隐藏进程中的模块绕过IceSword的检测
作 者: xPLK
时 间: 2008-06-19,17:59:11
链 接: http://bbs.pediy.com/showthread.php?t=66886
【文章标题】: 隐藏进程中的模块绕过IceSword的检测
【文章作者】: 小伟的小伟[0GiNr](看雪ID:xPLK)
【作者主页】: http://www.0GiNr.com http://hi.baidu.com/zoo%5F
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
最近对隐藏DLL来了点兴趣,首先是断了PEB里面的双向链,过了大部分程序。然后呢把MZ标志改掉了过了暴力搜索(感谢aegisys)。
接下来就是对抗IceSword使用的NtQueryVirtualMemory的方法了。
我去WRK里面看了下NtQueryVirtualMemory的源码,找到了这里。
以下是调试笔记。
lkd> dt_EPROCESS 0x81583B60
nt!_EPROCESS
+0x000 Pcb : _KPROCESS
;.............
+0x11c VadRoot : 0x816afb68
;.............
lkd> dt_MMVAD 0x816afb68 ;看到了吧。。。二叉树。。。。。。。。。。。
nt!_MMVAD
+0x000 StartingVpn : 0x30
+0x004 EndingVpn : 0x12f
+0x008 Parent : (null)
+0x00c LeftChild : 0x813d7748 _MMVAD
+0x010 RightChild : 0x816b21d8 _MMVAD ;选择右节点来遍历
+0x014 u : __unnamed
+0x018 ControlArea : 0x0a050004 _CONTROL_AREA
+0x01c FirstPrototypePte : 0x6d665346 _MMPTE
+0x020 LastContiguousPte : 0x00000001 _MMPTE
+0x024 u2 : __unnamed
lkd> dt_MMVAD 0x816b21d8
nt!_MMVAD
+0x000 StartingVpn : 0x400
+0x004 EndingVpn : 0x410
+0x008 Parent : 0x816afb68 _MMVAD
+0x00c LeftChild : 0x81672bb0 _MMVAD
+0x010 RightChild : 0x817b58d8 _MMVAD ;再来一次
+0x014 u : __unnamed
+0x018 ControlArea : 0x8144a2f8 _CONTROL_AREA ;这里是进程映像的地方。
+0x01c FirstPrototypePte : 0xe24faaa0 _MMPTE
+0x020 LastContiguousPte : 0xfffffffc _MMPTE
+0x024 u2 : __unnamed
lkd> dt_MMVAD 0x817b58d8
nt!_MMVAD
+0x000 StartingVpn : 0x7c920
+0x004 EndingVpn : 0x7c9b3
+0x008 Parent : 0x816b21d8 _MMVAD
+0x00c LeftChild : 0x81731348 _MMVAD
+0x010 RightChild : 0x81629b70 _MMVAD
+0x014 u : __unnamed
+0x018 ControlArea : 0x81f05138 _CONTROL_AREA ;从这里进去。。
+0x01c FirstPrototypePte : 0xe1377040 _MMPTE
+0x020 LastContiguousPte : 0xfffffffc _MMPTE
+0x024 u2 : __unnamed
lkd> dt_CONTROL_AREA 0x81f05138
nt!_CONTROL_AREA
+0x000 Segment : 0xe1377008 _SEGMENT
+0x004 DereferenceList : _LIST_ENTRY [ 0x0 - 0x0 ]
+0x00c NumberOfSectionReferences : 1
+0x010 NumberOfPfnReferences : 0x6d
+0x014 NumberOfMappedViews : 0x19
+0x018 NumberOfSubsections : 5
