[原创](一)通过逆向PCHunter驱动学习64位 windows内核之精准定位-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创](一)通过逆向PCHunter驱动学习64位 windows内核之精准定位

发表于: 2018-6-4 18:50 18267

[原创](一)通过逆向PCHunter驱动学习64位 windows内核之精准定位

hjbfa

2018-6-4 18:50

18267

[原创](二)通过逆向PCHunter驱动学习64位 windows内核之识别隐藏进程

-----------------------------------------------------------------------------------------------------------------------------------------------------

PCHunter驱动3环到0环的通信协议分析

首先感谢下PCHunter的作者提供了这么优秀且还是免费的内核工具。

这次逆向是我在科锐学习32位内核课程后，

练手的小项目，

感觉自己写得比较用心的，

所以作为自己的首贴逆向贴，

发布到看雪上来，

与大家分享一下。

这篇作为第一篇，

主要内容是通过分析 PCHunte 3环请求到0环的通信协议内容，

来精准定位PCHunter驱动功能相关函数，

之后的篇幅会在此基础上，

逐篇分析PCHunter的各项内核功能的实现。

-----------------------------------------------------------------------------------------------------------------------------------------------------

样本信息:

样本名： PCHunter64ao.sys(之后简称 "样本")

版本号： 1.0.0.5

样本来源： PCHunter64.exe释放的驱动文件

调试环境： host: win7_64 + IDA + VirtualKd

dest: WMware(win7_64)

当前样本模块加载基址：

PCHunter64ao.sys FFFFF88003400000 --- 00000000000C0000

nt fffff800`03e00000 --- fffff800`043ea000

因为双机调试环境搭建相关的帖子很多，

所以略去。

在调试目标机开启PCHunter前,

IDA载入样本PCHunter64ao.sys。

-----------------------------------------------------------------------------------------------------------------------------------------------------

概述：

待IDA载入分析完如下图所示:

得知样本函数数量规模,大于等于1004个。

我的首要任务是解决在这众多的函数中，

如何找到我们要分析的功能？

根据自己开发驱动的经验,

功能较多的驱动服务中，

3环应用程序一般使用DeviceIoControl函数，

通过其提供的控制码功能,来实现与0环的功能请求通信，

0环则通过派遣回调函数表对应的IRP_MJ_DEVICE_CONTROL项中，

3环传入的控制码来实现用户请求功能的区分和功能向下派发。

但是在实际分析过程中我发现，

PCHunter 3环所有的用户请求控件码都是同一个，

样品并没有使用常归的通信手法,难道另辟蹊径或是加密了？

之后经过一系列努力，

最后发现作者确实是在设备控制的基础上，

又实现了一套自己的 3 环与 0 环通信协议，

并对协议作了加密，

解密后的内容中又发现了动态与静态的2处校验码。

至此心中对作者又升起一股由衷的敬意。

一款免费的驱动工具，

作者却一点也不马虎。

下面开始具体介绍菜鸟分析挑战之旅(大神老鸟可以略过)。

-----------------------------------------------------------------------------------------------------------------------------------------------------

分析过程:

通过IDA很快找到样本入口处，

也就是DirverEntry，

F2设置断点，

在目标机中打开PCHunter工具，

于是IDA中断下来了.

