首页
论坛
课程
招聘
[原创]抹掉所有进程中自己的Handle
2008-8-7 23:42 20626

[原创]抹掉所有进程中自己的Handle

2008-8-7 23:42
20626
之前听过一个检测进程的想法,就是暴力枚举所有进程中的handle,查找其中类型为PROCESS的.
此法也被炉子牛用于他的LzOpenProcess().
下面我就写了一断代码来对抗这个方法,纯属小伎俩,写写练手,牛牛们飘过~
严格说,此段代码不算原创,是从某rootkit的bin中扒出来的,因此基本保留其原貌,经我修改测试,主要函数如下:
void CloseAllmyHandles()
{
  
  HANDLE hCurProcess,hSouceProcessHandle,hTargetHandle;
  HANDLE hMyProcess=INVALID_HANDLE_VALUE,hMyThread=INVALID_HANDLE_VALUE;
  DWORD pid,nBufferLen=0x40000,nRetnLen=0;
  DWORD HandleCnt,NumberOfHandles;
  DWORD pMyProcessObject = 0,pMyThreadObject = 0,pObject;
  CLIENT_ID myCid,tmpCid;
  PVOID pBuffer = NULL;
  NTSTATUS status;
  OBJECT_ATTRIBUTES  ObjectAttributes;
  myCid.UniqueProcess =(HANDLE)my_GetProcessId();
  myCid.UniqueThread=(HANDLE)my_GetThreadId();
  InitializeObjectAttributes( &ObjectAttributes, NULL, 0, NULL, NULL );
  ZwOpenProcess(&hMyProcess, PROCESS_ALL_ACCESS, &ObjectAttributes, &myCid);
  ZwOpenThread(&hMyThread, PROCESS_ALL_ACCESS, &ObjectAttributes, &myCid);
  printf("hMyProcess:0x%08x\n",hMyProcess);
  printf("hMyThread :0x%08x\n",hMyThread);
  hCurProcess = GetCurrentProcess();
  status=ZwAllocateVirtualMemory(hCurProcess, &pBuffer, 0, &nBufferLen, MEM_COMMIT,PAGE_READWRITE);
  if (!NT_SUCCESS(status))
  {
    printf("Alloc Memory failed.\n");
    return;
  }
  printf("Alloced Buffer:0x%08X\n",pBuffer);
  ZwQuerySystemInformation(SystemHandleInformation, pBuffer, nBufferLen, &nRetnLen);// 16=SystemHandleInformation
  printf("Searching handles...\n");
  HandleCnt=*(DWORD *)pBuffer;
  printf("Handle Count:%d\n",HandleCnt);
  if (HandleCnt>1)
  {
    NumberOfHandles=*(DWORD*)pBuffer;
    pHandleInfo=(PSYSTEM_HANDLE_TABLE_ENTRY_INFO)((char*)pBuffer+sizeof(DWORD));
    do
    {                                                
      //printf("HandleValue:0x%08X\n",pHandleInfo->HandleValue);
      if ( pHandleInfo->HandleValue==(USHORT)hMyThread )
    {
        if (pHandleInfo->UniqueProcessId == (USHORT)myCid.UniqueProcess )
        {
          pMyThreadObject = *(DWORD*)&(pHandleInfo->Object);
          printf("Thread  finded\n");
        }
      }
      if (pHandleInfo->HandleValue==(USHORT)hMyProcess )
      {
        if (pHandleInfo->UniqueProcessId == (USHORT)myCid.UniqueProcess)
        {
          pMyProcessObject =*(DWORD*)&(pHandleInfo->Object);
          printf("Process finded\n");
        }
      }
      ++pHandleInfo;
      --NumberOfHandles;
     
    }
    while ( NumberOfHandles );
  }
  ZwClose(hMyThread);
  ZwClose(hMyProcess);
  printf("Found my object ok.\nBegin Search and Close...\n");
  NumberOfHandles=HandleCnt;
  if (HandleCnt>=1 )
  {
  pHandleInfo=(PSYSTEM_HANDLE_TABLE_ENTRY_INFO)((char*)pBuffer+sizeof(DWORD));
    do
    {
      pObject = *(DWORD*)&(pHandleInfo->Object);
     
      if ( pMyProcessObject == pObject || pMyThreadObject == pObject )
      {
        printf("Found Handle=0x%08X OwnerPID=%4d\n",pHandleInfo->HandleValue,pHandleInfo->UniqueProcessId);
      tmpCid.UniqueProcess= (HANDLE)pHandleInfo->UniqueProcessId;
      tmpCid.UniqueThread=0;
      InitializeObjectAttributes(&ObjectAttributes, NULL, 0, NULL, NULL );
      status=ZwOpenProcess(&hSouceProcessHandle, PROCESS_DUP_HANDLE, &ObjectAttributes, &tmpCid);
        //PrintZwError("ZwOpenProcess",status);
        if (!status)
        {
    status=ZwDuplicateObject(
            hSouceProcessHandle,
            (void*)pHandleInfo->HandleValue,
            hCurProcess,
            &hTargetHandle,
            0,
            0,
                DUPLICATE_CLOSE_SOURCE);

  if ( !status)
          {
            ZwClose(hTargetHandle);
            printf("Handle closed!\n");
          }
      //PrintZwError("ZwDuplicateObject",status);
          ZwClose(hSouceProcessHandle);
        }
      }
      ++pHandleInfo;
      --NumberOfHandles;
    }
    while ( NumberOfHandles );
  }
  ZwFreeVirtualMemory(hCurProcess, &pBuffer, &nBufferLen, MEM_RELEASE);
}

