[原创]使用模拟器进行x64驱动的Safengine脱壳+导入表修复-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]使用模拟器进行x64驱动的Safengine脱壳+导入表修复

发表于: 2019-2-7 11:21 24335

[原创]使用模拟器进行x64驱动的Safengine脱壳+导入表修复

hzqst

2019-2-7 11:21

24335

近日闲的蛋疼发现一款某地外挂被火绒爆勒索，本来准备安排一哈它的勒索功能

结果发现sys直接明文存放在exe里，我也懒得花钱，遂dump之

IDA看了下发现是Safengine Shielden v2.4.0.0

直接加载sys后发现往afd.sys挂了一个注册表回调，回调入口是跳板

由于驱动直接加载会返回C0000001导致立刻被卸载，无法直接dump

于是改用模拟器加载并在真实DriverEntry处dump整个sys内存：

经过调试发现Safengine保护的驱动会使用DriverObject->DriverSection进行PsLoadedModuleList的遍历并修复导入表

如果在模拟器中给上假的 DriverSection会导致SE访问到非法内存

于是我们给模拟器补上自己伪造的 PsLoadedModuleList和 DriverSection ：

DriverObject.DriverSection = (PVOID)m_DriverLdrEntry;

补完后可以正常执行到真实入口点，可以看到这个sys执行的第一次API是RtlInitUnicodeString

我们定义代码从加壳sys的.sedata/.vmp节执行到.text 或INIT 就算进入真实入口点

bool bIsUnknownSection = (0 == memcmp((char *)SectionHeader[i].Name, ".text\0\0\0", 8) 
|| 0 == memcmp((char *)SectionHeader[i].Name, "INIT\0\0\0\0", 8)) ? false : true;

bool bIsUnknownSection = (0 == memcmp((char *)SectionHeader[i].Name, ".text\0\0\0", 8) 
|| 0 == memcmp((char *)SectionHeader[i].Name, "INIT\0\0\0\0", 8)) ? false : true;

if(currentModule == ctx->m_ImageBase && ctx->m_IsPacked && !ctx->m_ImageRealEntry)
{
	FakeSection_t *section = NULL;
	if (ctx->FindSectionByAddress(address, &section) && !section->IsUnknownSection)
	{
		ctx->m_ImageRealEntry = address;
	}
}

if(currentModule == ctx->m_ImageBase && ctx->m_IsPacked && !ctx->m_ImageRealEntry)
{
	FakeSection_t *section = NULL;
	if (ctx->FindSectionByAddress(address, &section) && !section->IsUnknownSection)
	{
		ctx->m_ImageRealEntry = address;
	}
}

至此，我们可以完整dump出刚刚进入真实入口点时的加壳驱动

virtual_buffer_t imagebuf(ctx.m_ImageEnd - ctx.m_ImageBase);

uc_mem_read(uc, ctx.m_ImageBase, imagebuf.GetBuffer(), ctx.m_ImageEnd - ctx.m_ImageBase);

FILE *fp = fopen("dump.sys", "wb");

fwrite(imagebuf.GetBuffer(), ctx.m_ImageEnd - ctx.m_ImageBase, 1, fp);

fclose(fp);

virtual_buffer_t imagebuf(ctx.m_ImageEnd - ctx.m_ImageBase);

uc_mem_read(uc, ctx.m_ImageBase, imagebuf.GetBuffer(), ctx.m_ImageEnd - ctx.m_ImageBase);

FILE *fp = fopen("dump.sys", "wb");

fwrite(imagebuf.GetBuffer(), ctx.m_ImageEnd - ctx.m_ImageBase, 1, fp);

fclose(fp);