如下图所示：

此时我已经有了pDriverObject对象指针

WINDBG>dt nt!_DRIVER_OBJECT

+0x000 Type : Int2B

+0x002 Size : Int2B

+0x008 DeviceObject : Ptr64 _DEVICE_OBJECT

//略

+0x068 DriverUnload : Ptr64 void

+0x070 MajorFunction : [28] Ptr64 long

下一目标是要找到 pDriverObject +0x070位置的写入，

也是注册其成员派遣函数表的代码。

根据结构体信息参照，

从入口向下，

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

最后于 2018-7-22 12:02 被hjbfa编辑，原因：整理链接

#系统底层 #调试逆向

上传的附件：

1_PCHunter分析之突破(通信机制).pdf （203.35kb，128次下载）
PCHunter.rar （2.56MB，286次下载）

收藏・56

免费・3

支持

最新回复 (21)
芃杉雪币： 36 活跃值： (1061) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 107 粉丝 1 关注私信	芃杉 2 楼 66666666分析的好细 2018-6-4 20:16 0
hjbfa 雪币： 153 活跃值： (260) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 39 粉丝 9 关注私信	hjbfa 1 3 楼芃杉 66666666分析的好细这么快被你发现了,谢谢兄弟夸奖 2018-6-4 20:36 0
StriveXjun 雪币： 1036 活跃值： (1311) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 71 关注私信	StriveXjun 4 楼我记得DeviceControl 是VM掉的吧？ 2018-6-5 09:29 0
Lnju 雪币： 650 活跃值： (4217) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 73 粉丝 1 关注私信	Lnju 1 5 楼分析的很细致，期待后续更新 2018-6-5 09:33 0
hjbfa 雪币： 153 活跃值： (260) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 39 粉丝 9 关注私信	hjbfa 1 6 楼分析过程中确实发现2013年老版本内DeviceControl 是VM过的, 贴中上传的样本是新版本,作者已经没去掉了VM, 话说他这套通信协议和通信机制配上VM后确实难度非常非常大 2018-6-5 09:58 0
kakasasa 雪币： 576 活跃值： (2035) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 294 粉丝 5 关注私信	kakasasa 7 楼 mark 2018-6-5 13:06 0
smootho 雪币： 37 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 24 粉丝 0 关注私信	smootho 8 楼菜鸟，完全没看懂，很高深的样子，不过确实对代码比较感兴趣，只是没有什么时间研究之。 2018-6-5 13:36 0
yber 雪币： 9 活跃值： (180) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 157 粉丝 0 关注私信	yber 9 楼谢谢分享 2018-6-5 20:27 0
evilCoding 雪币： 193 能力值： (RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	evilCoding 10 楼厉害，顶！ 2018-6-11 20:31 0
CkDebug 雪币： 136 活跃值： (16) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 47 粉丝 1 关注私信	CkDebug 11 楼 Boos.Yang 分析得很好,很透彻,学习了.期待后续的更新 2018-6-11 22:50 0
basketwill 雪币： 1994 活跃值： (1526) 能力值： ( LV8，RANK：120 ) 在线值：发帖 27 回帖 166 粉丝 61 关注私信	basketwill 1 12 楼好文章，分析得不错 2018-6-12 09:26 0
wx_秀树雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	wx_秀树 13 楼给你点个赞 2018-6-13 02:00 0
chpeagle 雪币： 4139 活跃值： (2854) 能力值： ( LV10，RANK：170 ) 在线值：发帖 20 回帖 116 粉丝 120 关注私信	chpeagle 14 楼你好,怎么用IDA调内核,可以教一下吗? 2018-6-16 21:58 0
hjbfa 雪币： 153 活跃值： (260) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 39 粉丝 9 关注私信	hjbfa 1 15 楼 @chpeagle 不好意思才看到问题, IDA调试的帖子看这个: https://bbs.pediy.com/thread-219728.htm 以后有问题交流可以加我Q99 62 9 2 最后于 2018-7-21 13:34 被hjbfa编辑，原因： 2018-6-23 22:44 0
wx渔父雪币： 51 活跃值： (79) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	wx渔父 16 楼在调试目标机开启PCHunter前, IDA载入样本PCHunter64ao.sys ，这个段可以理解在虚拟机中安装IDA，然后载入PCHunter64ao.sys，然后在虚拟机中打开PCHunte吗 2018-7-20 20:30 0
hjbfa 雪币： 153 活跃值： (260) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 39 粉丝 9 关注私信	hjbfa 1 17 楼 IDA这个调试机制是通过Windbg插件实现的, 当收到目标机中模块加载的消息,IDA会将预先加载的模块同步平移的目标机实际加载的地址,并更新落实预设的断点, 以上是我的理解. 2018-7-21 13:33 0
littlewisp 雪币： 5327 活跃值： (3719) 能力值： ( LV13，RANK：283 ) 在线值：发帖 62 回帖 559 粉丝 13 关注私信	littlewisp 2 18 楼楼主强大，继续期待后续文章 2018-8-13 11:46 0
木志本柯雪币： 4738 活跃值： (4286) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 364 粉丝 4 关注私信	木志本柯 19 楼 PCHunter64ao.sys这个文件的怎么提取的 2019-2-8 16:05 0
killpy 雪币： 83 活跃值： (1087) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 48 关注私信	killpy 2 20 楼学习了 2019-2-9 10:20 0
0sWalker 雪币： 965 活跃值： (310) 能力值： ( LV8，RANK：130 ) 在线值：发帖 15 回帖 19 粉丝 7 关注私信	0sWalker 21 楼 PCHunter.exe的资源里有三个PE文件，你分析的是第三个，其它两个是什么？ 2019-7-3 16:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

