HOHO
發現res區現在編程風行哈~? 眼看就要開學,偶再不鮮點血就說不過去了? :P
其實是比較老的東西了 不過個人感覺似乎還是有點意義的 :)?
應該能過taskmgr,IceSword(IceSword的線程信息中一個一個線程的殺還是可以干掉這種的,之于如何防IceSword按線程殺以后再講:)),DarkSpy 1.0.5.0(我沒有辦法拿到內部版 所以不知道內部版是什么樣的情況:P),SnipeSword (截至偶發貼之前的所有版本),GMER 1.0.13.12551(我所能拿到的最新版本)
過不了Rootkit Unhooker的虛擬內存清零(RkU的以后再講:P),也過不了Simple Taskmgr 1.0.303
事實上,在simple taskmgr 1.0.303(st)中,所有被提及的全能bypass掉(DarkSpy殺st的時候會藍屏T_T),不過st用的是ring0 inline hook API,暫時不說。
IceSword殺進程是使用NtTerminateProcess(當然是先恢復掉hook咯 :P),DarkSpy似乎是自己實現了一個PspTerminateProcess(但是并沒有實現PspTerminateThreadByPointer),SnipeSword也是使用NtTerminateProcess(調用前恢復hook)。
無論是NtTerminateProcess還是PspTerminateProcess,最終都是調用了PspTerminateThreadByPointer(可以通過windows 2k的源代碼或者wrk來看到)
以下以wrk中的代碼為例,windows 2k中PspTerminateThreadByPointer的參數是兩個,wrk中為三個。不過這些我們不需要關心:P
NtTerminateProcess節選如下:
NTSTATUS
NtTerminateProcess(
? ? __in_opt HANDLE ProcessHandle,
? ? __in NTSTATUS ExitStatus
? ? )
{
? ? //省略...
? ?
? ? st = STATUS_NOTHING_TO_TERMINATE;
? ? for (Thread = PsGetNextProcessThread (Process, NULL);
? ? ? ?? Thread != NULL;
? ? ? ?? Thread = PsGetNextProcessThread (Process, Thread)) {
? ? ? ? st = STATUS_SUCCESS;
? ? ? ? if (Thread != Self) {
? ? ? ? ? ? PspTerminateThreadByPointer (Thread, ExitStatus, FALSE);
? ? ? ? }
? ? }
? ?
? ? //省略...
? ? return st;
}
|
PspTerminateProcess(因為PspTerminateProcess相對比較簡單,就全復制過來了):
NTSTATUS
PspTerminateProcess(
? ? PEPROCESS Process,
? ? NTSTATUS ExitStatus
? ? )
{
? ? PETHREAD Thread;
? ? NTSTATUS st;
? ? PAGED_CODE();
? ? if (Process->Flags
? ? & PS_PROCESS_FLAGS_BREAK_ON_TERMINATION) {
? ? ? PspCatchCriticalBreak("Terminating critical process 0x%p (%s)\n",
? ? ? ? ? ? ? ? Process,
? ? ? ? ? ? ? ? Process->ImageFileName);
? ? }
? ? PS_SET_BITS (&Process->Flags, PS_PROCESS_FLAGS_PROCESS_DELETE);
? ? st = STATUS_NOTHING_TO_TERMINATE;
? ? for (Thread = PsGetNextProcessThread (Process, NULL);
? ? ? ?? Thread != NULL;
? ? ? ?? Thread = PsGetNextProcessThread (Process, Thread)) {
? ? ? ? st = STATUS_SUCCESS;
? ? ? ? PspTerminateThreadByPointer (Thread, ExitStatus, FALSE);
? ? }
? ? if (st == STATUS_NOTHING_TO_TERMINATE || Process->DebugPort != NULL) {
? ? ? ? ObClearProcessHandleTable (Process);
? ? ? ? st = STATUS_SUCCESS;
? ? }
? ? return st;
}
|
可以看到這兩個最后都是使用PspTerminateThreadByPointer來按照線程來終止的。
再看看PspTerminateThreadByPointer的代碼(節選):
NTSTATUS
PspTerminateThreadByPointer(
? ? IN PETHREAD Thread,
? ? IN NTSTATUS ExitStatus,
? ? IN BOOLEAN DirectTerminate
? ? )
{
? ? //省略...
