[求助]X64下的可执行文件拦截-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]X64下的可执行文件拦截

发表于: 2015-2-27 22:36 10452

[求助]X64下的可执行文件拦截

yunfansky

2015-2-27 22:36

10452

在X86下由于由于可以SSDT HOOK ，直接 HOOK NTCreateSection ，
而X64下不过patchguard的情况下失效
之前看到有用 PsSetLoadImageNotifyRoutine 给sys文件的入口点DriverEntry 返回失败，实现拦截的代码，由于水平有限，一直无法实现dll 和 exe等可执行文件的拦截，请高手赐教，谢谢！
发一份 Tesla.Angela大牛写的参考代码，只能禁用SYS

目前已经能够获取可执行文件的全路径，并且判断32位还是64位，但是仍然无法patch到入口点，返回失败，拦截后立即蓝屏，求大神们patch的方法

目前使用PsSetLoadImageNotifyRoutine 已经能够拦截32位和64位的DLL，但是不知道为何拦截过一次后，即使关闭驱动，
再次加载居然自动仍然拦截，不晓得什么原因？

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

src.rar （3.86kb，107次下载）

收藏・5

免费・0

支持

最新回复 (24)
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 2 楼直接进程回调拦截到就结束 2015-2-28 00:07 0
IamHuskar 雪币： 1392 活跃值： (5137) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1662 粉丝 67 关注私信	IamHuskar 4 3 楼 minifilter createfile 返回失败 2015-2-28 08:29 0
yunfansky 雪币： 186 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 47 粉丝 0 关注私信	yunfansky 4 楼这个控制粒度太大了，需要控制到所有PE文件包括sys，dll，ocx等 2015-2-28 17:03 0
yunfansky 雪币： 186 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 47 粉丝 0 关注私信	yunfansky 5 楼这个需要判断PE文件格式吧？而且效率估计比较低， 2015-2-28 17:04 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 6 楼 PsSetLoadImageNotifyRoutine 判断进程是不是64还是32，然后定位到程序入口点，然后直接写C3即可！ 2015-2-28 17:05 0
IamHuskar 雪币： 1392 活跃值： (5137) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1662 粉丝 67 关注私信	IamHuskar 4 7 楼为何需要判断格式？文件名判断不行吗 2015-2-28 17:14 0
IamHuskar 雪币： 1392 活跃值： (5137) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1662 粉丝 67 关注私信	IamHuskar 4 8 楼你这样不能针对进程做。一个C3 重启电脑之前所有的程序都无法加载这个模块。除非你再次改回来 2015-2-28 17:16 0
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 9 楼 PsSetLoadImageNotifyRoutine 也可以！但是要注意重入问题 2015-2-28 18:38 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 10 楼你把物理内存给改了 2015-2-28 18:50 0
IamHuskar 雪币： 1392 活跃值： (5137) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1662 粉丝 67 关注私信	IamHuskar 4 11 楼 minifilter已经可以做了。 image回调最好实现windows的COPYONWRITE做，那样不会影响其他进程。可以通过入口点的地址计算出页面的PTE 修改PTE标记位的第9位打开copyonWrite开关就行了 2015-3-1 10:59 0