+0x01a FlushInProgressCount : 0
+0x01c NumberOfUserReferences : 0x1a
+0x020 u : __unnamed
+0x024 FilePointer : 0x81e9d938 _FILE_OBJECT ;这里可以得到模块信息
+0x028 WaitingForDeletion : (null)
+0x02c ModifiedWriteCount : 0
+0x02e NumberOfSystemCacheViews : 0
lkd> dt_FILE_OBJECT 0x81e9d938 ;到这里ntdll.dll已经出来了。。。。
nt!_FILE_OBJECT
+0x000 Type : 5
+0x002 Size : 112
+0x004 DeviceObject : 0x81dce7b8 _DEVICE_OBJECT
+0x008 Vpb : 0x81e9f8e0 _VPB
+0x00c FsContext : 0xe13939e0
+0x010 FsContext2 : 0xe1393b38
+0x014 SectionObjectPointer : 0x81e9338c _SECTION_OBJECT_POINTERS
+0x018 PrivateCacheMap : (null)
+0x01c FinalStatus : 0
+0x020 RelatedFileObject : (null)
+0x024 LockOperation : 0 ''
+0x025 DeletePending : 0 ''
+0x026 ReadAccess : 0x1 ''
+0x027 WriteAccess : 0 ''
+0x028 DeleteAccess : 0 ''
+0x029 SharedRead : 0x1 ''
+0x02a SharedWrite : 0 ''
+0x02b SharedDelete : 0 ''
+0x02c Flags : 0x44040
+0x030 FileName : _UNICODE_STRING "\WINDOWS\system32\ntdll.dll"
+0x038 CurrentByteOffset : _LARGE_INTEGER 0x0
+0x040 Waiters : 0
+0x044 Busy : 0
+0x048 LastLock : (null)
+0x04c Lock : _KEVENT
+0x05c Event : _KEVENT
+0x06c CompletionContext : (null)
lkd> dt_FILE_OBJECT 0x81c08350 ;再往后是kernel32.dll
nt!_FILE_OBJECT
;......................
+0x030 FileName : _UNICODE_STRING "\WINDOWS\system32\kernel32.dll"
;......................
这里是源码,包含了大量硬编码,要编译的话自己搜索一下就可以。
Code:
//////////////////////////////////////
//在Ring0下通过遍历VAD获取进程内的模块(WinXP SP2)
//By 小伟的小伟[0GiNr](看雪ID:xPLK)
//http://www.0GiNr.com
//http://hi.baidu.com/zoo%5F
/////////////////////////////////////
VOID ShowModules()
{
ULONG VAD;
PEPROCESS TargetProcess;
////////////////////////////////////////
PsLookupProcessByProcessId( (HANDLE)Pid,TargetProcess);
if(!TargetProcess)
{
dprintf("[EnumModules] Error on Get EProcess By Pid.");
return;
}
VAD = *(ULONG *)((ULONG)TargetProcess + Vad);
//+0x11c VadRoot : Ptr32 Void
dprintf("[EnumModules] EPROCESS : 0x%X , VAD : 0x%X",TargetProcess,VAD);
PreOrderTraverse(VAD); //遍历二叉树。。。
dprintf("[EnumModules] Modules count : %d",nCount);
//start.