hjbfa

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (21)
芃杉雪币： 36 活跃值： (1061) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 107 粉丝 1 关注私信	芃杉 2 楼 66666666分析的好细 2018-6-4 20:16 0
hjbfa 雪币： 153 活跃值： (260) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 39 粉丝 9 关注私信	hjbfa 1 3 楼芃杉 66666666分析的好细这么快被你发现了,谢谢兄弟夸奖 2018-6-4 20:36 0
StriveXjun 雪币： 1036 活跃值： (1311) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 71 关注私信	StriveXjun 4 楼我记得DeviceControl 是VM掉的吧？ 2018-6-5 09:29 0
Lnju 雪币： 650 活跃值： (4217) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 73 粉丝 1 关注私信	Lnju 1 5 楼分析的很细致，期待后续更新 2018-6-5 09:33 0
hjbfa 雪币： 153 活跃值： (260) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 39 粉丝 9 关注私信	hjbfa 1 6 楼分析过程中确实发现2013年老版本内DeviceControl 是VM过的, 贴中上传的样本是新版本,作者已经没去掉了VM, 话说他这套通信协议和通信机制配上VM后确实难度非常非常大 2018-6-5 09:58 0
kakasasa 雪币： 576 活跃值： (2035) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 294 粉丝 5 关注私信	kakasasa 7 楼 mark 2018-6-5 13:06 0
smootho 雪币： 37 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 24 粉丝 0 关注私信	smootho 8 楼菜鸟，完全没看懂，很高深的样子，不过确实对代码比较感兴趣，只是没有什么时间研究之。 2018-6-5 13:36 0
yber 雪币： 9 活跃值： (180) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 157 粉丝 0 关注私信	yber 9 楼谢谢分享 2018-6-5 20:27 0
evilCoding 雪币： 193 能力值： (RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	evilCoding 10 楼厉害，顶！ 2018-6-11 20:31 0
CkDebug 雪币： 136 活跃值： (16) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 47 粉丝 1 关注私信	CkDebug 11 楼 Boos.Yang 分析得很好,很透彻,学习了.期待后续的更新 2018-6-11 22:50 0
basketwill 雪币： 1994 活跃值： (1526) 能力值： ( LV8，RANK：120 ) 在线值：发帖 27 回帖 166 粉丝 61 关注私信	basketwill 1 12 楼好文章，分析得不错 2018-6-12 09:26 0
wx_秀树雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	wx_秀树 13 楼给你点个赞 2018-6-13 02:00 0
chpeagle 雪币： 4139 活跃值： (2854) 能力值： ( LV10，RANK：170 ) 在线值：发帖 20 回帖 116 粉丝 120 关注私信	chpeagle 14 楼你好,怎么用IDA调内核,可以教一下吗? 2018-6-16 21:58 0
hjbfa 雪币： 153 活跃值： (260) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 39 粉丝 9 关注私信	hjbfa 1 15 楼 @chpeagle 不好意思才看到问题, IDA调试的帖子看这个: https://bbs.pediy.com/thread-219728.htm 以后有问题交流可以加我Q99 62 9 2 最后于 2018-7-21 13:34 被hjbfa编辑，原因： 2018-6-23 22:44 0
wx渔父雪币： 51 活跃值： (79) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	wx渔父 16 楼在调试目标机开启PCHunter前, IDA载入样本PCHunter64ao.sys ，这个段可以理解在虚拟机中安装IDA，然后载入PCHunter64ao.sys，然后在虚拟机中打开PCHunte吗 2018-7-20 20:30 0
hjbfa 雪币： 153 活跃值： (260) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 39 粉丝 9 关注私信	hjbfa 1 17 楼 IDA这个调试机制是通过Windbg插件实现的, 当收到目标机中模块加载的消息,IDA会将预先加载的模块同步平移的目标机实际加载的地址,并更新落实预设的断点, 以上是我的理解. 2018-7-21 13:33 0
littlewisp 雪币： 5327 活跃值： (3719) 能力值： ( LV13，RANK：283 ) 在线值：发帖 62 回帖 559 粉丝 13 关注私信	littlewisp 2 18 楼楼主强大，继续期待后续文章 2018-8-13 11:46 0
木志本柯雪币： 4738 活跃值： (4286) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 364 粉丝 4 关注私信	木志本柯 19 楼 PCHunter64ao.sys这个文件的怎么提取的 2019-2-8 16:05 0
killpy 雪币： 83 活跃值： (1087) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 48 关注私信	killpy 2 20 楼学习了 2019-2-9 10:20 0
0sWalker 雪币： 965 活跃值： (310) 能力值： ( LV8，RANK：130 ) 在线值：发帖 15 回帖 19 粉丝 7 关注私信	0sWalker 21 楼 PCHunter.exe的资源里有三个PE文件，你分析的是第三个，其它两个是什么？ 2019-7-3 16:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创](一)通过逆向PCHunter驱动学习64位 windows内核之 精准定位

[原创](一)通过逆向PCHunter驱动学习64位 windows内核之精准定位