看雪论坛
发新帖
26

[黑客技术与防范] [原创]rootkit hook之[三] inline hook

combojiang 2008-1-30 17:27 50949
最近为了写好rootkit inline hook篇,特意A了著名的流氓软件(cdnprot.sys),这个文件很庞大,有152k之多, 花费了我好几个晚上的时间,让我少看好多集的电视剧《闯关东》,在这个软件里面用了很多好的技术,不管怎么说,技术本身是无辜的,由于我们今天谈论的主题是Inline hook,因此今天只是带领大家看看他是怎样使用inline hook这项技术的。今天是一年一度的小年,发表此篇,作为对大家的小年献礼吧,顺祝大家小年好。

关于什么是inline hook.,这些基本概念,我们就不在这里说了,大家可以google下。
对于ring3下的inline hook使用起来非常的方便,也非常简单。但是到了ring0,inline hook就麻烦些,搞不好就出现了bsod.   ,我们今天讲的是内核中的inline hook。这个技术,在这个流氓软件中应用的比较稳定。我们就来看看它是怎么用的。

先谈谈思路:

1.        Hook之前的准备工作之一。
在这个软件中,总共hook了15个native api 函数。他们分别是:
ZwOpenKey , ZwClose, ZwQueryValueKey, ZwDeleteKey, ZwSetValueKey, ZwCreateKey,
ZwDeleteValueKey. ZwEnumerateValueKey,ZwRestoreKey, ZwReplaceKey, ZwTerminateProcess, ZwSetSecurityObject, ZwCreateThread, ZwTerminateThread, ZwQuerySystemInformation.

这15个函数中,包括2个未公开的函数,ZwCreateThread, ZwTerminateThread,这两个函数,需要我们从ntdll.dll的导出表中找到。另外,所有的native api函数的最终实现都是在ntoskrnl模块中,所以,我们使用ZwQuerySystemInformation的0B号功能,找出ntoskrnl模块的内存加载区间,然后逐个判断ssdt表中这些要hook的函数地址,是否在这个区间内。确保我们是第一个吃螃蟹的人。呵呵。

2.        Hook之前准备工作之二:
1)一个全局函数表 ,保存这15个要hook的函数的原始地址。
这个表起始地址位于:.data:00036860 ,终止于:data:0003689C 共60字节
2)一个hook 的函数地址表,分别对应于要hook的15个函数的跳转。
这个表起始地址位于:.data:00034E98
.data:00034E98 off_34E98        dd offset sub_1EEA8   
.data:00034E9C                 dd offset sub_1EE82
.data:00034EA0                 dd offset sub_1EF82
.data:00034EA4                 dd offset sub_1EF4A
.data:00034EA8                 dd offset sub_1EF6D
.data:00034EAC                 dd offset sub_1EEC1
.data:00034EB0                 dd offset sub_1EED2
.data:00034EB4                 dd offset sub_1EEF5
.data:00034EB8                 dd offset sub_1EF31
.data:00034EBC                 dd offset sub_1EF18
.data:00034EC0                 dd offset sub_1EF93
.data:00034EC4                 dd offset sub_1EFA8
.data:00034EC8                 dd offset sub_1EFBD
.data:00034ECC                 dd offset sub_1EFE6
.data:00034ED0                 dd offset sub_1EFFF

这15个函数,都是在cdnprot.sys中实现的。

3)一个用于保存函数开头字节的二维数组数据区,数组形式是 array[15][30];
  15个函数,每个函数有30个字节可用。 这30个字节中,首先保存原hook函数开头字节,然后写入0xe9 ,再写入数组当前位置跟原hook函数地址偏移我们已复制出的字节码后的位置之间的相对偏移值。(具体我们要保存原hook函数开头多少字节,代码中有一个算法。)
  这个数组的作用是,当我们hook了函数后,执行完我们的hook函数之后,然后,需要恢复执行原api函数,由于原api函数开头5字节已经被改写,由于函数原开头字节已经保存到相应的数组里,因此这里的作法是,执行这个数组中的机器码,数组机器码执行到最后,会跳转到原hook函数某个偏移位置,继续执行。

3.        Inline hook
1)        IoAllocateMdl ,分配一个mdl,将要hook的函数映射进去。
2)        MmProbeAndLockPages,锁定页面
3)        去掉写保护
4)        保存函数开头机器码到对应的二维数组区,改写开头5个字节,让他跳转到起始地址位于.data:00034E98的跳转表中的对应跳转函数。
5)        恢复写保护
6)        MmUnlockPages
7)        IoFreeMdl

4.        Inline hook后的恢复工作
正如2步骤3)中描述的那样。

代码太多,不在这里贴出了。
Inline hook对应的函数是sub_1F30D,这个函数很庞大。嵌套了n多层。我把逆向的源文件和.idb文件附上。有兴致的可以使用ida5.2看看。

