[原创]迅雷在win10x64上的services进程注入-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]迅雷在win10x64上的services进程注入

发表于: 2019-3-26 11:07 10355

[原创]迅雷在win10x64上的services进程注入

TechForBad 活跃值

2019-3-26 11:07

10355

这几天分析了一下迅雷在win10x64的上开机启动阶段的services进程注入方法。

注入流程在驱动模块XLGuard.sys中，它会在System阶段启动，一开始，注入流程很正常:

(1)创建模块加载回调

(2)在进程名为services.exe并且模块名为ntdll.dll时构建一段shellcode

(3)在ntdll!LdrLoadDll处写入一个内联hook

(4)内联hook会跳转到shellcode处执行，但这段shellcode的执行流程很简单，就只是调用了LdrLoadDll加载一下迅雷注入services进程的dll，其他什么都没有做。

注入流程在驱动模块XLGuard.sys中，它会在System阶段启动，一开始，注入流程很正常:

(1)创建模块加载回调

(2)在进程名为services.exe并且模块名为ntdll.dll时构建一段shellcode

(3)在ntdll!LdrLoadDll处写入一个内联hook

(4)内联hook会跳转到shellcode处执行，但这段shellcode的执行流程很简单，就只是调用了LdrLoadDll加载一下迅雷注入services进程的dll，其他什么都没有做。

那么问题就来了，win10x64上会对services进程加载的dll进行签名校验，直接调用LdrLoadDll一定会失败，那它的dll是如何躲过签名校验的？后来我发现这么一段代码:

