作者: churui 2005-11-05 12:22

某日，遇到一個(gè)奇怪的程序（你也許并不關(guān)心它的名字，我們就姑且稱它為程序A）。這個(gè)程序是十分霸道的，在與我的程序（你也肯定不會(huì)關(guān)心它的名字，所以我們稱為程序B）同時(shí)執(zhí)行的時(shí)候，總能從程序B（這里也就是進(jìn)程B了）的數(shù)據(jù)段中讀取到一些內(nèi)容。這一點(diǎn)讓我非常不爽，于是我決定給B加入自我保護(hù)的功能，讓A不能輕易的讀取。聽起來有點(diǎn)象“磁心大戰(zhàn)”？呵呵，總之交鋒就是這樣開始的，初衷也非常簡單，而爭奪的過程倒是幾經(jīng)波折。

       在戰(zhàn)斗開始之前，還需要說明的是，這里的A和B都是GUI程序，而且B總是先于A執(zhí)行。

       考慮一下A讀取B的數(shù)據(jù)段，我能想到的也就是三種方法：
1.讀取映象文件  
2.使用ReadProcessMemory   
3.注入進(jìn)程B，然后直接讀取。

對于第一種方法，只要B加一個(gè)簡單的殼，A就無計(jì)可施。所以比較實(shí)用的還是后兩種方法。經(jīng)過觀察，發(fā)現(xiàn)A在執(zhí)行過程中給進(jìn)程B注入了一個(gè)DLL，所以我判斷A可能使用的是第三種方法。

       A給B注入DLL，一般來說也就是三種方法。但是不管哪種方法，我認(rèn)為最終總要調(diào)用ntdll!LdrLoadDll。于是，最原始的辦法就是在進(jìn)程B中hook LdrLoadDll這個(gè)API，攔截可疑的DLL。實(shí)現(xiàn)的過程并不復(fù)雜，可惜沒有效果。也就是說，A在注入DLL的過程中，根本沒有被B攔截到。

       我使用IceSword，監(jiān)視A的啟動(dòng)過程。發(fā)現(xiàn)A在啟動(dòng)時(shí)會(huì)在每個(gè)進(jìn)程（當(dāng)然，除了一些特殊的系統(tǒng)進(jìn)程如Idle，csrss等等）中創(chuàng)建一個(gè)遠(yuǎn)線程。因此，我希望能把創(chuàng)建遠(yuǎn)線程攔截下來。考慮到一般創(chuàng)建遠(yuǎn)線程之前總要先用kernel32!OpenProcess得到進(jìn)程句柄，我就試圖在ring3使用hook api攔截所有的OpenProcess。可惜我的努力又失敗了。本來hook OpenProcess工作的挺好，但是只要A一啟動(dòng)，對OpenProcess的hook馬上失效。考慮到前面hook ntdll!LdrLoadDll也沒有奏效，我認(rèn)為A一定采取了某些防止hook api的手段。

       在這種情況下，我打算到ring0去解決問題。由于之前我只有win32的開發(fā)經(jīng)驗(yàn)，而driver幾乎沒有做過，拿著羅云彬老大翻譯的Kmd教程中文版惡補(bǔ)兩天，又在driverdevelop找了一些源碼和資料，終于拼湊出了一個(gè)勉強(qiáng)能運(yùn)行的driver。功能倒也簡單，就是通過修改SSDT（System Service Dispatch Table）。使得ntdll!NtOpenProcess執(zhí)行到核心態(tài)的時(shí)候，能夠被我攔截下來。

       這次還是失敗了，而且失敗的情況也和ring3如出一轍：本來ntdll!NtOpenProcess能夠被攔截下來的，一旦A啟動(dòng)后，所有的攔截立刻失效。讓我啼笑皆非的是，我做了另外一個(gè)簡單的程序C，唯一的作用就是使用kernel32!OpenProcess去打開B，結(jié)果當(dāng)A啟動(dòng)后，連這個(gè)C也能成功的打開B了。使用IceSword一看，原來A啟動(dòng)后，SSDT會(huì)被自動(dòng)改回最初的內(nèi)容，真讓我無語。

       在driverdevelop上向等bmyyyud，zhaock等幾位大蝦請教了好幾次，得出了以下的結(jié)論：ntdll中導(dǎo)出了NtOpenProcess和ZwOpenProcess，而兩者實(shí)際上是一回事。ntosknrl中也導(dǎo)出了NtOpenProcess和ZwOpenProces，而兩者完全不同：ntosknrl!NtOpenProcess實(shí)際上就是“正常的”SSDT入口，而ntosknrl!ZwOpenProcess，不知道它是干什么的。如果修改SSDT，其實(shí)很容易被別人發(fā)現(xiàn)并且破掉（把入口換回NtOpenProcess就可以了）。那么有沒有其他方法？看有的資料上說可以換int 2　e的中斷處理函數(shù)，而xp中既然用sysenter/syscall了，看來這一招也不靈。最終，bmyyyud大蝦提示我，可以改正常ntosknrl!NtOpenProcess的入口代碼。（非入口～～～～）

       修改ntosknrl!NtOpenProcess的入口代碼比修改SSDT難度要大一些。首先ntosknrl!NtOpenProcess的代碼所在頁面具有只讀屬性，在修改頁面前需要先修改CR0寄存器的第16個(gè)bit，否則一定是藍(lán)屏沒商量，對于我這樣的新手來說，這還真有點(diǎn)讓人無所適從。其次，為了修改入口代碼，最方便的方法是使用微軟的detours，可惜detours中引用了很多ring3的API，無法直接使用。只好拿來detours的源碼，把不必要的細(xì)枝末節(jié)都剪裁掉，把所有使用到ring3 API的部分都盡量去掉或者用ring0的API代替。只留下最關(guān)鍵的部分，試著run了一把，沒想到居然能運(yùn)行。