? ? if (DirectTerminate && Thread == PsGetCurrentThread()) {
? ? ? ? ASSERT (KeGetCurrentIrql() < APC_LEVEL);
? ? ? ? PS_SET_BITS (&Thread->CrossThreadFlags, PS_CROSS_THREAD_FLAGS_TERMINATED);
? ? ? ? PspExitThread (ExitStatus);
? ? } else {
? ? ? ? if (IS_SYSTEM_THREAD (Thread)) {
? ? ? ? ? ? return STATUS_ACCESS_DENIED;
? ? ? ? }
? ? ? ? //省略...
? ? }
? ? return Status;
}
|
也就是說,只要是“他殺”(當前進程(PsGetCurrentThread())不等于參數Thread),那么就會判斷IS_SYSTEM_THREAD這個宏 如果為true,就直接返回STATUS_ACCESS_DENIED(拒絕訪問)
#define IS_SYSTEM_THREAD(Thread)? (((Thread)->CrossThreadFlags&PS_CROSS_THREAD_FLAGS_SYSTEM) != 0)
|
從PspTerminateThreadByPointer的參數表上我們可以知道,Thread是一個PETHREAD類型的數據。
而PETHREAD被定義為*ETHREAD,也就是ETHREAD結構的指針。
ETHREAD結構(來自windbg,結構為xp sp2下的——這個結構在不同系統下不一定相同,CrossThreadFlags在ETHREAD結構中的偏移需要根據系統來判斷):
lkd> dt _ETHREAD
nt!_ETHREAD
?? +0x000 Tcb? ? ? ? ? ? ? : _KTHREAD
?? +0x1c0 CreateTime? ? ?? : _LARGE_INTEGER
?? +0x1c0 NestedFaultCount : Pos 0, 2 Bits
?? +0x1c0 ApcNeeded? ? ? ? : Pos 2, 1 Bit
?? +0x1c8 ExitTime? ? ? ?? : _LARGE_INTEGER
?? +0x1c8 LpcReplyChain? ? : _LIST_ENTRY
?? +0x1c8 KeyedWaitChain?? : _LIST_ENTRY
?? +0x1d0 ExitStatus? ? ?? : Int4B
?? +0x1d0 OfsChain? ? ? ?? : Ptr32 Void
?? +0x1d4 PostBlockList? ? : _LIST_ENTRY
?? +0x1dc TerminationPort? : Ptr32 _TERMINATION_PORT
?? +0x1dc ReaperLink? ? ?? : Ptr32 _ETHREAD
?? +0x1dc KeyedWaitValue?? : Ptr32 Void
?? +0x1e0 ActiveTimerListLock : Uint4B
?? +0x1e4 ActiveTimerListHead : _LIST_ENTRY
?? +0x1ec Cid? ? ? ? ? ? ? : _CLIENT_ID
?? +0x1f4 LpcReplySemaphore : _KSEMAPHORE
?? +0x1f4 KeyedWaitSemaphore : _KSEMAPHORE
?? +0x208 LpcReplyMessage? : Ptr32 Void
?? +0x208 LpcWaitingOnPort : Ptr32 Void
?? +0x20c ImpersonationInfo : Ptr32 _PS_IMPERSONATION_INFORMATION
?? +0x210 IrpList? ? ? ? ? : _LIST_ENTRY
?? +0x218 TopLevelIrp? ? ? : Uint4B
?? +0x21c DeviceToVerify?? : Ptr32 _DEVICE_OBJECT
?? +0x220 ThreadsProcess?? : Ptr32 _EPROCESS
?? +0x224 StartAddress? ?? : Ptr32 Void
?? +0x228 Win32StartAddress : Ptr32 Void
?? +0x228 LpcReceivedMessageId : Uint4B
?? +0x22c ThreadListEntry? : _LIST_ENTRY
?? +0x234 RundownProtect?? : _EX_RUNDOWN_REF
?? +0x238 ThreadLock? ? ?? : _EX_PUSH_LOCK
?? +0x23c LpcReplyMessageId : Uint4B
?? +0x240 ReadClusterSize? : Uint4B
?? +0x244 GrantedAccess? ? : Uint4B