附上一个例子吧:
这个例子是hook了KiInsertQueueApc,由于KiInsertQueueApc没有导出,需要在KeInsertQueueApc中找出来。
#include <ntddk.h>
#include <ntifs.h>
ULONG g_KiInsertQueueApc;
char g_oricode[8];
ULONG g_uCr0;
char *non_paged_memory;

void WPOFF()
{
   
    ULONG uAttr;
   
    _asm
    {
        push eax;
        mov eax, cr0;
        mov uAttr, eax;
        and eax, 0FFFEFFFFh; // CR0 16 BIT = 0
        mov cr0, eax;
        pop eax;
        cli
    };
   
    g_uCr0 = uAttr; //保存原有的 CRO 屬性
   
}

VOID WPON()
{
   
    _asm
    {
        sti
        push eax;
        mov eax, g_uCr0; //恢復原有 CR0 屬性
        mov cr0, eax;
        pop eax;
    };
   
}

__declspec(naked) my_function_detour_KiInsertQueueApc()
{
        __asm
        {               
                mov edi,edi
                push ebp
                mov        ebp, esp
                push ecx
                mov eax,ecx
                _emit 0xEA
                _emit 0xAA
                _emit 0xAA
                _emit 0xAA
                _emit 0xAA
                _emit 0x08
                _emit 0x00
        }
}

ULONG GetFunctionAddr( IN PCWSTR FunctionName)
{
    UNICODE_STRING UniCodeFunctionName;
    RtlInitUnicodeString( &UniCodeFunctionName, FunctionName );
    return (ULONG)MmGetSystemRoutineAddress( &UniCodeFunctionName );   

}

//根据特征值,从KeInsertQueueApc搜索中搜索KiInsertQueueApc
ULONG FindKiInsertQueueApcAddress()
{
        char * Addr_KeInsertQueueApc = 0;
        int i = 0;
        char Findcode[] = { 0xE8, 0xcc, 0x29, 0x00, 0x00 };
        ULONG Addr_KiInsertQueueApc = 0;
    Addr_KeInsertQueueApc = (char *) GetFunctionAddr(L"KeInsertQueueApc");
        for(i = 0; i < 100; i ++)
        {
        if( Addr_KeInsertQueueApc[i] == Findcode[0] &&
                        Addr_KeInsertQueueApc[i + 1] == Findcode[1] &&
                        Addr_KeInsertQueueApc[i + 2] == Findcode[2] &&
                        Addr_KeInsertQueueApc[i + 3] == Findcode[3] &&
                        Addr_KeInsertQueueApc[i + 4] == Findcode[4]
                        )
                {
                        Addr_KiInsertQueueApc = (ULONG)&Addr_KeInsertQueueApc[i] + 0x29cc + 5;
                        break;
                }
        }
        return Addr_KiInsertQueueApc;
}

VOID DetourFunctionKiInsertQueueApc()
{

        char *actual_function = (char *)g_KiInsertQueueApc;
        unsigned long detour_address;
        unsigned long reentry_address;
        KIRQL oldIrql;
        int i = 0;

        char newcode[] = { 0xEA, 0x44, 0x33, 0x22, 0x11, 0x08, 0x00, 0x90 };

        reentry_address = ((unsigned long)g_KiInsertQueueApc) + 8;

        non_paged_memory = ExAllocatePool(NonPagedPool, 256);
       
        for(i=0;i<256;i++)
        {
                ((unsigned char *)non_paged_memory)[i] = ((unsigned char *)my_function_detour_KiInsertQueueApc)[i];
        }

        detour_address = (unsigned long)non_paged_memory;
       
        *( (unsigned long *)(&newcode[1]) ) = detour_address;

        for(i=0;i<200;i++)
        {
                if( (0xAA == ((unsigned char *)non_paged_memory)[i]) &&
                        (0xAA == ((unsigned char *)non_paged_memory)[i+1]) &&
                        (0xAA == ((unsigned char *)non_paged_memory)[i+2]) &&
                        (0xAA == ((unsigned char *)non_paged_memory)[i+3]))
                {
                        *( (unsigned long *)(&non_paged_memory[i]) ) = reentry_address;
                        break;
                }
        }

    oldIrql = KeRaiseIrqlToDpcLevel();
        for(i=0;i < 8;i++)
        {
                g_oricode[i] = actual_function[i];
                actual_function[i] = newcode[i];
        }
    KeLowerIrql(oldIrql);
}

VOID UnDetourFunction()
{
    char *actual_function = (char *)g_KiInsertQueueApc;
        KIRQL oldIrql;
        int i = 0;
       
