////////////////////////// // 这是读写造成的异常,并且不在我们要隐藏的代码范围内,Load DTLB /////////////////////////////// LoadDTLB: cli mov eax,cr2 or dword ptr [ebx], 0x01 //mark the page present mov eax, dword ptr [eax] //load the DTLB and dword ptr [ebx], 0xFFFFFFFE //mark page not present //sti jmp ReturnWithoutPassdown ///////////////////////////////// //需要隐藏这段代码,所以Load伪装的页面 ///////////////////////////////// LoadFakeFrame: mov eax, cr2 mov esi, g_pReadWritePTE mov ecx, dword ptr [esi] //ecx = PTE of the //read / write page //把页面替换为假的 mov edi, [ebx] and edi, 0x00000FFF //preserve the lower 12 bits of the //faulting page's PTE and ecx, 0xFFFFF000 //isolate the physical address in //the "fake" page's PTE or ecx, edi mov edx, [ebx] //save the old PTE so we can replace it cli mov [ebx], ecx //replace the faulting page's phys frame //address w/ the fake one //load DTLB or dword ptr [ebx], 0x01 //标志为存在 mov eax, cr2 //faulting virtual address mov eax, dword ptr[eax] //访问一次页面的数据,Load DTLB and dword ptr [ebx], 0xFFFFFFFE //重新标志为不存在 //Finally, restore the original PTE mov [ebx], edx //sti ReturnWithoutPassDown: popad add esp,4 sti iretd PassDown: popad jmp g_ulOldTrap0E }//end asm } #pragma optimize( "", on ) |
![]() |
相关文章推荐
- Windows内存隐藏技术初探
- Windows程序调试----第三部分 调试技术----第9章 内存调试
- 深入了解tcmalloc(一):windows环境下无缝拦截技术初探
- 查找Windows内存泄露的工具与技术介绍
- Windows程序调试----第三部分 调试技术----第9章 内存调试
- Windows-病毒、木马各种隐藏技术全方位大批露
- 查找Windows内存泄露的工具与技术介绍
- 数字取证技术 :Windows内存信息提取
- 【Linux技术】Windows与Linux系统下的库·初探
- 技术回归01-Windows内存分配工具
- WINDOWS下解决进程间通信的方法:内存映射文件技术
- 查找Windows内存泄露的工具与技术介绍
- U+V2深度隐藏PE制作技术初探
- Windows内存体系(5)-- 内存映射文件技术的使用
- windows进程共享内存技术
- 原 深入了解tcmalloc(一):windows环境下无缝拦截技术初探
- Windows程序调试----第三部分 调试技术----第9章 内存调试
- 深入了解tcmalloc(一):windows环境下无缝拦截技术初探
- 在 Linux 和 Windows 下给 Tomcat 分配大内存设置方法(转)