[原创]抹掉所有进程中自己的Handle-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]抹掉所有进程中自己的Handle

发表于: 2008-8-7 23:42 22500

[原创]抹掉所有进程中自己的Handle

achillis

2008-8-7 23:42

22500

之前听过一个检测进程的想法，就是暴力枚举所有进程中的handle,查找其中类型为PROCESS的．
此法也被炉子牛用于他的LzOpenProcess()．
下面我就写了一断代码来对抗这个方法，纯属小伎俩，写写练手，牛牛们飘过～
严格说，此段代码不算原创，是从某rootkit的bin中扒出来的，因此基本保留其原貌，经我修改测试，主要函数如下：
void CloseAllmyHandles()
{

  HANDLE hCurProcess,hSouceProcessHandle,hTargetHandle;
  HANDLE hMyProcess=INVALID_HANDLE_VALUE,hMyThread=INVALID_HANDLE_VALUE;
  DWORD pid,nBufferLen=0x40000,nRetnLen=0;
  DWORD HandleCnt,NumberOfHandles;
  DWORD pMyProcessObject = 0,pMyThreadObject = 0,pObject;
  CLIENT_ID myCid,tmpCid;
  PVOID pBuffer = NULL;
  NTSTATUS status;
  OBJECT_ATTRIBUTES  ObjectAttributes;
  myCid.UniqueProcess =(HANDLE)my_GetProcessId();
  myCid.UniqueThread=(HANDLE)my_GetThreadId();
  InitializeObjectAttributes( &ObjectAttributes, NULL, 0, NULL, NULL );
  ZwOpenProcess(&hMyProcess, PROCESS_ALL_ACCESS, &ObjectAttributes, &myCid);
  ZwOpenThread(&hMyThread, PROCESS_ALL_ACCESS, &ObjectAttributes, &myCid);
  printf("hMyProcess:0x%08x\n",hMyProcess);
  printf("hMyThread :0x%08x\n",hMyThread);
  hCurProcess = GetCurrentProcess();
  status=ZwAllocateVirtualMemory(hCurProcess, &pBuffer, 0, &nBufferLen, MEM_COMMIT,PAGE_READWRITE);
  if (!NT_SUCCESS(status))
  {
printf("Alloc Memory failed.\n");
return;
  }
  printf("Alloced Buffer:0x%08X\n",pBuffer);
  ZwQuerySystemInformation(SystemHandleInformation, pBuffer, nBufferLen, &nRetnLen);// 16=SystemHandleInformation
  printf("Searching handles...\n");
  HandleCnt=*(DWORD *)pBuffer;
  printf("Handle Count:%d\n",HandleCnt);
  if (HandleCnt>1)
  {
NumberOfHandles=*(DWORD*)pBuffer;
pHandleInfo=(PSYSTEM_HANDLE_TABLE_ENTRY_INFO)((char*)pBuffer+sizeof(DWORD));
do
{
   //printf("HandleValue:0x%08X\n",pHandleInfo->HandleValue);
   if ( pHandleInfo->HandleValue==(USHORT)hMyThread )
{
      if (pHandleInfo->UniqueProcessId == (USHORT)myCid.UniqueProcess )
      {
      pMyThreadObject = *(DWORD*)&(pHandleInfo->Object);
      printf("Thread  finded\n");
      }
   }
   if (pHandleInfo->HandleValue==(USHORT)hMyProcess )
   {
      if (pHandleInfo->UniqueProcessId == (USHORT)myCid.UniqueProcess)
      {
      pMyProcessObject =*(DWORD*)&(pHandleInfo->Object);
      printf("Process finded\n");
      }
   }
   ++pHandleInfo;
   --NumberOfHandles;