对比加壳sys和dumpsys可以发现 safengine使用了代码自修改

从区段自带可写入属性就可以看出这一点

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

最后于 2019-2-7 11:24 被hzqst编辑，原因：

#系统底层 #调试逆向

上传的附件：

XR.zip （0.98MB，229次下载）

收藏・88

免费・12

支持

打赏 + 3.00雪花

demoscene

junkboy

打赏次数 2

雪花 + 3.00

demoscene	+1.00	2019/02/10	精品文章～
junkboy	+2.00	2019/02/07	感谢分享～

最新回复 (30) 1 2 ▶
FANTASYING 雪币： 2435 活跃值： (725) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 148 粉丝 6 关注私信	FANTASYING 2 楼表哥安排！ 2019-2-7 11:23 0
blindtiger 雪币： 5734 活跃值： (1737) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 231 粉丝 99 关注私信	blindtiger 1 3 楼表哥牛批 2019-2-7 11:31 0
romobin 雪币： 7921 活跃值： (4659) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 235 粉丝 44 关注私信	romobin 4 楼高深莫测，此贴必火 2019-2-7 12:46 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 5 楼厉害 2019-2-7 13:10 0
bxb 雪币： 1085 活跃值： (250) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 1 关注私信	bxb 6 楼大过年的，不好好过年非要研究代码，表哥新年快乐！ 2019-2-7 13:19 0
taizhong 雪币： 123 活跃值： (316) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 158 粉丝 4 关注私信	taizhong 7 楼大表哥你好,大表哥再见 ,看不懂 2019-2-7 13:24 0
sxpp 雪币： 231 活跃值： (2631) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 343 粉丝 4 关注私信	sxpp 1 8 楼牛b 2019-2-7 14:00 0
chixiaojie 雪币： 3277 活跃值： (1992) 能力值： ( LV2，RANK：10 ) 在线值：发帖 91 回帖 1358 粉丝 2 关注私信	chixiaojie 9 楼这类技术贴碉堡了。 2019-2-7 15:23 0
二娃雪币： 6314 活跃值： (952) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 56 粉丝 3 关注私信	二娃 10 楼表哥牛批 2019-2-7 19:56 0
天水姜伯约雪币： 2605 活跃值： (5058) 能力值： ( LV9，RANK：225 ) 在线值：发帖 22 回帖 135 粉丝 190 关注私信	天水姜伯约 4 11 楼表哥（楼上都这么称呼，我也跟个风）安排得明明白白！最后于 2019-2-9 22:35 被天水姜伯约编辑，原因： 2019-2-9 22:34 0
yeyeshun 雪币： 739 活跃值： (3390) 能力值： ( LV7，RANK：140 ) 在线值：发帖 12 回帖 400 粉丝 15 关注私信	yeyeshun 2 12 楼真牛批！ 2019-2-11 10:52 0
五天雪币： 351 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 125 粉丝 0 关注私信	五天 13 楼楼主厉害了 2019-2-11 15:52 0
lhglhg 雪币： 221 活跃值： (2306) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 434 粉丝 3 关注私信	lhglhg 1 14 楼楼主厉害了 2019-2-11 20:50 0
囧囧雪币： 284 活跃值： (3579) 能力值： ( LV5，RANK：75 ) 在线值：发帖 69 回帖 337 粉丝 13 关注私信	囧囧 15 楼 Unicorn PE 666 2019-2-12 00:14 0
瀚海云烟雪币： 293 活跃值： (287) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 531 粉丝 1 关注私信	瀚海云烟 1 16 楼表哥牛的一批 2019-2-12 11:29 0
zx_348891 雪币： 73 活跃值： (923) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 257 粉丝 0 关注私信	zx_348891 17 楼看的迷迷糊糊的，Mark下，回头仔细看 2019-2-12 11:42 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 18 楼太溜了 2019-2-13 00:07 0
littlewisp 雪币： 5299 活跃值： (3689) 能力值： ( LV13，RANK：283 ) 在线值：发帖 62 回帖 559 粉丝 13 关注私信	littlewisp 2 19 楼学习了 2019-2-13 07:14 0
cmputer 雪币： 1266 活跃值： (1307) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 90 粉丝 1 关注私信	cmputer 20 楼大佬，你那个标题写着反汇编器的软件是啥啊？分享吗 2019-2-17 23:40 0
wonderzdh 雪币： 62 活跃值： (971) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 323 粉丝 5 关注私信	wonderzdh 1 22 楼我能在ImageNotify中dump sys的内存吗？ 2019-3-28 19:51 0
Lthis 雪币： 171 活跃值： (514) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 159 粉丝 5 关注私信	Lthis 1 23 楼 sudami 厉害[em_63] 我擦，惊现大米~~ 2019-11-20 13:23 0
木志本柯雪币： 4711 活跃值： (4224) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 363 粉丝 4 关注私信	木志本柯 24 楼 nb 膜拜大黄狗 2019-11-25 23:33 0
Oday小斯雪币： 1129 活跃值： (2731) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 143 粉丝 3 关注私信	Oday小斯 25 楼这是真的牛皮 2019-12-3 09:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

