首页
社区
课程
招聘
[原创][硬件虚拟化第二弹]远离kernel的理想乡
发表于: 2011-5-30 14:23 57987

[原创][硬件虚拟化第二弹]远离kernel的理想乡

2011-5-30 14:23
57987

简介

这个故事描述了如何使用硬件虚拟化(HVM)使得自己的一些hook代码远离内核不容易被其他内核hook所影响并且较难被检测。本文的思路来源于某学校的动态linux内核更新的玩意,代码大量抄自bluepill。
 

第一章  (Avalon) 阿瓦隆的黎明 

由于驱动牛人越来越多系统控制权的争夺愈演愈烈,内核之中几乎无一块净土。inline hook、ssdt hook等等各种hook充斥着我们幼小的内核。他们有些结构复杂,有些相互关联,有些检测监视,想要重新获得那些控制点的控制权必须花些力气研究那些hook,使得原来很简单的hook变得牵一发而动全身。

现在有硬件虚拟化技术,我们可以换个思路来解决那些问题了…

 

一、(Avalon)阿瓦隆的构成 

(Avalon) 阿瓦隆的本体为以下几个部分:

1.    Avlboot.sys(用于保存刚初始化后还没被hook污染的系统内核方便之后使用)

2.       Avalon.sys(用于读取伪内核信息,开启硬件虚拟化加载伪内核)

3.    XXX.sys(用户利用Avlboot.sys中所提供的信息进行具体hook操作的程序)



二、(Avalon)阿瓦隆的真相 

本文所介绍的(Avalon) 阿瓦隆是一个基于虚拟化的内核加载框架。其利用硬件虚拟化(HVM)和一块没有被hook污染的内核内存,使得PC中同时运行着两个内核。并且Avalon通过控制sysenter_eip和idt中指向伪内核的相应地址来获得控制权。

 

简而言之,(Avalon)阿瓦隆就是利用硬件虚拟化(HVM)加载自己的内核架空原内核,使得自己能在不被检测的环境下获得内核的控制权。

 

实现原理如下图所示:


自己的hook程序在获得伪内核的基地址后,可以通过hookport来处理ssdt,shadow ssdt(strongod需要备份其所hook的ssdt稍微麻烦点,agp什么的只要把地址偏移一下就能用了)

  

三、(Avalon)阿瓦隆的应用 

其实我们可以把(Avalon)阿瓦隆看成是一种变相的sysenter hook+idt hook。

由于(Avalon)阿瓦隆基于硬件虚拟化(HVM)使得我们可以架空整个内核,使得内核可以在运行时可以实时的替换。

因为伪内核的所在内存范围不受内存监控,别的程序也无法直接访问,使得我们的伪内核就成了不用考虑其他干扰问题,可以随意hook的安全的理想乡。

这种方式的hook和传统的一些hook相比有着以下优点:

1.  不在传统的内存监控的范围,较难检测。

2.  不干扰系统中原有的hook代码,兼容性较高。 

但是同样有一些缺点:

1.  无法直接干涉object hook,irp hook等不依赖于内核内存的hook代码

2. 整个系统依赖于硬件虚拟化(HVM),对硬件设备有一定要求。 

第二章     空想具现化 

一、纯洁的初始化 

首先我们来实现(Avalon)阿瓦隆的初始化,初始化由4个部分组成:内核信息获取、伪内核构造、IDT信息保存、原始SYSENTER_EIP获取。

实现代码如下:

NTSTATUS DriverEntry (IN PDRIVER_OBJECT DriverObject,IN PUNICODE_STRING RegistryPath) 


...

 KrnlCopy();
 IDTCopy();
 ReadMsrSysenter();

...

}

/*

   内核拷贝

*/

VOID KrnlCopy()
{
 PVOID Buffer;
 ULONG Size;
 ULONG RetSize;
 PSYSTEM_MODULE_INFORMATION InfoBuffer;
 NTSTATUS Status;
 PVOID ModuleBase;
 ULONG ModuleSize;
 
 Size=0x1000;
 
 
 do {
  Buffer=ExAllocatePool(NonPagedPool,Size);
  Status=ZwQuerySystemInformation(SystemModuleInformation,Buffer,Size,&RetSize);
  if (Status == STATUS_INFO_LENGTH_MISMATCH)
        {
            ExFreePool(Buffer);
            Size = RetSize;
        }  
 }while(Status == STATUS_INFO_LENGTH_MISMATCH);
 
 InfoBuffer = (PSYSTEM_MODULE_INFORMATION)Buffer;
 

