[原创]inline hook SSDT 躲避 Themida 的ThreadHideFromDebugger （学习笔记2）-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]inline hook SSDT 躲避 Themida 的ThreadHideFromDebugger （学习笔记2）

发表于: 2008-12-10 15:31 12518

[原创]inline hook SSDT 躲避 Themida 的ThreadHideFromDebugger （学习笔记2）

bzhkl

2008-12-10 15:31

12518

Themida保护的程序会采用ThreadHideFromDebugger来反调试，这个一旦设置，就一直起效，所以对于需要附加的程序就不太好办了，或者有的程序直接调用 int 2e来反调试, 虽然有插件比如 invisible可以躲过，但是需要附加进行调试的程序就不起作用了。

比如我以前写的一个反调试函数

void anti()
{

/////////////////////////////////////////////////////////////////////////////////////////////
/////////////////////////////////////////////////////////////////////////////////////
//NtSetInformationThread 功能设置调试端口为0
//
//
//

::GetCurrentThread();
_asm                                                             // xp系统
{
push 0                   //InformationLength
push 0                   //ThreadInformation
push 0x11             //11 就是ThreadHideFromDebugger
push eax                //当前线程句柄
mov eax, 0xe5       //EAX  NtSetInformationThread调用号
mov edx, esp          //EDX  当前堆栈放
int 0x2e
add esp, 0x10
}

::GetCurrentThread();
_asm                                                             // 2000系统
{
push 0
push 0
push 0x11
push eax
mov eax, 0xc6
mov edx, esp
int 0x2e
add esp, 0x10
}
}

为了躲避上面的ANTI       HOOK ssdt是个不错的方法
  下面的原理就是HOOK SSDT 原理是我学习笔记1中的原理，不过HOOK单元改了下，ring3的拿到RING0要改下= =
   HOOK SSDT 分5步

第一步申请一个全局变量用来存放被破坏的指令
第二步声明一个类型用来强制转换调用自己的 POldNtWriteProcessMemroy
第三步自己的函数
第四步安装HOOK
第五部卸载HOOK
其中起关键作用的是下面的代理函数
NTSTATUS __stdcall                         //第三步自己的函数
MyNtSetInformationThread(
   IN HANDLE ThreadHandle,
   IN THREADINFOCLASS ThreadInformationClass,
   IN PVOID ThreadInformation,
   IN ULONG ThreadInformationLength
   )
{
if(ThreadInformationClass == 0x11)
{
DbgPrint("发现 ANTI DEBUG 行为");

DbgPrint("NtSetInformationThread 参数 %8x %8x %8x %8x ", ThreadHandle, ThreadInformationClass, ThreadInformationClass, ThreadInformationLength); //  打印出参数
ThreadInformationClass = (THREADINFOCLASS)0xff;

DbgPrint("参数被我改过后是 %8x %8x %8x %8x ", ThreadHandle, ThreadInformationClass, ThreadInformationClass, ThreadInformationLength);

return STATUS_SUCCESS;    //直接返回成功  这样ANTI就失效了
}

         //强制转换成函数的形式
return ((SYSNTSETINFORMATIIONTHREAD)OldNtSetInformationThread)(  //  放行
ThreadHandle,
ThreadInformationClass,
ThreadInformation,
ThreadInformationLength
);
}

下面是全部的代码附件中也包含完成的代码
SYS加载有  你只要调用下 anti这个函数代理函数就会输出参数并且改变参数
void * OldNtSetInformationThread;;                      //第一步申请一个全局变量用来存放被破坏的指令

//NtSetInformationThread
typedef NTSTATUS (__stdcall *SYSNTSETINFORMATIIONTHREAD) //第二步声明一个类型用来强制转换调用自己的 POldNtWriteProcessMemroy
(
IN HANDLE ThreadHandle,
IN THREADINFOCLASS ThreadInformationClass,
IN PVOID ThreadInformation,
IN ULONG ThreadInformationLength
);

NTSTATUS __stdcall                         //第三步自己的函数
MyNtSetInformationThread(
   IN HANDLE ThreadHandle,
   IN THREADINFOCLASS ThreadInformationClass,
   IN PVOID ThreadInformation,
   IN ULONG ThreadInformationLength
   )
{
if(ThreadInformationClass == 0x11)
{
DbgPrint("发现 ANTI DEBUG 行为");

DbgPrint("NtSetInformationThread 参数 %8x %8x %8x %8x ", ThreadHandle, ThreadInformationClass, ThreadInformationClass, ThreadInformationLength); //证明自己存在

ThreadInformationClass = (THREADINFOCLASS)0xff;

DbgPrint("参数被我改过后是 %8x %8x %8x %8x ", ThreadHandle, ThreadInformationClass, ThreadInformationClass, ThreadInformationLength); //证明自己存在

return STATUS_SUCCESS;    //直接返回成功
}

         //强制转换成函数的形式
return ((SYSNTSETINFORMATIIONTHREAD)OldNtSetInformationThread)(  //  放行
ThreadHandle,
ThreadInformationClass,
ThreadInformation,
ThreadInformationLength
);
}

ULONG AddrNtSetInformationThread;
VOID OnUnload(IN PDRIVER_OBJECT DriverObject);
// 驱动程序加载时调用DriverEntry例程
NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObj, PUNICODE_STRING pRegistryString)
{

  DbgPrint("Hook NtSetInformationThread DriverEntry");
  pDriverObj->DriverUnload = OnUnload;