hzqst

发帖

1793

回帖

280

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (30) 1 2 ▶
FANTASYING 雪币： 2435 活跃值： (725) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 148 粉丝 6 关注私信	FANTASYING 2 楼表哥安排！ 2019-2-7 11:23 0
blindtiger 雪币： 5734 活跃值： (1737) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 231 粉丝 99 关注私信	blindtiger 1 3 楼表哥牛批 2019-2-7 11:31 0
romobin 雪币： 7921 活跃值： (4659) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 235 粉丝 44 关注私信	romobin 4 楼高深莫测，此贴必火 2019-2-7 12:46 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 5 楼厉害 2019-2-7 13:10 0
bxb 雪币： 1085 活跃值： (250) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 1 关注私信	bxb 6 楼大过年的，不好好过年非要研究代码，表哥新年快乐！ 2019-2-7 13:19 0
taizhong 雪币： 123 活跃值： (316) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 158 粉丝 4 关注私信	taizhong 7 楼大表哥你好,大表哥再见 ,看不懂 2019-2-7 13:24 0
sxpp 雪币： 231 活跃值： (2631) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 343 粉丝 4 关注私信	sxpp 1 8 楼牛b 2019-2-7 14:00 0
chixiaojie 雪币： 3277 活跃值： (1992) 能力值： ( LV2，RANK：10 ) 在线值：发帖 91 回帖 1358 粉丝 2 关注私信	chixiaojie 9 楼这类技术贴碉堡了。 2019-2-7 15:23 0
二娃雪币： 6314 活跃值： (952) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 56 粉丝 3 关注私信	二娃 10 楼表哥牛批 2019-2-7 19:56 0
天水姜伯约雪币： 2605 活跃值： (5058) 能力值： ( LV9，RANK：225 ) 在线值：发帖 22 回帖 135 粉丝 190 关注私信	天水姜伯约 4 11 楼表哥（楼上都这么称呼，我也跟个风）安排得明明白白！最后于 2019-2-9 22:35 被天水姜伯约编辑，原因： 2019-2-9 22:34 0
yeyeshun 雪币： 739 活跃值： (3390) 能力值： ( LV7，RANK：140 ) 在线值：发帖 12 回帖 400 粉丝 15 关注私信	yeyeshun 2 12 楼真牛批！ 2019-2-11 10:52 0
五天雪币： 351 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 125 粉丝 0 关注私信	五天 13 楼楼主厉害了 2019-2-11 15:52 0
lhglhg 雪币： 221 活跃值： (2306) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 434 粉丝 3 关注私信	lhglhg 1 14 楼楼主厉害了 2019-2-11 20:50 0
囧囧雪币： 284 活跃值： (3579) 能力值： ( LV5，RANK：75 ) 在线值：发帖 69 回帖 337 粉丝 13 关注私信	囧囧 15 楼 Unicorn PE 666 2019-2-12 00:14 0
瀚海云烟雪币： 293 活跃值： (287) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 531 粉丝 1 关注私信	瀚海云烟 1 16 楼表哥牛的一批 2019-2-12 11:29 0
zx_348891 雪币： 73 活跃值： (923) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 257 粉丝 0 关注私信	zx_348891 17 楼看的迷迷糊糊的，Mark下，回头仔细看 2019-2-12 11:42 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 18 楼太溜了 2019-2-13 00:07 0
littlewisp 雪币： 5299 活跃值： (3689) 能力值： ( LV13，RANK：283 ) 在线值：发帖 62 回帖 559 粉丝 13 关注私信	littlewisp 2 19 楼学习了 2019-2-13 07:14 0
cmputer 雪币： 1266 活跃值： (1307) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 90 粉丝 1 关注私信	cmputer 20 楼大佬，你那个标题写着反汇编器的软件是啥啊？分享吗 2019-2-17 23:40 0
wonderzdh 雪币： 62 活跃值： (971) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 323 粉丝 5 关注私信	wonderzdh 1 22 楼我能在ImageNotify中dump sys的内存吗？ 2019-3-28 19:51 0
Lthis 雪币： 171 活跃值： (514) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 159 粉丝 5 关注私信	Lthis 1 23 楼 sudami 厉害[em_63] 我擦，惊现大米~~ 2019-11-20 13:23 0
木志本柯雪币： 4711 活跃值： (4224) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 363 粉丝 4 关注私信	木志本柯 24 楼 nb 膜拜大黄狗 2019-11-25 23:33 0
Oday小斯雪币： 1129 活跃值： (2731) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 143 粉丝 3 关注私信	Oday小斯 25 楼这是真的牛皮 2019-12-3 09:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复