[转载] - Vmware 的后门-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[转载] - Vmware 的后门

发表于: 2004-7-3 21:11 16851

[转载] - Vmware 的后门

ljtt

2004-7-3 21:11

16851

Vmware 的后门 (1) - [技术]

Vmware 的后门

后门简介

   Vmware 后门是 vmware 和 vmware tools 通信的一个接口。例如，vmware-checkvm 程序就是利用这个后门检测自己是否运行在 vmware 里。

   这个后门开在 IO 端口 0x5658。利用这个后门时，必需：

l       EAX = 0x564D5868 ( “VMXh” )

l       EBX 为参数，一般不用。

l       ECX 低 16 位为功能号。其实是一个函数数组的索引。Vmware 调用对应的函数处理后门请求。这个函数数组共有 36 个元素，但某些没有定义。ECX 的高 16 位为功能参数。

l       EDX = 0x5658 ( “VX” )，为 IO 端口号。

通过读端口 (in) 命令调用后门。

后门详细描述

   下表列出后门的各个功能。

0
未定义

1
getMhz 得到 CPU 速率

2
APM 函数族

3
getDiskGeo

4
getPtrLocation

5
setPtrLocation

6
得到宿主机剪贴板数据长度

7
读宿主机剪贴板数据

8
设置宿主机剪贴板数据长度

9
向宿主机剪贴板写数据

10
得到 vmware 版本

11
取设备信息

12
连接或断开设备

13
取 GUI 配置信息

14
设置 GUI 配置信息

15
取宿主机屏幕分辨率

16
未定义

17
未定义

18
osNotFound, vmware 提示插入引导盘

19
GetBiosUUID

20
取虚拟机内存大小

21
未定义

22
OS2 系统用到的一个函数

23
getTime，取宿主机时间

24
stopCatchup

25
未定义

26
未定义

27
未定义

28
initScsiIoprom

29
未定义

30
Message，通道函数族

31
rsvd0

32
rsvd1

33
rsvd2

34
ACPID 函数

35
未定义

应用

vmcall.s
   vmcall.s 为 vm.c 提供 vmcall(uint32_t out[4],int cmd,uint32_t param) 函数，实现调用后门功能

      .text

      .align 2

.globl vmcall

      .type vmcall,@function

vmcall:

      pushl %ebp

      movl %esp, %ebp

      movl 0x8(%ebp),%eax

      push %edi

      push %ebx

      push %ecx

      push %edx

      mov %eax,%edi

      mov $0x564d5868,%edx

      mov %edx,%eax

      mov 0xc(%ebp),%edx

      mov 0x10(%ebp),%ebx

      mov %edx,%ecx

      mov $0x5658,%edx

      in (%dx),%eax

      mov %eax,0x0(%edi)

      mov %ebx,0x4(%edi)

      mov %ecx,0x8(%edi)