}
VOID PreOrderTraverse(ULONG mmVad)
{
if ( MmIsAddressValid( (ULONG *)mmVad ) )
{
ShowPath(mmVad);//读取地址
PreOrderTraverse( *(ULONG *)(mmVad + LeftChild) );
PreOrderTraverse( *(ULONG *)(mmVad + RightChild) );
}
}
VOID ShowPath(ULONG mmVad)
{
PUNICODE_STRING pPath;
ULONG ca;//_CONTROL_AREA
ULONG fp;//_FILE_OBJECT
ca = *(ULONG *)(mmVad + ControlArea);
if( !MmIsAddressValid( (ULONG *)ca ) )
{
//dprintf("[EnumModules] ControlArea is not available : 0x%X",ca);
return;
}
fp = *(ULONG *)(ca + FilePointer);
if( !MmIsAddressValid( (ULONG *)fp ) )
{
//dprintf("[EnumModules] FileObject is not available : 0x%X",fp);
return;
}
pPath = (PUNICODE_STRING)(fp + FileName);
dprintf("[EnumModules] The file name is %S",pPath->Buffer);
//dprintf("[EnumModules] The MMVAD is 0x%X",mmVad);
//dprintf("\n");
nCount++;//计数
}
这样和用NtQueryVirtualMemory扫描出来的结果一样(MemorySectionName),可以在DebugView里看到。输出是这样的。
[EnumModules] The file name is \Project\VisualC++\HideModule\Release\HideModule.exe
[EnumModules] The file name is \WINDOWS\system32\ntdll.dll
[EnumModules] The file name is \WINDOWS\system32\kernel32.dll
[EnumModules] The file name is \WINDOWS\system32\advapi32.dll
[EnumModules] The file name is \WINDOWS\system32\rpcrt4.dll
[EnumModules] The file name is \WINDOWS\system32\gdi32.dll
[EnumModules] The file name is \WINDOWS\system32\user32.dll
[EnumModules] The file name is \WINDOWS\system32\imm32.dll
[EnumModules] The file name is \WINDOWS\system32\msvcrt.dll
[EnumModules] The file name is \WINDOWS\system32\apphelp.dll
[EnumModules] The file name is \WINDOWS\system32\version.dll
[EnumModules] The file name is \WINDOWS\system32\lpk.dll
[EnumModules] The file name is \WINDOWS\system32\usp10.dll
[EnumModules] The file name is \WINDOWS\system32\unicode.nls
[EnumModules] The file name is \WINDOWS\system32\sortkey.nls
[EnumModules] The file name is \WINDOWS\system32\ctype.nls
[EnumModules] The file name is \WINDOWS\system32\sorttbls.nls
[EnumModules] The file name is \WINDOWS\system32\locale.nls
所以要隐藏呢,就简单了,当然遍历二叉树找到需要隐藏的DLL的时候,我们可以做手脚。
当初测试抹掉FileObject会不稳定,运行某些程序会蓝屏。
感谢炉子提示,抹掉_FILE_OBJECT里面的路径就可以了。
代码如下:
////////
RtlZeroMemory(pPath->Buffer,pPath->Length);
pPath->Length = 0;
pPath->MaximumLength = 0;
///////
效果图如下,我隐藏的是ntdll.dll,IceSword是最新版:
比较有意思的是,隐藏掉了之后,再所有进程中都不会显示该模块(ntdll.dll)。
经过测试,对新创建的进程同样有效,新进程中也没有ntdll.dll的痕迹(IceSword)。
抹了这点地方,应该还是有办法检测出来的。
大家发挥创造力吧。
再次感谢几位朋友的帮忙:
aegisys: http://hi.baidu.com/aegisys
Sysnap :http://hi.baidu.com/sysnap
炉子 :http://hi.baidu.com/breakinglove_
FlowerCode: http://hi.baidu.com/flowercode
本人菜鸟,文中难免有所缺漏,敬请各位看官指出不足之处。。
注:sysnap大牛已经检测出来了,得到了一个基址,十分不错,我把bin放出来,有兴趣的可以玩一下,完整src就不放了,主要是怕流氓啊~。
--------------------------------------------------------------------------------
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!
2008年06月19日 18:02:30*转载请注明来自看雪论坛@PEdiy.com
jpg改rar 
隐藏进程中的模块绕过IceSword的检测的更多相关文章
- VC中遍历目标进程中的模块
VC中遍历目标进程中的模块 MFC代码win32 也可以用 在下面代码进行修改转换就可以了CString strModule; 可以换成 char* 但是MODULEENTRY32结构中的szModu ...
- 【旧文章搬运】再谈隐藏进程中的DLL模块
原文发表于百度空间,2009-09-17========================================================================== 相当老的话 ...
- 使用ptrace向已运行进程中注入.so并执行相关函数
这个总结的很好,从前一个项目也用到这中技术 转自:http://blog.csdn.net/myarrow/article/details/9630377 1. 简介 使用ptrace向已运行进程中注 ...
- 使用ptrace向已运行进程中注入.so并执行相关函数(转)
1. 简介 使用ptrace向已运行进程中注入.so并执行相关函数,其中的“注入”二字的真正含义为:此.so被link到已运行进程(以下简称为:目标进程)空间中,从而.so中的函数在目标进程空间中有对 ...