 ModuleBase=(PVOID)(InfoBuffer->ModuleInfo[0].Base);
 Orig_krnl=(ULONG)ModuleBase;
 
 DbgPrint("AvlBoot:Orig_krnl Base=%x\n",ModuleBase);
 ModuleSize=InfoBuffer->ModuleInfo[0].Size;
 makeKernelCopy((ULONG)ModuleBase,ModuleSize);
 DbgPrint("AvlBoot:Avl_krnl Base=%x\n",Avl_krnl);
 ExFreePool(Buffer);
}

等初始化之后,其他部件就可以通过访问Avlboot.sys来获得伪内核的信息和内核原始信息。

二、抄来的虚拟化 

这里先简单的向大家介绍下,Intel vt硬件虚拟化的步骤:

 

1.检查vt环境

2.开启vt功能

3.填充vt,存储虚拟机状态

4.设定需要拦截项目

5.设定从虚拟机中退出时返回的地址

6.启动虚拟机,等待拦截项目触发

7.拦截项目被触发,进入相关项目的处理例程

8.恢复虚拟机继续运行

 接下来是一些坑爹的代码:

/*
   Vmx初始化
*/
NTSTATUS NTAPI VmxInitialize (
    PCPU Cpu,
    PVOID GuestEip,
    PVOID GuestEsp
)
{
    PHYSICAL_ADDRESS AlignedVmcsPA;
    ULONG VaDelta;
    NTSTATUS Status;

 
    // 为 VMXON region 申请内存空间
    Cpu->Vmx.OriginaVmxonR = MmAllocateContiguousPages(
        VMX_VMXONR_SIZE_IN_PAGES, 
        &Cpu->Vmx.OriginalVmxonRPA);
    if (!Cpu->Vmx.OriginaVmxonR) 
    {
  DbgPrint("VmxInitialize(): Failed to allocate memory for original VMCS\n");
        return STATUS_INSUFFICIENT_RESOURCES;
    }

    DbgPrint("VmxInitialize(): OriginaVmxonR VA: 0x%x\n", Cpu->Vmx.OriginaVmxonR);
    DbgPrint("VmxInitialize(): OriginaVmxonR PA: 0x%llx\n", Cpu->Vmx.OriginalVmxonRPA.QuadPart);
 
    // 为 VMCS 申请内存空间 
    Cpu->Vmx.OriginalVmcs = MmAllocateContiguousPages(
        VMX_VMCS_SIZE_IN_PAGES, 
        &Cpu->Vmx.OriginalVmcsPA);
    if (!Cpu->Vmx.OriginalVmcs) 
    {
  DbgPrint("VmxInitialize(): Failed to allocate memory for original VMCS\n");
        return STATUS_INSUFFICIENT_RESOURCES;
    }

    DbgPrint("VmxInitialize(): Vmcs VA: 0x%x\n", Cpu->Vmx.OriginalVmcs);
    DbgPrint("VmxInitialize(): Vmcs PA: 0x%llx\n", Cpu->Vmx.OriginalVmcsPA.QuadPart);

    // 开启vmx
    if (!NT_SUCCESS (VmxEnable (Cpu->Vmx.OriginaVmxonR)))
    {
        DbgPrint("VmxInitialize(): Failed to enable Vmx\n");
        return STATUS_UNSUCCESSFUL;
    }

    *((ULONG64 *)(Cpu->Vmx.OriginalVmcs)) = 
        (MsrRead (MSR_IA32_VMX_BASIC) & 0xffffffff); //set up vmcs_revision_id      

    // 填充VMCS结构
 Status = VmxSetupVMCS (Cpu, GuestEip, GuestEsp);
    if (!NT_SUCCESS (Status)) 
    {
        DbgPrint("VmxSetupVMCS() failed with status 0x%08hX\n", Status);
        VmxDisable();
        return Status;
    }

    DbgPrint("VmxInitialize(): Vmx enabled\n");

   // 保存EFER
    Cpu->Vmx.GuestEFER = MsrRead (MSR_EFER);
    DbgPrint("Guest MSR_EFER Read 0x%llx \n", Cpu->Vmx.GuestEFER);

   // 保存控制寄存器
    Cpu->Vmx.GuestCR0 = RegGetCr0 ();
    Cpu->Vmx.GuestCR3 = RegGetCr3 ();
    Cpu->Vmx.GuestCR4 = RegGetCr4 ();

    CmCli ();
    return STATUS_SUCCESS;
}

 

/*
   开启vmx
*/
NTSTATUS NTAPI VmxEnable (
    PVOID VmxonVA
)
{
    ULONG cr4;
    ULONG64 vmxmsr;
    ULONG flags;
    PHYSICAL_ADDRESS VmxonPA;