      pop %edx

[原文出处] - http://www.blogbus.com/blogbus/blog/index.php?blogid=4982&pg=8&cat=

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・7

免费・8

支持

最新回复 (13)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼浮出一位前辈 :D 2004-7-3 21:25 0
ljp0736 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	ljp0736 3 楼详细的说 2004-7-4 10:58 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 4 楼 ; ***************************************************** ; * 检测 VMMVARE * ; ***************************************************** MAGIC equ 564D5868h ;VMXh CMD_PARAM equ 0 CMD_NUM equ 0Ah PORT_NUM equ 5658h ;VX CHK_VMMVARE: pushad assume esi:ptr EXCEPTION_RECORD,edi:ptr CONTEXT xor esi, esi lea eax,[esp-8] xchg eax, dword ptr fs:[esi] call @F CHK_VMMVARE_SEH PROC C uses ebx esi edi pExcept,pFrame,pContext,pDispatch xor eax,eax mov esi,pExcept mov edi,pContext test [esi].ExceptionFlags,7 jne _continue_search cmp [esi].ExceptionCode,STATUS_PRIVILEGED_INSTRUCTION jne _continue_search inc [edi].regEip ;eip++ jmp _pure_exit _continue_search: inc eax _pure_exit: ret CHK_VMMVARE_SEH ENDP @@: push eax MOV EAX,MAGIC MOV EBX,CMD_PARAM MOV ECX,CMD_NUM MOV DX,PORT_NUM IN EAX,DX XOR EAX,EAX ;unistall SEH frame pop fs:[eax] add esp,4 CMP EBX,MAGIC JNZ @F INC EAX @@: test eax, eax .if !zero? jmp @import_bute_exit; exit .endif assume esi:nothing,edi:nothing popad CHK_VMMVARE_END: ret 2004-7-4 12:49 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 5 楼看来昨天打雷把ljttt劈出来了;) 2004-7-4 12:50 0
pll823 雪币： 109 活跃值： (36) 能力值： (RANK：10 ) 在线值：发帖 26 回帖 134 粉丝 2 关注私信	pll823 6 楼 52:D 2004-7-4 13:04 0
liuyilin 雪币： 303 活跃值： (466) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 7 楼 good 2004-7-4 15:54 0
pentacleNC 雪币： 279 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 13 回帖 144 粉丝 0 关注私信	pentacleNC 4 8 楼学习~ 2005-11-6 17:51 0
heXer 雪币： 254 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 802 粉丝 2 关注私信	heXer 3 9 楼 pop %ecx pop %ebx pop %edi leave ret vm.c vm.c 为主程序。命令行参数为后门功能号 #include <stdio.h> #include <signal.h> #include <stdint.h> extern uint32_t vmcall(uint32_t buf[4],int func,uint32_t arg); void segfault(int seg) { fprintf(stderr,"vmcall failed\n"); _exit(1); } int main(int argc,char *argv) { int i; uint32_t buf[4]; int cmd; if (argc == 1) { puts("arg......."); return 1; } cmd = atoi(argv[1]); signal(SIGSEGV,segfault); memset(buf,0,sizeof(buf)); vmcall(buf,cmd,0); printf("%x: %x-%x-%x-%x\n",cmd,buf[0],buf[1],buf[2],buf[3]); return 0; } 举例编译： gcc ?g ?o vm vm.c vmcall.s 1. 1 号调用取 CPU 速率 $ ./vm 1 1: 69f-0-1-0 69f 十进制 1695，CPU 速率为 1695Mhz 2. 10 号调用取 vmware 版本，也用来判断是否运行在 vmware 里。 $ ./vm 10 a: 6-564d5868-4-0 6 是 vmware 版本号。注意这和 about 里看到的不同。4 表示是 vmware workstation，其它可能取值有： 2 ESX Server 1 Express 3 GSX Server 3. 15 号调用取宿主机屏幕分辨率 $ ./vm 15 f: 4000300-0-f-0 分辨率是 0x400 0x300，即 1024 * 768 4. 28 号调用 vmware 的实现有问题，导致我的 vmware workstation 4.0.0.4460 立刻崩溃。原因Vmware 试图去读 0x14 的内存地址，不过因为没有用户输入，无法利用。附录：分析工具和环境 Vmware 4.0.0.4460 和 vmware 4.0.5.6030。宿主机 Windows 2003 Standard。 GuestOS RedHat 8 (Kernel 2.6.2, gcc 3.2)。 IDApro 用于静态分析，OllyDBG 用于动态调试。静态分析 vmware-checkvm 程序发现这个后门。静态分析 + 动态调试得到各功能信息。 2005-11-6 18:45 0
chinadev 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 22 回帖 439 粉丝 0 关注私信	chinadev 10 楼 good 2005-11-6 19:14 0
kanxue 雪币： 47147 活跃值： (20445) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 11 楼最初由 heXer 发布没贴完哦，后面还有，补上呵～这篇曾进入论坛精华6，后面一半没有。下次放进精华7里去。 2005-11-6 19:31 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 12 楼 Good! 2005-11-6 19:46 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 13 楼精华有没有编好的利用该后门的东西，学习学习 2005-11-6 23:18 0
heng9ml 雪币： 212 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 203 粉丝 0 关注私信	heng9ml 1 14 楼学习！ 2005-11-7 10:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