yunfansky 雪币： 186 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 47 粉丝 0 关注私信	yunfansky 12 楼 minifilter 至少需要通过标记判断是否是执行文件，否则文件太大，这种方案我持保留意见，感觉和文件加载拦截关系不大，可否有参考代码？ 2015-3-1 11:35 0
IamHuskar 雪币： 1392 活跃值： (5137) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1662 粉丝 67 关注私信	IamHuskar 4 13 楼 CreateFile进来的时候标志位如果是将这个映像用于执行会带有 PAGE_EXECUTE(FILE_EXECUTE 具体不记得是哪个) 带有这个标记都可用于可执行，根本不需要读取文件去判断类型。从自带的参数得到文件是否为PE文件。然后再按照你的规则判断过滤 2015-3-1 12:33 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 14 楼改pet不够优雅优雅的方法是把锁解开直接用writememory的api 然后在把锁上回去 2015-3-1 19:53 0
IamHuskar 雪币： 1392 活跃值： (5137) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1662 粉丝 67 关注私信	IamHuskar 4 15 楼是的，这个方法也是copyonwrite机制。之前我也是卡在这个死锁了。 2015-3-1 21:43 0
zfdyq 雪币： 294 活跃值： (119) 能力值： ( LV5，RANK：70 ) 在线值：发帖 16 回帖 186 粉丝 8 关注私信	zfdyq 1 16 楼拦截dll，入口直接写入 return 0 也就是： xor eax,eax ret 2015-3-1 21:55 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 17 楼这个问题当初郁闷死我了，从头逆过一遍才看出这个玄妙 2015-3-3 18:41 0
yunfansky 雪币： 186 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 47 粉丝 0 关注私信	yunfansky 18 楼还是没灵感啊，有没有可参考的资源，在此谢过 2015-3-5 22:12 0
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 19 楼堆栈都不平 BOOL APIENTRY DllMain(HANDLEhModule, DWORD ul_reason_for_call, LPVOIDlpReserved) 最后应该是ret 0xC才对 2015-3-5 22:17 0
zfdyq 雪币： 294 活跃值： (119) 能力值： ( LV5，RANK：70 ) 在线值：发帖 16 回帖 186 粉丝 8 关注私信	zfdyq 1 20 楼恩，对多谢指正，忘记看调用约定了 2015-3-5 22:37 0
yunfansky 雪币： 186 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 47 粉丝 0 关注私信	yunfansky 21 楼如果是DLL里面，没有入口点的情况（入口点地址为0，无DllMain），该如何处理呢？ 2015-3-8 15:59 0
yunfansky 雪币： 186 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 47 粉丝 0 关注私信	yunfansky 22 楼前面几步已经办到了，就剩下最后一步 “直接写C3”，挣扎中。 2015-3-8 16:40 0
yunfansky 雪币： 186 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 47 粉丝 0 关注私信	yunfansky 23 楼现在已经拦截成功，写入口点成功，但是再次启动后，入口点一直被改写，即使关闭驱动，同一个dll一直无法记载，不知道是什么原因、 2015-3-12 21:29 0
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 24 楼确实是这样之前听说好像是文件被映射一次以后就不用映射的了 2015-3-12 22:41 0
ahtianda 雪币： 2 活跃值： (61) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	ahtianda 25 楼可以先保存原来的代码，创建个线程，一秒钟再改回来。就不会影响下次加载。 2015-3-14 11:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