它利用了EPROCESS中SectionSignatureLevel可以控制是否对dll进行签名校验，将它修改为0就可以躲过签名校验。

登录后可查看完整内容

[峰会]看雪.第八届安全开发者峰会10月23日上海龙之梦大酒店举办！

#调试逆向

上传的附件：

ThunderInjectServices.7z （4.22MB，86次下载）

收藏・21

免费・1

支持

最新回复 (19)
sylingyy 雪币： 1736 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 48 粉丝 1 关注私信	sylingyy 2 楼 PG保护这？想多了。。可以去看下BB的去注入保护的处理。 2019-3-26 11:24 0
Justgoon 雪币： 434 活跃值： (956) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 49 粉丝 51 关注私信	Justgoon 1 3 楼这样做被微软发现了会吊销你的签名吧 2019-3-26 13:01 0
TechForBad 雪币： 4094 活跃值： (4144) 能力值： ( LV5，RANK：60 ) 在线值：发帖 18 回帖 157 粉丝 63 关注私信	TechForBad 4 楼 Justgoon 这样做被微软发现了会吊销你的签名吧可他就是这么做的呀...... 2019-3-26 13:07 0
MaMy 雪币： 12 活跃值： (418) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 5 楼错了，确实pg会扫最后于 2019-3-26 20:43 被MaMy编辑，原因： 2019-3-26 13:42 0
xiaofuy 雪币： 163 活跃值： (103) 能力值： ( LV5，RANK：70 ) 在线值：发帖 24 回帖 218 粉丝 4 关注私信	xiaofuy 6 楼 SectionSignatureLevel会不会PG不清楚，但下面那个Protection 100%会PG，踩过坑了 2019-3-26 17:48 0
TechForBad 雪币： 4094 活跃值： (4144) 能力值： ( LV5，RANK：60 ) 在线值：发帖 18 回帖 157 粉丝 63 关注私信	TechForBad 7 楼 xiaofuy SectionSignatureLevel会不会PG不清楚，但下面那个Protection 100%会PG，踩过坑了请问你说的是什么Protection? 2019-3-26 17:52 0
xiaofuy 雪币： 163 活跃值： (103) 能力值： ( LV5，RANK：70 ) 在线值：发帖 24 回帖 218 粉丝 4 关注私信	xiaofuy 8 楼 +6ca 最后于 2019-3-26 17:56 被xiaofuy编辑，原因： 2019-3-26 17:55 0
TechForBad 雪币： 4094 活跃值： (4144) 能力值： ( LV5，RANK：60 ) 在线值：发帖 18 回帖 157 粉丝 63 关注私信	TechForBad 9 楼 xiaofuy +6ca 好吧，你说的是另一个问题，Protection成员修改了会触发PG，那SectionSignatureLevel应该也会触发才对 2019-3-26 17:58 0
MaMy 雪币： 12 活跃值： (418) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 10 楼 services还好吧，edge其实才是难注的， ps services 只有umci 没有acg保护？？？就是那个动态代码block 分配内存返回604那个 umci好说打个whql签名dll就射进去了 acg才是要命... 最后于 2019-3-26 20:53 被MaMy编辑，原因： 2019-3-26 20:29 0
sylingyy 雪币： 1736 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 48 粉丝 1 关注私信	sylingyy 11 楼 services.exe修改了N久了没问题signature protect EProcessFlags都改了。难注怕是你没有清理完各种控制，IFEO了解下，缓冲区shellcode执行不了的DisableDynamicCode了解一下。 2019-3-27 09:36 0
MaMy 雪币： 12 活跃值： (418) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 12 楼 sylingyy services.exe修改了N久了没问题signature protect EProcessFlags都改了。难注怕是你没有清理完各种控制，IFEO了解下，缓冲区shellco ... DisableDynamicCode 啥玩意 2019-3-27 10:33 0
TechForBad 雪币： 4094 活跃值： (4144) 能力值： ( LV5，RANK：60 ) 在线值：发帖 18 回帖 157 粉丝 63 关注私信	TechForBad 13 楼 MaMy 错了，确实pg会扫那他为什么会这样做？ 2019-3-27 11:43 0
MaMy 雪币： 12 活跃值： (418) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 14 楼昵称好麻烦那他为什么会这样做？试了下改了protection上一共3个flags 半个小时也没蓝..到底扫么，我也纳闷了。。 2019-3-27 18:36 0
TechForBad 雪币： 4094 活跃值： (4144) 能力值： ( LV5，RANK：60 ) 在线值：发帖 18 回帖 157 粉丝 63 关注私信	TechForBad 15 楼 MaMy 试了下改了protection上一共3个flags 半个小时也没蓝..到底扫么，我也纳闷了。。所以这个标志位，PatchGuard到底检不检查......我也怀疑了 2019-3-27 22:58 0
放学打我不雪币： 4006 活跃值： (676) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 87 粉丝 16 关注私信	放学打我不 1 16 楼检查个腿子,那创建进程就不能指定protect_process了？那留这个干啥子哦 2019-4-4 11:29 0
TechForBad 雪币： 4094 活跃值： (4144) 能力值： ( LV5，RANK：60 ) 在线值：发帖 18 回帖 157 粉丝 63 关注私信	TechForBad 17 楼放学打我不检查个腿子,那创建进程就不能指定protect_process了？那留这个干啥子哦可能是仅针对于services等系统进程的检查，不是每个进程都可以这么搞 2019-4-4 13:05 0
放学打我不雪币： 4006 活跃值： (676) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 87 粉丝 16 关注私信	放学打我不 1 18 楼 MaMy DisableDynamicCode 啥玩意这个东西可以限制申请内存 2019-4-5 22:16 0
wumnkx 雪币： 137 活跃值： (1548) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 109 粉丝 6 关注私信	wumnkx 19 楼 services.exe实际上还是r3层的东西，想蓝屏除非碰瓷 2019-4-9 14:47 0
saloyun 雪币： 335 活跃值： (2568) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 235 粉丝 1 关注私信	saloyun 20 楼麦咖啡,火绒都是这样注入的吧... 不过不清理一下就有点过分了. 2019-4-10 21:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