ljtt

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (13)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼浮出一位前辈 :D 2004-7-3 21:25 0
ljp0736 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	ljp0736 3 楼详细的说 2004-7-4 10:58 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 4 楼 ; ***************************************************** ; * 检测 VMMVARE * ; ***************************************************** MAGIC equ 564D5868h ;VMXh CMD_PARAM equ 0 CMD_NUM equ 0Ah PORT_NUM equ 5658h ;VX CHK_VMMVARE: pushad assume esi:ptr EXCEPTION_RECORD,edi:ptr CONTEXT xor esi, esi lea eax,[esp-8] xchg eax, dword ptr fs:[esi] call @F CHK_VMMVARE_SEH PROC C uses ebx esi edi pExcept,pFrame,pContext,pDispatch xor eax,eax mov esi,pExcept mov edi,pContext test [esi].ExceptionFlags,7 jne _continue_search cmp [esi].ExceptionCode,STATUS_PRIVILEGED_INSTRUCTION jne _continue_search inc [edi].regEip ;eip++ jmp _pure_exit _continue_search: inc eax _pure_exit: ret CHK_VMMVARE_SEH ENDP @@: push eax MOV EAX,MAGIC MOV EBX,CMD_PARAM MOV ECX,CMD_NUM MOV DX,PORT_NUM IN EAX,DX XOR EAX,EAX ;unistall SEH frame pop fs:[eax] add esp,4 CMP EBX,MAGIC JNZ @F INC EAX @@: test eax, eax .if !zero? jmp @import_bute_exit; exit .endif assume esi:nothing,edi:nothing popad CHK_VMMVARE_END: ret 2004-7-4 12:49 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 5 楼看来昨天打雷把ljttt劈出来了;) 2004-7-4 12:50 0
pll823 雪币： 109 活跃值： (36) 能力值： (RANK：10 ) 在线值：发帖 26 回帖 134 粉丝 2 关注私信	pll823 6 楼 52:D 2004-7-4 13:04 0
liuyilin 雪币： 303 活跃值： (466) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 7 楼 good 2004-7-4 15:54 0
pentacleNC 雪币： 279 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 13 回帖 144 粉丝 0 关注私信	pentacleNC 4 8 楼学习~ 2005-11-6 17:51 0
heXer 雪币： 254 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 802 粉丝 2 关注私信	heXer 3 9 楼 pop %ecx pop %ebx pop %edi leave ret vm.c vm.c 为主程序。命令行参数为后门功能号 #include <stdio.h> #include <signal.h> #include <stdint.h> extern uint32_t vmcall(uint32_t buf[4],int func,uint32_t arg); void segfault(int seg) { fprintf(stderr,"vmcall failed\n"); _exit(1); } int main(int argc,char *argv) { int i; uint32_t buf[4]; int cmd; if (argc == 1) { puts("arg......."); return 1; } cmd = atoi(argv[1]); signal(SIGSEGV,segfault); memset(buf,0,sizeof(buf)); vmcall(buf,cmd,0); printf("%x: %x-%x-%x-%x\n",cmd,buf[0],buf[1],buf[2],buf[3]); return 0; } 举例编译： gcc ?g ?o vm vm.c vmcall.s 1. 1 号调用取 CPU 速率 $ ./vm 1 1: 69f-0-1-0 69f 十进制 1695，CPU 速率为 1695Mhz 2. 10 号调用取 vmware 版本，也用来判断是否运行在 vmware 里。 $ ./vm 10 a: 6-564d5868-4-0 6 是 vmware 版本号。注意这和 about 里看到的不同。4 表示是 vmware workstation，其它可能取值有： 2 ESX Server 1 Express 3 GSX Server 3. 15 号调用取宿主机屏幕分辨率 $ ./vm 15 f: 4000300-0-f-0 分辨率是 0x400 0x300，即 1024 * 768 4. 28 号调用 vmware 的实现有问题，导致我的 vmware workstation 4.0.0.4460 立刻崩溃。原因Vmware 试图去读 0x14 的内存地址，不过因为没有用户输入，无法利用。附录：分析工具和环境 Vmware 4.0.0.4460 和 vmware 4.0.5.6030。宿主机 Windows 2003 Standard。 GuestOS RedHat 8 (Kernel 2.6.2, gcc 3.2)。 IDApro 用于静态分析，OllyDBG 用于动态调试。静态分析 vmware-checkvm 程序发现这个后门。静态分析 + 动态调试得到各功能信息。 2005-11-6 18:45 0
chinadev 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 22 回帖 439 粉丝 0 关注私信	chinadev 10 楼 good 2005-11-6 19:14 0
kanxue 雪币： 47147 活跃值： (20445) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 11 楼最初由 heXer 发布没贴完哦，后面还有，补上呵～这篇曾进入论坛精华6，后面一半没有。下次放进精华7里去。 2005-11-6 19:31 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 12 楼 Good! 2005-11-6 19:46 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 13 楼精华有没有编好的利用该后门的东西，学习学习 2005-11-6 23:18 0
heng9ml 雪币： 212 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 203 粉丝 0 关注私信	heng9ml 1 14 楼学习！ 2005-11-7 10:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复