完整工程源码:

2021 KCTF 秋季赛 防守篇-征题倒计时(11月14日截止)!

上传的附件:
收藏
点赞0
打赏
分享
最新回复 (15)
雪    币: 727
活跃值: 活跃值 (60)
能力值: ( LV9,RANK:380 )
在线值:
发帖
回帖
粉丝
Winker 活跃值 8 2008-8-8 02:28
2
0
沙发。好东西
雪    币: 479
活跃值: 活跃值 (684)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
sudami 活跃值 25 2008-8-8 07:57
3
0
还没抹完啊.在诸如CSRSS中还有很多哦...

貌似在flowerCode的坛子里,有个VB小同学写过一个VB版的关CSRSS中的HANDLE,来防止炉子的LzOpenProcess,其实就是防dump嘛~

原理都差不多.就是找到了就NtClose.呵呵呵.

---------------------------------------------------

谢谢楼主分享自己的学习成果
雪    币: 479
活跃值: 活跃值 (684)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
sudami 活跃值 25 2008-8-8 08:03
4
0
不过你把自己的进程的句柄都关了,文件操作方面会有问题的哦...

Gmer 中的一个函数CloseHandlesToDeleteFile,就是gmer_ZwQuerySystemInformation后一阵MmIsAddressValid,搜索相关的进程句柄,再关掉...
雪    币: 7509
活跃值: 活跃值 (343)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
achillis 活跃值 15 2008-8-8 08:05
5
0
恩,原理是一样的。我是枚举了系统中的所有句柄啊,包括了Csrss.exe中的,输出句柄所有者的pid中就有Csrss
雪    币: 479
活跃值: 活跃值 (684)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
sudami 活跃值 25 2008-8-8 08:52
6
0
用windbg逆了下NtClose的全过程,太多的地方可以做手脚,突然发现一个很隐蔽的地方,可以防止一切ARK关你的句柄,无论是想关你的进程,还是想删你的文件,都会failed.

属于MJ提到过的 Object hook,哈哈,立马试验一下...
雪    币: 7509
活跃值: 活跃值 (343)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
achillis 活跃值 15 2008-8-8 09:35
7
0
Object hook确实好啊,什么句柄到了下面不都是对应于Object
雪    币: 479
活跃值: 活跃值 (684)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
sudami 活跃值 25 2008-8-8 09:47
8
0
一会儿放出来,先玩游戏。。。
Object hook其实就是替换函数,只是检测起来很隐蔽。
嘿嘿
雪    币: 347
活跃值: 活跃值 (11)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
xPLK 活跃值 3 2008-8-8 09:58
9
0
和PsVoid中使用的方法差不多。

楼主做得不错。

Ps:“flowerCode的坛子”即bbs.0GiNr.com
雪    币: 109
活跃值: 活跃值 (135)
能力值: ( LV13,RANK:1050 )
在线值:
发帖
回帖
粉丝
combojiang 活跃值 26 2008-8-8 18:53
10
0
good..
雪    币: 206
活跃值: 活跃值 (33)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
鸡蛋壳 活跃值 2008-8-9 08:27
11
0
还有一个方法,
NTSTATUS
ObDuplicateObject (
    IN PEPROCESS SourceProcess,
    IN HANDLE SourceHandle,
    IN PEPROCESS TargetProcess OPTIONAL,
    OUT PHANDLE TargetHandle OPTIONAL,
    IN ACCESS_MASK DesiredAccess,
    IN ULONG HandleAttributes,
    IN ULONG Options,
    IN KPROCESSOR_MODE PreviousMode
    )

Options 存在 DUPLICATE_CLOSE_SOURCE 参数.
雪    币: 42
活跃值: 活跃值 (17)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
nevergone 活跃值 3 2008-8-9 08:53
12
0
感觉没有必要用Native API
直接用r3就行了
找csrss.exe进程句柄
雪    币: 102
活跃值: 活跃值 (11)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
vcfan 活跃值 1 2008-8-10 02:46
13
0
学习中.......
雪    币: 326
活跃值: 活跃值 (15)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
快雪时晴 活跃值 4 2008-8-10 15:55
14
0
等你Release
雪    币: 479
活跃值: 活跃值 (684)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
sudami 活跃值 25 2008-8-10 16:43
15
0
已经release了啊。
在那个什么“『软件调试论坛』”
雪    币: 206
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
yamu 活跃值 2008-9-23 14:22
16
0
收藏了 来留言 对lz的辛苦表示感谢
游客
登录 | 注册 方可回帖
返回