 // 设置cr4位,为启用VM模式做准备
    set_in_cr4 (X86_CR4_VMXE);
    cr4 = get_cr4 ();
    DbgPrint("VmxEnable(): CR4 after VmxEnable: 0x%llx\n", cr4);
    if (!(cr4 & X86_CR4_VMXE))
        return STATUS_NOT_SUPPORTED;

 // 检测是否支持vmx
    vmxmsr = MsrRead (MSR_IA32_FEATURE_CONTROL);
    if (!(vmxmsr & 4)) 
    {
        DbgPrint("VmxEnable(): VMX is not supported: IA32_FEATURE_CONTROL is 0x%llx\n", vmxmsr);
        return STATUS_NOT_SUPPORTED;
    }
 
 //bochs的bug,要改IA32_FEATURE_CONTROL的Lock为1
 #if bochsdebug
 MsrWrite(MSR_IA32_FEATURE_CONTROL,5);
    #endif

    vmxmsr = MsrRead (MSR_IA32_VMX_BASIC);
    *((ULONG64 *) VmxonVA) = (vmxmsr & 0xffffffff);       //set up vmcs_revision_id
    VmxonPA = MmGetPhysicalAddress (VmxonVA);

    DbgPrint("VmxEnable(): VmxonPA:  0x%llx\n", VmxonPA.QuadPart);
 
 //开启VMX
 VmxTurnOn(VmxonPA);
    flags = RegGetEflags ();
    DbgPrint("VmxEnable(): vmcs_revision_id: 0x%x  Eflags: 0x%x \n", vmxmsr, flags);
 
    return STATUS_SUCCESS;
}

 

/*
   进入虚拟机
*/
NTSTATUS NTAPI VmxVirtualize (
  PCPU Cpu
)
{

    ULONG esp;
    if (!Cpu)
        return STATUS_INVALID_PARAMETER;

 *((PULONG) (g_HostStackBaseAddress + 0x0C00)) = (ULONG) Cpu;
           
    VmxLaunch ();

    // never returns

    return STATUS_UNSUCCESSFUL;
}

三、蛋疼的拦截处理

sysenter的处理方法:

由于硬件虚拟化(HVM)无法直接拦截sysenter指令,所以只能使用其他方法来获得控制权。

这里有两种方法:

1.       在kifastcallentery的头部写入cpuid,int3等利用中断或特权指令进入vm。

2.       使用调试寄存器在kifastcallentery下硬件执行中断,利用中断进入vm

3.       进入VMM后直接修改guest的sysenter_eip地址,通过控制msr的读写来欺骗其他访问msr的程序。

 

为了不被内存检测和充分利用调试寄存器,Avalon中我选用了方案3来控制进程执行sysenter后的运行流向。 

 

部分代码:
static BOOLEAN NTAPI VmxDispatchMsrRead (
  PCPU Cpu,
  PGUEST_REGS GuestRegs,
  PNBP_TRAP Trap,
  BOOLEAN WillBeAlsoHandledByGuestHv
)
{

...

switch (ecx) {
  case MSR_IA32_SYSENTER_CS:
    MsrValue.QuadPart = VmxRead (GUEST_SYSENTER_CS);
    break;

  case MSR_IA32_SYSENTER_ESP:
    MsrValue.QuadPart = VmxRead (GUEST_SYSENTER_ESP);
    break;
  case MSR_IA32_SYSENTER_EIP:
    MsrValue.QuadPart = Avlkrnlinfo->SysenterAddr;

...

}

 

idt重定向处理方法:

1.       idt地址欺骗

2.       idt模拟投递

 

第一种是指方案拦截sidt,lidt指令填充一份伪造的idt地址误导访问者(由系统投递相对稳定)。

第二种是指方案模拟idt的处理过程自己写程序投递idt。

因为方案一需要使用反汇编引擎分析具体的保存地址体积过大,所以本版的Avalon使用第二种方案即idt模拟投递。

 

部分代码:

static BOOLEAN NTAPI VmxDispatchException (
  PCPU Cpu,
  PGUEST_REGS GuestRegs,
  PNBP_TRAP Trap,
  BOOLEAN WillBeAlsoHandledByGuestHv
)

{

...

  //SETP 7. SET EIP

  if((uIntrInfo & 0xff) == 1){
   ComPrint("VmxDispatchException():#BD hit  /n");
   VmxWrite(GUEST_RIP,Avlkrnlinfo->Fake_IDTMap[0]);
  }
  else if ((uIntrInfo & 0xff) == 3){
   ComPrint("VmxDispatchException():#BP hit /n");
   VmxWrite(GUEST_RIP,Avlkrnlinfo->Fake_IDTMap[1]);}

...

