[原创]对模拟int3的探索-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]对模拟int3的探索

发表于: 2014-1-11 18:14 12341

[原创]对模拟int3的探索

farmtest

2014-1-11 18:14

12341

//得到内核中的KiTrap03函数地址
gNewKiTrap03Addr=GetOriginalProcAddr(L"KiTrap03");
    
//定位内核中DbgBreakPointWithStatus函数地址
ulNewFunAddr=GetOriginalProcAddr(L"DbgBreakPointWithStatus");

//让DbgBreakPointWithStatus函数转向到MY函数中
ReplaceProcAddr((ULONG)MyDbgBreakPointWithStatus, ulNewFunAddr);

//MY DbgBreakPointWithStatus函数
void __declspec(naked) MyDbgBreakPointWithStatus()
  /*++
  
  Routine Description:
  此函数用于替换函数DbgBreakPointWithStatus, 模拟其中的int3指令,让其不经过中断表

  --*/
{  
  //反汇编DbgBreakPointWithStatus如下:
  //83ecf0cc 8b442404        mov     eax,dword ptr [esp+4]
  //83ecf0d0 cc              int     3
  //83ecf0d1 c20400          ret     4
  //把int3 直接替换为跳转到 jmp KiTrap03
  __asm
  {
    mov     eax,dword ptr [esp+4]
    
    //跳向KiTrap03函数
    jmp gNewKiTrap03Addr

    ret 4
  }
}

//MY DbgBreakPointWithStatus函数
void __declspec(naked) MyDbgBreakPointWithStatus()
{  
  __asm
  {
    mov     eax,dword ptr [esp+4]

    //志寄存器入栈
    pushf

    //CS入栈
    push cs

//EIP入栈
    push offset _ret1
  
    //跳向KiTrap03函数
    jmp gNewKiTrap03Addr

_ret1:
    ret 4  
}
}

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

1.png （6.69kb，7次下载）
2.png （14.71kb，24次下载）
3.png （4.00kb，3次下载）
4.png （20.31kb，13次下载）
5.png （5.55kb，6次下载）
6.png （82.16kb，3次下载）
7.png （17.37kb，8次下载）
8.png （27.72kb，2次下载）
9.png （36.26kb，2次下载）
10.png （21.92kb，4次下载）
11.png （30.02kb，7次下载）
12.png （24.50kb，3次下载）

收藏・44

免费・5

支持

最新回复 (19)
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 2 楼不错可以绕过IDT了 2014-1-11 18:35 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 3 楼 LZ不要异想天开了不过VT虚拟化指令监控可以拦截任何指令，包括int 3 2014-1-11 18:41 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 4 楼另外，LZ的代码纯粹是Ring0层的int 3而不是Ring3层的所以ss和cs不需要push 2014-1-11 19:16 0
totest 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 50 粉丝 0 关注私信	totest 5 楼不错,算是绕过了int3 2014-1-11 21:15 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 6 楼 LZ的思路不错。。。。。赞一个 2014-1-11 23:07 0
JingSao 雪币： 95 活跃值： (119) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 91 粉丝 0 关注私信	JingSao 7 楼楼主写得很详细，非常不错的思路 2014-1-11 23:17 0
hrpirip 雪币： 55 活跃值： (519) 能力值： ( LV6，RANK：80 ) 在线值：发帖 48 回帖 407 粉丝 2 关注私信	hrpirip 1 8 楼吓死我了，我还以为是ring3的int3 2014-1-12 15:45 0
hrpirip 雪币： 55 活跃值： (519) 能力值： ( LV6，RANK：80 ) 在线值：发帖 48 回帖 407 粉丝 2 关注私信	hrpirip 1 9 楼 iret指令本身就有恢复堆栈的功能吧。不知道Add Esp在这里起到什么作用。 2014-1-12 16:05 0
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 10 楼是不是因为声明的函数是纯汇编的？编译器没有生成那些调整堆栈的代码要自己来调整吧 2014-1-12 16:13 0
farmtest 雪币： 92 活跃值： (70) 能力值： ( LV7，RANK：100 ) 在线值：发帖 4 回帖 10 粉丝 2 关注私信	farmtest 2 11 楼这个问题我也很纳闷,但是如果不加这句指令,栈有错乱,所以加上只是为了让程序正确,至于在KiTrap03例程中,是什么地方把这个几个字节拿去了就不知道了, 2014-1-12 16:33 0
farmtest 雪币： 92 活跃值： (70) 能力值： ( LV7，RANK：100 ) 在线值：发帖 4 回帖 10 粉丝 2 关注私信	farmtest 2 12 楼 SS可以忽略,但是去掉 push CS 程序段下来后会出错,环境有问题, 2014-1-12 16:35 0
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 13 楼 _declspec( naked ) void interrupt3( void ) { __asm{ //iretd //return cmp [DebuggedProcessID],0 //there's currently no debugging gong on so quit je Original PUSHAD //32 push ds //4 push es //4 push gs //4 push fs //4 mov ax,0x23 mov ds,ax mov es,ax mov gs,ax mov ax,0x30 mov fs,ax mov eax,esp add eax,48 push eax //the location of the original stack PUSH 3 //int 3 identifier CALL GeneralHandler //call my regular int handler cmp eax,1 //if 1 then do no handle the original handler je Exit pop fs pop gs pop es pop ds POPAD Original: JMP [Int3Address] Exit: pop fs pop gs pop es pop ds POPAD IRETD }; } 2014-1-12 16:46 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 14 楼那要改CPU的MicroCode，即微码据说指令译码器这东西，不过太底层了，几乎没有这方面的资料 2014-1-13 00:07 0
ling林雪币： 110 活跃值： (308) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 105 粉丝 0 关注私信	ling林 15 楼 mark. 2014-1-13 00:57 0
hrpirip 雪币： 55 活跃值： (519) 能力值： ( LV6，RANK：80 ) 在线值：发帖 48 回帖 407 粉丝 2 关注私信	hrpirip 1 16 楼以前就看到某人说自己能hook MicroCode，当时吓尿了 2014-1-13 09:17 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 17 楼 MicroCode从BIOS加载到CPU，要hook也得从BIOS下手系统引导阶段不是那么容易控制的，看看国外论坛应该有，再对照CPU手册 2014-1-13 14:07 0
xiaoyang 雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 0 关注私信	xiaoyang 18 楼 mark. 2014-1-16 08:35 0
vector 雪币： 549 活跃值： (531) 能力值： ( LV7，RANK：110 ) 在线值：发帖 13 回帖 40 粉丝 4 关注私信	vector 2 19 楼楼主把pushf换成pushfd,就不用push esp 也不用add esp,2了。 2014-2-24 17:52 0
无限游侠雪币： 249 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 33 粉丝 0 关注私信	无限游侠 20 楼只能膜拜。。。 2014-3-4 10:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