- Electron结合React,在渲染进程中使用 node 模块
Electron结合React,在渲染进程中使用 node 模块 问题 将create-react-app与electron集成在了一个项目中.但是在React中无法使用electron.当在Reac ...
- 遍历进程活动链表(ActiveProcessLinks)、DKOM隐藏进程
1.EPROCESS结构体 EPROCESS块来表示.EPROCESS块中不仅包含了进程相关了很多信息,还有很多指向其他相关结构数据结构的指针.例如每一个进程里面都至少有一个ETHREAD块表示的线程 ...
- 在iOS应用程序中使用Frida绕过越狱检测
阿里聚安全在之前的三篇博客中介绍了利用Frida攻击Android应用程序,整个过程仿佛让开发者开启上帝视角,在本篇博客中,我们将会介绍在iOS应用程序中使用Frida绕过越狱检测.即使 ...
- Python之进程 2 - multiprocessing模块
我们已经了解了,运行中的程序就是一个进程.所有的进程都是通过它的父进程来创建的.因此,运行起来的python程序也是一个进程,那么我们也可以在程序中再创建进程.多个进程可以实现并发效果,也就是说, ...
- 网络基础之 并发编程之进程,多路复用,multiprocess模块
并发 1. 背景知识 2. 什么是进程 3. 进程调度 4. 并发与并行 5 同步\异步\阻塞\非阻塞(重点) 6.multiprocess模块 7.僵尸进程与孤儿进程 1.背景知识 一操作系统的作用 ...
随机推荐
- [原创] Delphi小工具(Windows资源管理器右键菜单扩展)
两个小工具 1. 项目临时文件清理 2. Android Ndk 编译 c/c++ jni 源码工具. 下载后,点击Reg.bat就可以完成注册安装.不需要时点击 UnReg.Bat 就可以删除菜单. ...
- 解决Myeclipse PermGen space问题
myeclipse配置web服务器配置 Window—Preferences—Myeclipse—Servers—tomcat JDK的Optional Java VM arguments配置为:-X ...
- Oracle TO_DATE 日期格式
Oracle trunc()函数的用法 --Oracle trunc()函数的用法/**************日期********************/1.select trunc(sysdat ...
- gulp 实现 js、css,img 合并和压缩
前提条件,知道如何安装nodejs.gulp,这里不做介绍,可以自行google 实现此功能需要安装的gulp工具有如下 npm install gulp-htmlmin gulp-imagemin ...
- java基础 绘图技术.坦克大战 之java绘图坐标体系(二)
功能:在坐标系上绘制坦克 /* * 功能:坦克游戏的1.0 * 1. 画出坦克 * */ package com.tank; import javax.swing.*; import java.awt ...
- Json.net日期格式化
1. 全局设置,可以在App_Global中配置 JsonSerializerSettings setting = new JsonSerializerSettings(); JsonConvert. ...
- CSS3学习基本记录
CSS3 边框 border-radius: 圆角 border-radius: 15px 50px 70px 100px; 左上 右上 右下 左下 box-shadow:阴影 box-shadow: ...
- BZOJ 2160: 拉拉队排练
Description 问长度前 \(k\) 大的奇长度回文子串的乘积. Sol Manacher. 直接马拉车跑一边,统计一下答案,每次将长度-2就可以了. Code /************** ...
- Android实现双击事件的两种方式
Work around的方法是先监听onTouch事件来监听连续点击次数,每次点击都布置一个间隔时间的延时任务,延时任务执行时判断间隔内是否还有点击,如果没有则发布点击次数,重置计数. 实现代码如下: ...
- 使用ngrok将内网映射为外网
如何将自己的本地服务器映射到外网上去?我们可以使用ngrok这个工具,下载地址:http://pan.baidu.com/s/1slnMwPn 具体的操作步骤如下: 第一步.下载客户端我们建议下载的时 ...