}
while ( NumberOfHandles );
  }
  ZwClose(hMyThread);
  ZwClose(hMyProcess);
  printf("Found my object ok.\nBegin Search and Close...\n");
  NumberOfHandles=HandleCnt;
  if (HandleCnt>=1 )
  {
　　pHandleInfo=(PSYSTEM_HANDLE_TABLE_ENTRY_INFO)((char*)pBuffer+sizeof(DWORD));
do
{
   pObject = *(DWORD*)&(pHandleInfo->Object);

   if ( pMyProcessObject == pObject || pMyThreadObject == pObject )
   {
      printf("Found Handle=0x%08X OwnerPID=%4d\n",pHandleInfo->HandleValue,pHandleInfo->UniqueProcessId);
   tmpCid.UniqueProcess= (HANDLE)pHandleInfo->UniqueProcessId;
   tmpCid.UniqueThread=0;
   InitializeObjectAttributes(&ObjectAttributes, NULL, 0, NULL, NULL );
   status=ZwOpenProcess(&hSouceProcessHandle, PROCESS_DUP_HANDLE, &ObjectAttributes, &tmpCid);
      //PrintZwError("ZwOpenProcess",status);
      if (!status)
      {
status=ZwDuplicateObject(
         hSouceProcessHandle,
         (void*)pHandleInfo->HandleValue,
         hCurProcess,
         &hTargetHandle,
         0,
         0,
            DUPLICATE_CLOSE_SOURCE);

  if ( !status)
      {
         ZwClose(hTargetHandle);
         printf("Handle closed!\n");
      }
   //PrintZwError("ZwDuplicateObject",status);
      ZwClose(hSouceProcessHandle);
      }
   }
   ++pHandleInfo;
   --NumberOfHandles;
}
while ( NumberOfHandles );
  }
  ZwFreeVirtualMemory(hCurProcess, &pBuffer, &nBufferLen, MEM_RELEASE);
}

完整工程源码:

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

CloseAllMyHandles.rar （21.40kb，249次下载）

收藏・42

免费・7

支持

最新回复 (15)
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 2 楼沙发。好东西 2008-8-8 02:28 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 3 楼还没抹完啊.在诸如CSRSS中还有很多哦... 貌似在flowerCode的坛子里,有个VB小同学写过一个VB版的关CSRSS中的HANDLE,来防止炉子的LzOpenProcess,其实就是防dump嘛~ 原理都差不多.就是找到了就NtClose.呵呵呵. --------------------------------------------------- 谢谢楼主分享自己的学习成果 2008-8-8 07:57 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 4 楼不过你把自己的进程的句柄都关了,文件操作方面会有问题的哦... Gmer 中的一个函数CloseHandlesToDeleteFile,就是gmer_ZwQuerySystemInformation后一阵MmIsAddressValid,搜索相关的进程句柄,再关掉... 2008-8-8 08:03 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 5 楼恩，原理是一样的。我是枚举了系统中的所有句柄啊，包括了Csrss.exe中的，输出句柄所有者的pid中就有Csrss 2008-8-8 08:05 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 6 楼用windbg逆了下NtClose的全过程,太多的地方可以做手脚,突然发现一个很隐蔽的地方,可以防止一切ARK关你的句柄,无论是想关你的进程,还是想删你的文件,都会failed. 属于MJ提到过的 Object hook,哈哈,立马试验一下... 2008-8-8 08:52 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 7 楼 Object hook确实好啊，什么句柄到了下面不都是对应于Object 2008-8-8 09:35 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 8 楼一会儿放出来，先玩游戏。。。 Object hook其实就是替换函数，只是检测起来很隐蔽。嘿嘿 2008-8-8 09:47 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 9 楼和PsVoid中使用的方法差不多。楼主做得不错。 Ps：“flowerCode的坛子”即bbs.0GiNr.com 2008-8-8 09:58 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 55 关注私信	combojiang 26 10 楼 good.. 2008-8-8 18:53 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 11 楼还有一个方法， NTSTATUS ObDuplicateObject ( IN PEPROCESS SourceProcess, IN HANDLE SourceHandle, IN PEPROCESS TargetProcess OPTIONAL, OUT PHANDLE TargetHandle OPTIONAL, IN ACCESS_MASK DesiredAccess, IN ULONG HandleAttributes, IN ULONG Options, IN KPROCESSOR_MODE PreviousMode ) Options 存在 DUPLICATE_CLOSE_SOURCE 参数. 2008-8-9 08:27 0
nevergone 雪币： 63 活跃值： (17) 能力值： ( LV8，RANK：130 ) 在线值：发帖 5 回帖 270 粉丝 0 关注私信	nevergone 3 12 楼感觉没有必要用Native API 直接用r3就行了找csrss.exe进程句柄 2008-8-9 08:53 0
vcfan 雪币： 109 活跃值： (11) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	vcfan 1 13 楼学习中....... 2008-8-10 02:46 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 14 楼等你Release 2008-8-10 15:55 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 15 楼已经release了啊。在那个什么“『软件调试论坛』” 2008-8-10 16:43 0
yamu 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 143 粉丝 0 关注私信	yamu 16 楼收藏了来留言对lz的辛苦表示感谢 2008-9-23 14:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