farmtest

发帖

回帖

100

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 2 楼不错可以绕过IDT了 2014-1-11 18:35 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 3 楼 LZ不要异想天开了不过VT虚拟化指令监控可以拦截任何指令，包括int 3 2014-1-11 18:41 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 4 楼另外，LZ的代码纯粹是Ring0层的int 3而不是Ring3层的所以ss和cs不需要push 2014-1-11 19:16 0
totest 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 50 粉丝 0 关注私信	totest 5 楼不错,算是绕过了int3 2014-1-11 21:15 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 6 楼 LZ的思路不错。。。。。赞一个 2014-1-11 23:07 0
JingSao 雪币： 95 活跃值： (119) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 91 粉丝 0 关注私信	JingSao 7 楼楼主写得很详细，非常不错的思路 2014-1-11 23:17 0
hrpirip 雪币： 55 活跃值： (519) 能力值： ( LV6，RANK：80 ) 在线值：发帖 48 回帖 407 粉丝 2 关注私信	hrpirip 1 8 楼吓死我了，我还以为是ring3的int3 2014-1-12 15:45 0
hrpirip 雪币： 55 活跃值： (519) 能力值： ( LV6，RANK：80 ) 在线值：发帖 48 回帖 407 粉丝 2 关注私信	hrpirip 1 9 楼 iret指令本身就有恢复堆栈的功能吧。不知道Add Esp在这里起到什么作用。 2014-1-12 16:05 0
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 10 楼是不是因为声明的函数是纯汇编的？编译器没有生成那些调整堆栈的代码要自己来调整吧 2014-1-12 16:13 0
farmtest 雪币： 92 活跃值： (70) 能力值： ( LV7，RANK：100 ) 在线值：发帖 4 回帖 10 粉丝 2 关注私信	farmtest 2 11 楼这个问题我也很纳闷,但是如果不加这句指令,栈有错乱,所以加上只是为了让程序正确,至于在KiTrap03例程中,是什么地方把这个几个字节拿去了就不知道了, 2014-1-12 16:33 0
farmtest 雪币： 92 活跃值： (70) 能力值： ( LV7，RANK：100 ) 在线值：发帖 4 回帖 10 粉丝 2 关注私信	farmtest 2 12 楼 SS可以忽略,但是去掉 push CS 程序段下来后会出错,环境有问题, 2014-1-12 16:35 0
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 13 楼 _declspec( naked ) void interrupt3( void ) { __asm{ //iretd //return cmp [DebuggedProcessID],0 //there's currently no debugging gong on so quit je Original PUSHAD //32 push ds //4 push es //4 push gs //4 push fs //4 mov ax,0x23 mov ds,ax mov es,ax mov gs,ax mov ax,0x30 mov fs,ax mov eax,esp add eax,48 push eax //the location of the original stack PUSH 3 //int 3 identifier CALL GeneralHandler //call my regular int handler cmp eax,1 //if 1 then do no handle the original handler je Exit pop fs pop gs pop es pop ds POPAD Original: JMP [Int3Address] Exit: pop fs pop gs pop es pop ds POPAD IRETD }; } 2014-1-12 16:46 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 14 楼那要改CPU的MicroCode，即微码据说指令译码器这东西，不过太底层了，几乎没有这方面的资料 2014-1-13 00:07 0
ling林雪币： 110 活跃值： (308) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 105 粉丝 0 关注私信	ling林 15 楼 mark. 2014-1-13 00:57 0
hrpirip 雪币： 55 活跃值： (519) 能力值： ( LV6，RANK：80 ) 在线值：发帖 48 回帖 407 粉丝 2 关注私信	hrpirip 1 16 楼以前就看到某人说自己能hook MicroCode，当时吓尿了 2014-1-13 09:17 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 17 楼 MicroCode从BIOS加载到CPU，要hook也得从BIOS下手系统引导阶段不是那么容易控制的，看看国外论坛应该有，再对照CPU手册 2014-1-13 14:07 0
xiaoyang 雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 0 关注私信	xiaoyang 18 楼 mark. 2014-1-16 08:35 0
vector 雪币： 549 活跃值： (531) 能力值： ( LV7，RANK：110 ) 在线值：发帖 13 回帖 40 粉丝 4 关注私信	vector 2 19 楼楼主把pushf换成pushfd,就不用push esp 也不用add esp,2了。 2014-2-24 17:52 0
无限游侠雪币： 249 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 33 粉丝 0 关注私信	无限游侠 20 楼只能膜拜。。。 2014-3-4 10:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复