yunfansky

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 2 楼直接进程回调拦截到就结束 2015-2-28 00:07 0
IamHuskar 雪币： 1392 活跃值： (5137) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1662 粉丝 67 关注私信	IamHuskar 4 3 楼 minifilter createfile 返回失败 2015-2-28 08:29 0
yunfansky 雪币： 186 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 47 粉丝 0 关注私信	yunfansky 4 楼这个控制粒度太大了，需要控制到所有PE文件包括sys，dll，ocx等 2015-2-28 17:03 0
yunfansky 雪币： 186 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 47 粉丝 0 关注私信	yunfansky 5 楼这个需要判断PE文件格式吧？而且效率估计比较低， 2015-2-28 17:04 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 6 楼 PsSetLoadImageNotifyRoutine 判断进程是不是64还是32，然后定位到程序入口点，然后直接写C3即可！ 2015-2-28 17:05 0
IamHuskar 雪币： 1392 活跃值： (5137) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1662 粉丝 67 关注私信	IamHuskar 4 7 楼为何需要判断格式？文件名判断不行吗 2015-2-28 17:14 0
IamHuskar 雪币： 1392 活跃值： (5137) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1662 粉丝 67 关注私信	IamHuskar 4 8 楼你这样不能针对进程做。一个C3 重启电脑之前所有的程序都无法加载这个模块。除非你再次改回来 2015-2-28 17:16 0
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 9 楼 PsSetLoadImageNotifyRoutine 也可以！但是要注意重入问题 2015-2-28 18:38 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 10 楼你把物理内存给改了 2015-2-28 18:50 0
IamHuskar 雪币： 1392 活跃值： (5137) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1662 粉丝 67 关注私信	IamHuskar 4 11 楼 minifilter已经可以做了。 image回调最好实现windows的COPYONWRITE做，那样不会影响其他进程。可以通过入口点的地址计算出页面的PTE 修改PTE标记位的第9位打开copyonWrite开关就行了 2015-3-1 10:59 0
yunfansky 雪币： 186 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 47 粉丝 0 关注私信	yunfansky 12 楼 minifilter 至少需要通过标记判断是否是执行文件，否则文件太大，这种方案我持保留意见，感觉和文件加载拦截关系不大，可否有参考代码？ 2015-3-1 11:35 0
IamHuskar 雪币： 1392 活跃值： (5137) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1662 粉丝 67 关注私信	IamHuskar 4 13 楼 CreateFile进来的时候标志位如果是将这个映像用于执行会带有 PAGE_EXECUTE(FILE_EXECUTE 具体不记得是哪个) 带有这个标记都可用于可执行，根本不需要读取文件去判断类型。从自带的参数得到文件是否为PE文件。然后再按照你的规则判断过滤 2015-3-1 12:33 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 14 楼改pet不够优雅优雅的方法是把锁解开直接用writememory的api 然后在把锁上回去 2015-3-1 19:53 0
IamHuskar 雪币： 1392 活跃值： (5137) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1662 粉丝 67 关注私信	IamHuskar 4 15 楼是的，这个方法也是copyonwrite机制。之前我也是卡在这个死锁了。 2015-3-1 21:43 0
zfdyq 雪币： 294 活跃值： (119) 能力值： ( LV5，RANK：70 ) 在线值：发帖 16 回帖 186 粉丝 8 关注私信	zfdyq 1 16 楼拦截dll，入口直接写入 return 0 也就是： xor eax,eax ret 2015-3-1 21:55 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 17 楼这个问题当初郁闷死我了，从头逆过一遍才看出这个玄妙 2015-3-3 18:41 0
yunfansky 雪币： 186 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 47 粉丝 0 关注私信	yunfansky 18 楼还是没灵感啊，有没有可参考的资源，在此谢过 2015-3-5 22:12 0
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 19 楼堆栈都不平 BOOL APIENTRY DllMain(HANDLEhModule, DWORD ul_reason_for_call, LPVOIDlpReserved) 最后应该是ret 0xC才对 2015-3-5 22:17 0
zfdyq 雪币： 294 活跃值： (119) 能力值： ( LV5，RANK：70 ) 在线值：发帖 16 回帖 186 粉丝 8 关注私信	zfdyq 1 20 楼恩，对多谢指正，忘记看调用约定了 2015-3-5 22:37 0
yunfansky 雪币： 186 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 47 粉丝 0 关注私信	yunfansky 21 楼如果是DLL里面，没有入口点的情况（入口点地址为0，无DllMain），该如何处理呢？ 2015-3-8 15:59 0
yunfansky 雪币： 186 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 47 粉丝 0 关注私信	yunfansky 22 楼前面几步已经办到了，就剩下最后一步 “直接写C3”，挣扎中。 2015-3-8 16:40 0
yunfansky 雪币： 186 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 47 粉丝 0 关注私信	yunfansky 23 楼现在已经拦截成功，写入口点成功，但是再次启动后，入口点一直被改写，即使关闭驱动，同一个dll一直无法记载，不知道是什么原因、 2015-3-12 21:29 0
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 24 楼确实是这样之前听说好像是文件被映射一次以后就不用映射的了 2015-3-12 22:41 0
ahtianda 雪币： 2 活跃值： (61) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	ahtianda 25 楼可以先保存原来的代码，创建个线程，一秒钟再改回来。就不会影响下次加载。 2015-3-14 11:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复