achillis

发帖

2032

回帖

610

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (15)
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 2 楼沙发。好东西 2008-8-8 02:28 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 3 楼还没抹完啊.在诸如CSRSS中还有很多哦... 貌似在flowerCode的坛子里,有个VB小同学写过一个VB版的关CSRSS中的HANDLE,来防止炉子的LzOpenProcess,其实就是防dump嘛~ 原理都差不多.就是找到了就NtClose.呵呵呵. --------------------------------------------------- 谢谢楼主分享自己的学习成果 2008-8-8 07:57 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 4 楼不过你把自己的进程的句柄都关了,文件操作方面会有问题的哦... Gmer 中的一个函数CloseHandlesToDeleteFile,就是gmer_ZwQuerySystemInformation后一阵MmIsAddressValid,搜索相关的进程句柄,再关掉... 2008-8-8 08:03 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 5 楼恩，原理是一样的。我是枚举了系统中的所有句柄啊，包括了Csrss.exe中的，输出句柄所有者的pid中就有Csrss 2008-8-8 08:05 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 6 楼用windbg逆了下NtClose的全过程,太多的地方可以做手脚,突然发现一个很隐蔽的地方,可以防止一切ARK关你的句柄,无论是想关你的进程,还是想删你的文件,都会failed. 属于MJ提到过的 Object hook,哈哈,立马试验一下... 2008-8-8 08:52 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 7 楼 Object hook确实好啊，什么句柄到了下面不都是对应于Object 2008-8-8 09:35 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 8 楼一会儿放出来，先玩游戏。。。 Object hook其实就是替换函数，只是检测起来很隐蔽。嘿嘿 2008-8-8 09:47 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 9 楼和PsVoid中使用的方法差不多。楼主做得不错。 Ps：“flowerCode的坛子”即bbs.0GiNr.com 2008-8-8 09:58 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 55 关注私信	combojiang 26 10 楼 good.. 2008-8-8 18:53 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 11 楼还有一个方法， NTSTATUS ObDuplicateObject ( IN PEPROCESS SourceProcess, IN HANDLE SourceHandle, IN PEPROCESS TargetProcess OPTIONAL, OUT PHANDLE TargetHandle OPTIONAL, IN ACCESS_MASK DesiredAccess, IN ULONG HandleAttributes, IN ULONG Options, IN KPROCESSOR_MODE PreviousMode ) Options 存在 DUPLICATE_CLOSE_SOURCE 参数. 2008-8-9 08:27 0
nevergone 雪币： 63 活跃值： (17) 能力值： ( LV8，RANK：130 ) 在线值：发帖 5 回帖 270 粉丝 0 关注私信	nevergone 3 12 楼感觉没有必要用Native API 直接用r3就行了找csrss.exe进程句柄 2008-8-9 08:53 0
vcfan 雪币： 109 活跃值： (11) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	vcfan 1 13 楼学习中....... 2008-8-10 02:46 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 14 楼等你Release 2008-8-10 15:55 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 15 楼已经release了啊。在那个什么“『软件调试论坛』” 2008-8-10 16:43 0
yamu 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 143 粉丝 0 关注私信	yamu 16 楼收藏了来留言对lz的辛苦表示感谢 2008-9-23 14:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复