[原创]ShadowWalker内存伪装详细过程，附完整测试源码-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]ShadowWalker内存伪装详细过程，附完整测试源码

发表于: 2014-3-1 11:28 27485

[原创]ShadowWalker内存伪装详细过程，附完整测试源码

ztj

2014-3-1 11:28

27485

#pragma code_seg(".target") 
#pragma optimize( "", off )
VOID target()
{
	int sum=0x77;
	if(sum==0)
	{
		_asm _emit(0xc3)//返回指令Retn
	}
	_asm
	{
		mov eax,0x88
			mov sum,eax

	}
	DbgPrint("sum=%x g_iTimes=%d g_iTimes1=%d g_iTimes2=%d g_iTimes3=%d\n",sum,g_iTimes,g_iTimes1,g_iTimes2,g_iTimes3);
}
#pragma optimize( "", on ) 
#pragma code_seg()

//每十秒调用执行target
VOID OnTimer(
	IN PDEVICE_OBJECT DeviceObject,
	IN PVOID Context)
{
	if(g_iTimes%10==9)
	{
		target();
	}
	g_iTimes++;

}

//可以读取target的内存
NTSTATUS HelloDDKDispatchRoutin(IN PDEVICE_OBJECT pDevObj,
	IN PIRP pIrp) 
{
	PIO_STACK_LOCATION stack = IoGetCurrentIrpStackLocation(pIrp);
	UCHAR type = stack->MajorFunction;
	IoCompleteRequest( pIrp, IO_NO_INCREMENT );
	
	if(type==IRP_MJ_READ)
	{
		BYTE buf[5]={0};
		memcpy(buf,(PBYTE)g_pExecutePage+0x14,5);
		DbgPrint("buf %x %x %x %x %x\n",buf[0],buf[1],buf[2],buf[3],buf[4]);
	}
	return STATUS_SUCCESS;
}

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

pseudo.jpg （29.57kb，12次下载）
target.jpg （49.28kb，62次下载）
NoShadowWalker.jpg （41.99kb，12次下载）
ShadowWalker.jpg （35.00kb，17次下载）
原理.jpg （26.55kb，17次下载）
cvcvxk.jpg （18.24kb，53次下载）
ShadowWalker.zip （213.31kb，311次下载）