        WPOFF();
        oldIrql = KeRaiseIrqlToDpcLevel();

        for(i=0;i < 8;i++)
        {
                actual_function[i] = g_oricode[i];
        }
    KeLowerIrql(oldIrql);
    WPON();
        ExFreePool(non_paged_memory);
}

VOID OnUnload( IN PDRIVER_OBJECT DriverObject )
{
        DbgPrint("My Driver Unloaded!");
        UnDetourFunction();
}

NTSTATUS DriverEntry( IN PDRIVER_OBJECT theDriverObject, IN PUNICODE_STRING theRegistryPath )
{
        DbgPrint("My Driver Loaded!");
        theDriverObject->DriverUnload = OnUnload;
               
    g_KiInsertQueueApc = FindKiInsertQueueApcAddress();
        DetourFunctionKiInsertQueueApc();

        return STATUS_SUCCESS;
}

补充: 实际应用文章,可以参考sudami的干掉KV 2008, Rising等大部分杀软
上传的附件:
本主题帖已收到 0 次赞赏,累计¥0.00
最新回复 (26)
12
petnt 2008-1-30 18:08
2
好东西啊,占座学习
25
sudami 2008-1-30 18:13
3
学习.

都是inline hook的SSDT中的函数呀.

用IoAllocateMdl等函数来写SSDT,也可以直接修改CR0.嘿嘿.

cnnic很流氓,它还hook了IRP_MJ_CREATE(0x00)、IRP_MJ_SET_INFORMATION(0x06)....
3
炉子 2008-1-30 18:42
4
1)  IoAllocateMdl ,分配一个mdl,将要hook的函数映射进去。
2)  MmProbeAndLockPages,锁定页面
3)  去掉写保护
4)  保存函数开头机器码到对应的二维数组区,改写开头5个字节,让他跳转到起始地址位于.data:00034E98的跳转表中的对应跳转函数。
5)  恢复写保护
6)  MmUnlockPages
7)  IoFreeMdl

汗,俺平时就是改cr0+sti&SpinLock的 - -
3
xPLK 2008-1-30 21:53
5
我的就没那么严谨了。。。
10
cvcvxk 2008-1-31 00:07
6
我改ssdt一直是mdl的,inline也mdl~
25
sudami 2008-1-31 08:40
7
哦. 学习V大
11
火影 2008-1-31 09:26
8
lz大哥不是一般的牛X
7
sislcb 2008-1-31 10:00
9
用 cr0+sti&SpinLock 和 用mdl效果不一样吗?一样就无所谓了吧。。
3
xPLK 2008-1-31 12:37
10
cr0方便
不过有点风险
26
combojiang 2008-2-1 09:57
11
嗯,能不能行,建议试验下inline hook ZwQuerySystemInformation就知道了。
zrhai 2008-2-24 23:22
12
谢谢楼主,学习!
简单爱 2008-3-9 19:30
13
引用
“最近为了写好rootkit inline hook篇,特意A了著名的流氓软件(cdnprot.sys),”
请问A是啥意思?
25
sudami 2008-3-9 20:02
14
A 可以理解为“逆向”或者是 “偷窃拷贝他人现成的code
简单爱 2008-3-10 16:24
15
[QUOTE=sudami;426073]A 可以理解为“逆向”或者是 “偷窃拷贝他人现成的code[/QUOTE]

第一个意思原来就知道了,第二个意思貌似也知道,但就是不知道这种叫法的出处在哪儿,用Reverse跟copy多好啊,简单明了。
Henrybliu 2008-3-10 16:48
16
应该是 学习与交流 更贴切些。
jpinglove 2008-3-29 00:26
17
向楼主学习!
这么好的文章不学可惜了!
twoseconds 2008-12-26 17:54
18
太牛B了,一群大牛。。。
学习ing.....
twoseconds 2008-12-28 20:26
19
强大,不过想请教请教,逆代码,从哪开始好,头还是尾?
5
竹君 2009-7-26 18:15
20
不错啊 很强大啊
yspwch 2010-1-13 14:11
21
出来砸到,感觉还是先去复习好汇编
awpper 2010-3-4 18:00
22
讚~~~~~~高手
s陈辉 2010-8-21 16:55
23
谢谢咯,这个东西我正需要
guyuelang 2011-6-15 16:10
24
都过这么多年了 这个还是有用啊
4
viphack 2011-7-4 12:29
25
晕哦     
饿死灵魂 2013-4-5 14:10
26
膜拜lz,收藏了,日后学习.
我是谁! 2015-8-29 19:12
27
我是来定帖子的 !
返回



©2000-2017 看雪学院 | Based on Xiuno BBS | 知道创宇带宽支持 | 微信公众号:ikanxue
Time: 0.016, SQL: 13 / 京ICP备10040895号-17