TechForBad

发帖

157

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
sylingyy 雪币： 1736 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 48 粉丝 1 关注私信	sylingyy 2 楼 PG保护这？想多了。。可以去看下BB的去注入保护的处理。 2019-3-26 11:24 0
Justgoon 雪币： 434 活跃值： (956) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 49 粉丝 51 关注私信	Justgoon 1 3 楼这样做被微软发现了会吊销你的签名吧 2019-3-26 13:01 0
TechForBad 雪币： 4094 活跃值： (4144) 能力值： ( LV5，RANK：60 ) 在线值：发帖 18 回帖 157 粉丝 63 关注私信	TechForBad 4 楼 Justgoon 这样做被微软发现了会吊销你的签名吧可他就是这么做的呀...... 2019-3-26 13:07 0
MaMy 雪币： 12 活跃值： (418) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 5 楼错了，确实pg会扫最后于 2019-3-26 20:43 被MaMy编辑，原因： 2019-3-26 13:42 0
xiaofuy 雪币： 163 活跃值： (103) 能力值： ( LV5，RANK：70 ) 在线值：发帖 24 回帖 218 粉丝 4 关注私信	xiaofuy 6 楼 SectionSignatureLevel会不会PG不清楚，但下面那个Protection 100%会PG，踩过坑了 2019-3-26 17:48 0
TechForBad 雪币： 4094 活跃值： (4144) 能力值： ( LV5，RANK：60 ) 在线值：发帖 18 回帖 157 粉丝 63 关注私信	TechForBad 7 楼 xiaofuy SectionSignatureLevel会不会PG不清楚，但下面那个Protection 100%会PG，踩过坑了请问你说的是什么Protection? 2019-3-26 17:52 0
xiaofuy 雪币： 163 活跃值： (103) 能力值： ( LV5，RANK：70 ) 在线值：发帖 24 回帖 218 粉丝 4 关注私信	xiaofuy 8 楼 +6ca 最后于 2019-3-26 17:56 被xiaofuy编辑，原因： 2019-3-26 17:55 0
TechForBad 雪币： 4094 活跃值： (4144) 能力值： ( LV5，RANK：60 ) 在线值：发帖 18 回帖 157 粉丝 63 关注私信	TechForBad 9 楼 xiaofuy +6ca 好吧，你说的是另一个问题，Protection成员修改了会触发PG，那SectionSignatureLevel应该也会触发才对 2019-3-26 17:58 0
MaMy 雪币： 12 活跃值： (418) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 10 楼 services还好吧，edge其实才是难注的， ps services 只有umci 没有acg保护？？？就是那个动态代码block 分配内存返回604那个 umci好说打个whql签名dll就射进去了 acg才是要命... 最后于 2019-3-26 20:53 被MaMy编辑，原因： 2019-3-26 20:29 0
sylingyy 雪币： 1736 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 48 粉丝 1 关注私信	sylingyy 11 楼 services.exe修改了N久了没问题signature protect EProcessFlags都改了。难注怕是你没有清理完各种控制，IFEO了解下，缓冲区shellcode执行不了的DisableDynamicCode了解一下。 2019-3-27 09:36 0
MaMy 雪币： 12 活跃值： (418) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 12 楼 sylingyy services.exe修改了N久了没问题signature protect EProcessFlags都改了。难注怕是你没有清理完各种控制，IFEO了解下，缓冲区shellco ... DisableDynamicCode 啥玩意 2019-3-27 10:33 0
TechForBad 雪币： 4094 活跃值： (4144) 能力值： ( LV5，RANK：60 ) 在线值：发帖 18 回帖 157 粉丝 63 关注私信	TechForBad 13 楼 MaMy 错了，确实pg会扫那他为什么会这样做？ 2019-3-27 11:43 0
MaMy 雪币： 12 活跃值： (418) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 14 楼昵称好麻烦那他为什么会这样做？试了下改了protection上一共3个flags 半个小时也没蓝..到底扫么，我也纳闷了。。 2019-3-27 18:36 0
TechForBad 雪币： 4094 活跃值： (4144) 能力值： ( LV5，RANK：60 ) 在线值：发帖 18 回帖 157 粉丝 63 关注私信	TechForBad 15 楼 MaMy 试了下改了protection上一共3个flags 半个小时也没蓝..到底扫么，我也纳闷了。。所以这个标志位，PatchGuard到底检不检查......我也怀疑了 2019-3-27 22:58 0
放学打我不雪币： 4006 活跃值： (676) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 87 粉丝 16 关注私信	放学打我不 1 16 楼检查个腿子,那创建进程就不能指定protect_process了？那留这个干啥子哦 2019-4-4 11:29 0
TechForBad 雪币： 4094 活跃值： (4144) 能力值： ( LV5，RANK：60 ) 在线值：发帖 18 回帖 157 粉丝 63 关注私信	TechForBad 17 楼放学打我不检查个腿子,那创建进程就不能指定protect_process了？那留这个干啥子哦可能是仅针对于services等系统进程的检查，不是每个进程都可以这么搞 2019-4-4 13:05 0
放学打我不雪币： 4006 活跃值： (676) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 87 粉丝 16 关注私信	放学打我不 1 18 楼 MaMy DisableDynamicCode 啥玩意这个东西可以限制申请内存 2019-4-5 22:16 0
wumnkx 雪币： 137 活跃值： (1548) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 109 粉丝 6 关注私信	wumnkx 19 楼 services.exe实际上还是r3层的东西，想蓝屏除非碰瓷 2019-4-9 14:47 0
saloyun 雪币： 335 活跃值： (2568) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 235 粉丝 1 关注私信	saloyun 20 楼麦咖啡,火绒都是这样注入的吧... 不过不清理一下就有点过分了. 2019-4-10 21:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复