收藏・67

免费・8

支持

最新回复 (25) 1 2 ▶
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 2 楼兼容是个问题啊,还是支持一下 2014-3-1 11:35 0
topofall 雪币： 124 活跃值： (469) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 196 粉丝 1 关注私信	topofall 3 楼抢了个沙发 2014-3-1 12:05 0
qqlinhai 雪币： 114 活跃值： (180) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 288 粉丝 0 关注私信	qqlinhai 4 楼大蛇丸无处不在啊。。 2014-3-1 12:13 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 5 楼我以为神马玩意!原来这个... 2014-3-1 12:21 0
hungnguyen 雪币： 188 活跃值： (616) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 49 粉丝 0 关注私信	hungnguyen 6 楼 Nice thanks for share! 2014-3-1 15:31 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 7 楼谢谢分享，lz辛苦了 2014-3-1 15:34 0
ztj 雪币： 72 活跃值： (74) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 16 粉丝 1 关注私信	ztj 8 楼是啊，hook中断容易不稳定 2014-3-2 20:12 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 9 楼最关键的是只支持32平台，现在是64的世界了。 2014-3-2 20:23 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 10 楼怎么玩vt……求解…… 话说360是咋玩的…… 不过pg倒不是大问题……如果静态破解的话 2014-3-2 21:37 0
viphack 雪币： 219 活跃值： (783) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 11 楼 64位来了。。。。。。。。。。。。。 2014-3-2 21:40 0
ztj 雪币： 72 活跃值： (74) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 16 粉丝 1 关注私信	ztj 12 楼大神大神，请问：如果我只需要在32位平台，能不能搞定Ring3的ShadowWalker啊？？？我感觉是在切换进程的时候页表有问题的 2014-3-3 09:50 0
小希希雪币： 1829 活跃值： (4045) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 337 粉丝 18 关注私信	小希希 13 楼 ShadowWalker 刷tlb不要想了，我也尝试过，根本无法实用 2014-3-3 10:09 0
小希希雪币： 1829 活跃值： (4045) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 337 粉丝 18 关注私信	小希希 14 楼楼主感兴趣可以去看看影子页表 2014-3-3 10:12 0
elapseyear 雪币： 326 活跃值： (56) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 112 粉丝 0 关注私信	elapseyear 15 楼值得研究一下。 2014-5-29 15:39 0
lidagogo 雪币： 68 活跃值： (190) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 240 粉丝 0 关注私信	lidagogo 16 楼可以用来过SYS的CRC 2014-5-29 15:44 0
fatecaster 雪币： 135 活跃值： (63) 能力值： ( LV5，RANK：60 ) 在线值：发帖 39 回帖 314 粉丝 0 关注私信	fatecaster 1 17 楼学习一下，lz还在吗，还没看你的代码，有2个问题 LoadDTLB: 这一段不太理解，如果要需要hook的是页面中间的几个字节，那先读了页面的前面的字节，数据tlb就有缓存了，那下次读到中间真正被修改的几个字节，不会发生缺页了吧，那还是读的被修改过的页面，不知道理解错了没，NetProc也是这段，有点不理解第二个是为什么r3不行。amd可以吗，我只有amd的cpu。 2014-6-17 23:36 0
Akihyou 雪币： 460 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	Akihyou 18 楼 R3下是可以的,我试过, 会蓝只是你0e的hook处理还有问题, 不过我也想知道64位下这方法是否可行,有人研究过没? 2014-6-25 15:41 0
loqich 雪币： 952 活跃值： (1821) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 642 粉丝 0 关注私信	loqich 19 楼求r3方法。。。 2014-6-26 09:09 0
heretic 雪币： 217 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 93 粉丝 0 关注私信	heretic 20 楼从原理上来说x64也应该支持，不过PatchGuard会检查IDT。。。另外，我测试了下ring3，用的是修改ITLB，保留DTLB，发现如果先执行再读取，中间无任何间隔，可以读到修改后的值。如果先读取再执行，则读取值是原始值，执行的是修改后的值。如果先执行，然后Sleep(1)，读取的也是原始值。。。难道执行会同时刷新ITLB和DTLB？ 2014-9-28 14:18 0
暮色丶雪币： 14 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 44 粉丝 0 关注私信	暮色丶 21 楼以前ring3搞过,不会蓝,可以过CRC神马的,但是大页面不知道怎么处理 2014-9-28 14:31 0
dppdpp 雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 365 粉丝 0 关注私信	dppdpp 22 楼这个东西的关键点在pte的copyonwrite属性，我也卡在ring3读取这块上，做不下去，在ring3实在想不到好办法 2014-9-30 03:33 0
wx_强心剂雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	wx_强心剂 23 楼学习中谢谢分享 2021-11-21 10:20 0
Mr.hack 雪币： 3322 活跃值： (3918) 能力值： ( LV3，RANK：20 ) 在线值：发帖 25 回帖 138 粉丝 25 关注私信	Mr.hack 24 楼搞过ring0的，ring3的没成功，ring3 CR3切换太频繁 2021-11-21 18:08 0
mb_ssgbszsj 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_ssgbszsj 25 楼以前ring3搞过,不会蓝,可以过CRC神马的,但是大页面不知道怎么处理 2022-7-2 01:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