?? +0x248 CrossThreadFlags : Uint4B
?? +0x248 Terminated? ? ?? : Pos 0, 1 Bit
?? +0x248 DeadThread? ? ?? : Pos 1, 1 Bit
?? +0x248 HideFromDebugger : Pos 2, 1 Bit
?? +0x248 ActiveImpersonationInfo : Pos 3, 1 Bit
?? +0x248 SystemThread? ?? : Pos 4, 1 Bit
?? +0x248 HardErrorsAreDisabled : Pos 5, 1 Bit
?? +0x248 BreakOnTermination : Pos 6, 1 Bit
?? +0x248 SkipCreationMsg? : Pos 7, 1 Bit
?? +0x248 SkipTerminationMsg : Pos 8, 1 Bit
?? +0x24c SameThreadPassiveFlags : Uint4B
?? +0x24c ActiveExWorker?? : Pos 0, 1 Bit
?? +0x24c ExWorkerCanWaitUser : Pos 1, 1 Bit
?? +0x24c MemoryMaker? ? ? : Pos 2, 1 Bit
?? +0x250 SameThreadApcFlags : Uint4B
?? +0x250 LpcReceivedMsgIdValid : Pos 0, 1 Bit
?? +0x250 LpcExitThreadCalled : Pos 1, 1 Bit
?? +0x250 AddressSpaceOwner : Pos 2, 1 Bit
?? +0x254 ForwardClusterOnly : UChar
?? +0x255 DisablePageFaultClustering : UChar
|
理論上都都講完了,我們來回顧下:
1、不論SnipeSword,IceSword,DarkSpy,又或是GMER(如果我沒記錯,GMER應該是使用NtTerminateProcess的方法來結束進程的),最終殺進程都要過PspTerminateThreadByPointer
2、PspTerminateThreadByPointer會檢查線程的SystemThread標志(ETHREAD結構中CrossThreadFlags的第四位),如果被置為1,就返回拒絕訪問(STATUS_ACCESS_DENIED)
3、ETHREAD結構在不同系統中不同,所以我們需要判斷操作系統版本(這個我不會在演示代碼中出現,交給大家了:P)。
但是我們仍然有一些問題沒有解決:
1、進程的ETHREAD結構在內存中的地址是多少?
2、ETHREAD結構存在于系統高2G空間,如何修改?
至于判斷系統版本,相信大家都會 :)
1、ETHREAD結構的地址
ntdll.dll導出了一個未文檔化的函數——NtQuerySystemInformation,它可以用來查詢SystemHandleInformation,查詢SystemHandleInformation的返回的數據結構如下(懶得再弄vb的了,直接把C的弄過來,這個可能跟我的代碼中的定義有些不同,但是實際上被用到的數據在結構中的偏移是相同的:P):
typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO {
? ? USHORT UniqueProcessId;
? ? USHORT CreatorBackTraceIndex;
? ? UCHAR ObjectTypeIndex;
? ? UCHAR HandleAttributes;
? ? USHORT HandleValue;
? ? PVOID Object;
? ? ULONG GrantedAccess;
} SYSTEM_HANDLE_TABLE_ENTRY_INFO, *PSYSTEM_HANDLE_TABLE_ENTRY_INFO;
typedef struct _SYSTEM_HANDLE_INFORMATION {
? ? ULONG NumberOfHandles;
? ? SYSTEM_HANDLE_TABLE_ENTRY_INFO Handles[ 1 ];
} SYSTEM_HANDLE_INFORMATION, *PSYSTEM_HANDLE_INFORMATION;
|
NumberOfHandles表示返回的數組個數,SYSTEM_HANDLE_TABLE_ENTRY_INFO則是返回的數據。
SYSTEM_HANDLE_TABLE_ENTRY_INFO中的HandleValue是句柄的值,Object便是這個Handle對應的對象(Object,如果Handle類型為線程,那么這個對象就是ETHREAD結構)的地址。
嗯,我想我說的還是比較清楚的。
2、修改物理內存
ntdll.dll還導出了一個函數叫做NtSystemDebugControl,這個函數可以用來操作高2G的內存空間。
剩下的廢話不多說了~ 大家看附件把 :)
完整的代碼和程序:)