-
-
[原创]---驱动调试——挫败 QQ.EXE 的内核模式保护机制(part I)---
-
发表于: 2018-5-3 20:37
-
Q 是一款热门的即时通信(IM)类工具,在安装时刻会向系统分区的 \..\windows\system32\drivers 路径下生成两个驱动程序文件:
QQProtect.sys 与 QQFrmMgr.sys ,前者是 QQProtect.exe(QQ 安全防护进程,又称 Q 盾)的内核模式组件;后者是一种过滤型驱动。
同时还会向注册表位置 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ 创建对应名称的键,其中有重要的两个子键控制这两个驱动的加载方式:“type” 与 “start” ——对于 QQProtect.sys ,其键值分别为 1 和 2,这意味着由 services.exe(服务控制管理器)自动将 QQProtect.sys 载入内核空间;对于 QQFrmMgr.sys,其键值分别为 1 和 1,这意味着在内核初始化期间,由 ntoskrnl.exe 将 QQFrmMgr.sys 载入内核空间,就加载的顺序而言,QQFrmMgr.sys 早于 QQProtect.sys ,如下图所示:
尽管这两个驱动并非 Rootkit 或者恶意软件,但它们确实会 hook 系统服务调度表/Shadow、在System 进程中注入内核线程、注
册一些通知回调。。。。
所以也算是更改了系统的一些关键数据结构来进行非正当活动。
本文探讨如何使用内核调试器 WinDbg.exe 来检查诸如此类为保护 QQ 进程而采取的内核空间手段,然后把系统还原至 “干净” 状态。
测试环境是两台真实的计算机(双机物理调试)——运行 Windows 7 的 宿主机(调试机),以及运行 Windows 8.1 的目标机(被调试机,已安装了 QQ)
两者通过以太网线连接进行调试。
注意,通过以太网线执行双机物理调试时,对调试机的网卡无特殊要求;但是被调试机的网卡必须被 Debugging Tools for Windows 所支持(亦即 Kd.exe 与 WinDbg.exe),而且被调试机上的操作系统版本需要是 windows 8 或者更后面的版本;调试机上的操作系统需要是 windows xp 或更后面的版本。
使用以太网调试的一大好处就是,通信介质获取方便——相较于老旧的串口线(RS-232)以及主板上基本被淘汰的 COM 模块而言,Cat5 标准以上的网络线随便在电脑城就能买到,而且主板上绝不可能没有网络接口卡使用的 RJ-45 端口。。。。想必以太网调试一定会成为日后的标准!
另一方面,我也实施了物理-虚拟机调试,虚拟机作为被调试机,其上运行 Windows 7,这样不但能够对比出,QQ 驱动针对不同内核版本(Windows 7 是内核版本 6.1 ;Windows 8.1 是内核版本 6.3)所表现出来的逻辑差异,还能够明确 QQ 驱动是否采取了 “反虚拟机” 技术,并且揭示它在真实机器上的行为!
因此下面的调试过程中,所有与真实机器上不同的结果我都会另行说明。在开始之前,来过目一下我配置的双机物理调试参数:
其中,
❶ 我将 Windows Kits 驱动开发工具包安装到了 “d:\Windows Kits” 目录下;
❷ 输出调试信息到指定的日志文件;
❸ 指定微软的符号服务器 URL,这样调试器就可以通过 HTTP GET 请求,按需从服务器下载并解析特定内核模块中的函数符号;
❹ 以及预先存储在本地的符号文件(可以从 MSDN 站点下载,整个 MSI 封装的符号包大小约为五、六百 MB)所在路径;
(注意,宿主机上内核版本的不同导致需要分别下载对应的符号文件,并指定为调试参数)
❺ 指定通过以太网调试(net),宿主机上开启调试端口为 UDP 的 60111;
❻ 最后的 key 可以任意指定,但其中的 4 个子域之间需要用点号分隔开。
关于目标机上的对应配置,请各位参见 MSDN 文档,这里就不再赘述。
——————————————————————————————————————————————————————————
首先在 Windows 8.1 目标机上通过 Process Explorer 浏览到 System 进程中的系统线程,其中有一个 QQ 内核线程是由
QQFrmMgr.sys 创建的,该线程的启动地址距离所属模块被载入基址的偏移量为 0x5e34 :
我们的目标是结束该线程的执行,通常的做法是用系统内置的APC(异步过程调用)机制来实现。APC 就是运行在特定线程上下文
中的例程。
从编程角度来讲,调用 KeInitializeApc() 初始化一个 nt!_KAPC 结构,并将其关联到该 QQ 内核线程的nt!_KTHREAD结构,设定
该 APC 例程回调为 PspExitThread();然后利用 KeInsertQueueApc() 通过这个 nt!_KTHREAD 结构来排入该 QQ 内核线程的
APC 队列,如此一来,当该 APC 被交付时,就会在该 QQ 内核线程的执行上下文中调用 PspExitThread(),从而终止掉该 QQ 内
核线程。
而在调试环境下,没有对应的内核 API 可用,所以我们必须手工构造 APC、指定回调函数、关联线程、以及排入队列,如下步骤所
示:
第一步:查询 System 进程的 nt!_EPROCESS 结构地址;
第二步:定位到其中的线程双向链表头部,然后开始遍历这个链表中的每一个 nt!_ETHREAD 结构,找出那些启动地址位于
QQFrmMgr.sys 模块空间内的线程:
相应的 WinDbg 命令如下:
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