ztj

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (25) 1 2 ▶
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 2 楼兼容是个问题啊,还是支持一下 2014-3-1 11:35 0
topofall 雪币： 124 活跃值： (469) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 196 粉丝 1 关注私信	topofall 3 楼抢了个沙发 2014-3-1 12:05 0
qqlinhai 雪币： 114 活跃值： (180) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 288 粉丝 0 关注私信	qqlinhai 4 楼大蛇丸无处不在啊。。 2014-3-1 12:13 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 5 楼我以为神马玩意!原来这个... 2014-3-1 12:21 0
hungnguyen 雪币： 188 活跃值： (616) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 49 粉丝 0 关注私信	hungnguyen 6 楼 Nice thanks for share! 2014-3-1 15:31 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 7 楼谢谢分享，lz辛苦了 2014-3-1 15:34 0
ztj 雪币： 72 活跃值： (74) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 16 粉丝 1 关注私信	ztj 8 楼是啊，hook中断容易不稳定 2014-3-2 20:12 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 9 楼最关键的是只支持32平台，现在是64的世界了。 2014-3-2 20:23 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 10 楼怎么玩vt……求解…… 话说360是咋玩的…… 不过pg倒不是大问题……如果静态破解的话 2014-3-2 21:37 0
viphack 雪币： 219 活跃值： (783) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 11 楼 64位来了。。。。。。。。。。。。。 2014-3-2 21:40 0
ztj 雪币： 72 活跃值： (74) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 16 粉丝 1 关注私信	ztj 12 楼大神大神，请问：如果我只需要在32位平台，能不能搞定Ring3的ShadowWalker啊？？？我感觉是在切换进程的时候页表有问题的 2014-3-3 09:50 0
小希希雪币： 1829 活跃值： (4045) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 337 粉丝 18 关注私信	小希希 13 楼 ShadowWalker 刷tlb不要想了，我也尝试过，根本无法实用 2014-3-3 10:09 0
小希希雪币： 1829 活跃值： (4045) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 337 粉丝 18 关注私信	小希希 14 楼楼主感兴趣可以去看看影子页表 2014-3-3 10:12 0
elapseyear 雪币： 326 活跃值： (56) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 112 粉丝 0 关注私信	elapseyear 15 楼值得研究一下。 2014-5-29 15:39 0
lidagogo 雪币： 68 活跃值： (190) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 240 粉丝 0 关注私信	lidagogo 16 楼可以用来过SYS的CRC 2014-5-29 15:44 0
fatecaster 雪币： 135 活跃值： (63) 能力值： ( LV5，RANK：60 ) 在线值：发帖 39 回帖 314 粉丝 0 关注私信	fatecaster 1 17 楼学习一下，lz还在吗，还没看你的代码，有2个问题 LoadDTLB: 这一段不太理解，如果要需要hook的是页面中间的几个字节，那先读了页面的前面的字节，数据tlb就有缓存了，那下次读到中间真正被修改的几个字节，不会发生缺页了吧，那还是读的被修改过的页面，不知道理解错了没，NetProc也是这段，有点不理解第二个是为什么r3不行。amd可以吗，我只有amd的cpu。 2014-6-17 23:36 0
Akihyou 雪币： 460 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	Akihyou 18 楼 R3下是可以的,我试过, 会蓝只是你0e的hook处理还有问题, 不过我也想知道64位下这方法是否可行,有人研究过没? 2014-6-25 15:41 0
loqich 雪币： 952 活跃值： (1821) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 642 粉丝 0 关注私信	loqich 19 楼求r3方法。。。 2014-6-26 09:09 0
heretic 雪币： 217 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 93 粉丝 0 关注私信	heretic 20 楼从原理上来说x64也应该支持，不过PatchGuard会检查IDT。。。另外，我测试了下ring3，用的是修改ITLB，保留DTLB，发现如果先执行再读取，中间无任何间隔，可以读到修改后的值。如果先读取再执行，则读取值是原始值，执行的是修改后的值。如果先执行，然后Sleep(1)，读取的也是原始值。。。难道执行会同时刷新ITLB和DTLB？ 2014-9-28 14:18 0
暮色丶雪币： 14 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 44 粉丝 0 关注私信	暮色丶 21 楼以前ring3搞过,不会蓝,可以过CRC神马的,但是大页面不知道怎么处理 2014-9-28 14:31 0
dppdpp 雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 365 粉丝 0 关注私信	dppdpp 22 楼这个东西的关键点在pte的copyonwrite属性，我也卡在ring3读取这块上，做不下去，在ring3实在想不到好办法 2014-9-30 03:33 0
wx_强心剂雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	wx_强心剂 23 楼学习中谢谢分享 2021-11-21 10:20 0
Mr.hack 雪币： 3322 活跃值： (3918) 能力值： ( LV3，RANK：20 ) 在线值：发帖 25 回帖 138 粉丝 25 关注私信	Mr.hack 24 楼搞过ring0的，ring3的没成功，ring3 CR3切换太频繁 2021-11-21 18:08 0
mb_ssgbszsj 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_ssgbszsj 25 楼以前ring3搞过,不会蓝,可以过CRC神马的,但是大页面不知道怎么处理 2022-7-2 01:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复