}

第三章     理想乡的黄昏
一、(Avalon)阿瓦隆的检测 

对于基于硬件虚拟化(HVM)的程序,首先想到的方法必然就是直接检测和对抗硬件虚拟化。

对硬件虚拟化的检测主要有:efer的检测,vme的检测。

对于处理了中断的vmm还能通过计算中断前后的时间差来判断自身是否在虚拟机中。

 

当然针对Avalon还有其他的检测方法(此处省略xx字)

 

二、未来的更新 

Avalon才刚刚开始功能并不完善,还有好多功能想加进去:

1.       将内核移入EPT(NPT)让你完全看不到

2.       和ring3程序交互…

3.       其他隐藏功能 

 

 

总结

Avalon只是硬件虚拟化应用的冰山一角,还有更多的应用等待着我们去探索,小弟的水平有限以后还要向各位高手多多请教继续努力学习。

断章(坑爹的饼)

该bin测试环境如下:
bochs2.4.5
windows xp sp3
(注意:这个bin只是个简单的样品,真机上运行必蓝,且只针对ring0的中断,ring3有3处bug未修复)

附件的内容(bin+source+bin=饼+豆沙+饼):
avlboot.sys
avalonreader(读取avlboot信息的源码)
avalon_vt.sys

坑爹的饼.rar

调试环境建设方法请看下一篇文章
用虚拟机调试vt程式


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 7
支持
分享
最新回复 (60)
雪    币: 207
活跃值: (26)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
2
好像很强大,~先占沙发在看
2011-5-30 16:18
0
雪    币: 208
活跃值: (40)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
3
期待楼主的下一篇
2011-5-30 16:40
0
雪    币: 76
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
占座 。。。
2011-5-30 17:30
0
雪    币: 4560
活跃值: (1012)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
5
无比强大,膜拜之
2011-5-30 17:59
0
雪    币: 154
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
妈的,实在太强大了,膜拜
2011-5-30 18:29
0
雪    币: 561
活跃值: (124)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
mark!!
2011-5-30 19:00
0
雪    币: 142
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
虽然看不懂楼主在说什么,但感觉很牛B的样子
2011-5-30 19:08
0
雪    币: 601
活跃值: (256)
能力值: ( LV11,RANK:190 )
在线值:
发帖
回帖
粉丝
9
同楼上
2011-5-30 19:22
0
雪    币: 232
活跃值: (25)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
10
又是篇精华阿。。。
2011-5-30 20:05
0
雪    币: 120
活跃值: (160)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
看前面一部分很强大。。继续看。
2011-5-30 20:19
0
雪    币: 51
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
得有开发BIOS的功底才行,俺水平不够,只能掠过一下
2011-5-30 21:35
0
雪    币: 729
活跃值: (1195)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
13
先下载再来膜拜,有了这个之后,什么GP,NP都见鬼去吧
2011-5-30 21:37
0
雪    币: 1530
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
又是篇精华!!
2011-5-31 09:35
0
雪    币: 1644
活跃值: (53)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
虽然看不懂,但是支持新思路新想法。
2011-5-31 10:55
0
雪    币: 123
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
强大,占位观看
2011-5-31 11:28
0
雪    币: 63
活跃值: (17)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
17
强大 学习
2011-5-31 11:40
0
雪    币: 158
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
技术宅啊,不错
2011-5-31 11:52
0
雪    币: 6051
活跃值: (1441)
能力值: ( LV15,RANK:1473 )
在线值:
发帖
回帖
粉丝
19
太强大了,膜拜!
2011-5-31 13:49
0
雪    币: 1115
活跃值: (122)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
20
膜拜楼主的文学修养
2011-5-31 15:04
0
雪    币: 485
活跃值: (78)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
21
下载了再膜拜LZ强银
2011-5-31 16:35
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
22
我是来烧香 纪念骑士王的~~~
深度怀念胎死腹中的ARK Saber1.0~
2011-5-31 17:22
0
雪    币: 222
活跃值: (488)
能力值: ( LV11,RANK:188 )
在线值:
发帖
回帖
粉丝
23
oh no...... 我还在想有谁会喝酒了爆一个未公开出来...
2011-5-31 17:31
0
雪    币: 267
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
无比强大,期待楼主继续````
2011-5-31 18:23
0
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
top
25
看不太懂啊。。。。。。。。。。。
2011-6-1 14:20
0
游客
登录 | 注册 方可回帖
返回
//