  AddrNtSetInformationThread = *PULONG((ULONG)KeServiceDescriptorTable->ServiceTable + 0xe5 * 4);
  AfxHookCode((void*)AddrNtSetInformationThread, (void*)MyNtSetInformationThread, (void**)&OldNtSetInformationThread,  10);  //第四步 AFXHOOK

// if(驱动加载失败)
//    一定要 AfxUnHookCode  不然驱动加载失败自己分配的内存代码也就失效了系统经过这个SSDT也就蓝了
  return STATUS_SUCCESS;
}

//////////////////////////////////////////////////////
VOID OnUnload(IN PDRIVER_OBJECT DriverObject)
{
AfxUnHookCode((void*)AddrNtSetInformationThread, OldNtSetInformationThread,  10);  //第五部卸载  驱动卸载一定要还原HOOK 因为驱动卸载了，自己分配的内存也就失效了  所以自己的POldNtWriteProcessMemroy 指向的代码也就没了
DbgPrint("Unload Hook NtSetInformationThread");
}

下面是RING 0 HOOK 模块
#ifndef __AFXHOOKCODE_H__
#define __AFXHOOKCODE_H__

bool AfxHookCode(void* TargetProc, void* NewProc,void ** l_OldProc, int bytescopy = 5)
{
*l_OldProc =  ExAllocatePool(NonPagedPool,(bytescopy+5));       // 执行被覆盖的指令再跳到原来的代码上运行

memcpy(*l_OldProc, TargetProc, bytescopy);          // 事先保存被破坏的指令

__asm{
cli
mov  eax,cr0
and  eax,not 10000h
mov  cr0,eax
  }

   // 我的内存的代码执行完跳到原来的代码+破坏的代码的长度上去
*((unsigned char*)(*l_OldProc) + bytescopy) = 0xe9;

                     // 我内存代码跳到原来代码上的偏移
*(unsigned int *)((unsigned char*)(*l_OldProc) +bytescopy + 1)=(unsigned int)(TargetProc) + bytescopy - ( (unsigned int)((*l_OldProc)) + 5 + bytescopy ) ;

      //被HOOK的函数头改为jmp
*(unsigned char*)TargetProc =(unsigned char)0xe9;

   //被HOOK的地方跳到我的新过程接受过滤
*(unsigned int*)((unsigned int)TargetProc +1) = (unsigned int)NewProc - ( (unsigned int)TargetProc + 5);

  __asm{
mov  eax,cr0
or  eax,10000h
mov  cr0,eax
sti
  }
return true;
}

bool AfxUnHookCode(void* TargetAddress, void * l_SavedCode, unsigned int len)
{

  __asm{
cli
mov  eax,cr0
and  eax,not 10000h
mov  cr0,eax
  }

  // 恢复HOOK
memcpy(TargetAddress, l_SavedCode, len);

  __asm{
mov  eax,cr0
or  eax,10000h
mov  cr0,eax
sti
  }

   return true;
}

#endif

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

Inline Hook SSDT.rar （45.02kb，278次下载）

收藏・21

免费・7

支持

最新回复 (10)
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 2 楼我又是沙发~~呵呵，顶~~~ 2008-12-10 16:53 0
xiongyifly 雪币： 55 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 32 粉丝 0 关注私信	xiongyifly 3 楼这也算inline Hook 吗？？？ 2008-12-11 15:33 0
yulewanglu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 45 粉丝 0 关注私信	yulewanglu 4 楼不错不错 TMD就是强大 2008-12-11 17:55 0
梧桐雪币： 236 活跃值： (13) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 21 粉丝 0 关注私信	梧桐 1 5 楼毁灭掉一切证据～ 2008-12-11 17:59 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 6 楼太挫了，下面代码直接绕过你的ANTI-ANTI DEBUG st = ObReferenceObjectByHandle (ThreadHandle, THREAD_SET_INFORMATION, PsThreadType, PreviousMode, &Thread, NULL); if (!NT_SUCCESS (st)) { return st; } PS_SET_BITS (&Thread->CrossThreadFlags, PS_CROSS_THREAD_FLAGS_HIDEFROMDBG); ObDereferenceObject (Thread); 2008-12-11 18:02 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 7 楼又学到一招。现在才知道PS_CROSS_THREAD_FLAGS_HIDEFROMDBG可以用来对调试者隐藏线程。 MJ怎么发现的PS_CROSS_THREAD_FLAGS_HIDEFROMDBG？WRK那么大，能注意到这真不容易~~ 那是不是得hook ObReferenceObjectByHandle ，禁止设置 CrossThreadFlags了？ 2008-12-11 19:02 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 8 楼 thread object可以用PsLookupThreadByThreadId法得到再给你出个狠招~ Set : ProcessObject->DebugObject->Flags DEBUG_OBJECT_DELETE_PENDING 哈哈，让他Queue Debug Message不成功~ 2008-12-11 20:07 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 9 楼 #define DEBUG_OBJECT_DELETE_PENDING (0x1) // Debug object is delete pending. 这招够黑~~我也赶快去好好读读wrk。里面的信息太多了，以前直接忽视掉…… 2008-12-11 21:00 0
crazybug 雪币： 12 活跃值： (605) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 112 粉丝 0 关注私信	crazybug 2 10 楼都用驱动了，没什么干不了的，还在这块搞来搞去什么攻防，只能说是想象力枯竭～总之很挫 2008-12-12 10:13 0
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 4 关注私信	bujin888 4 11 楼不知道能不能对付vm1.7反调试附加 2008-12-13 07:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

bzhkl

发帖

403

回帖

240

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (10)
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 2 楼我又是沙发~~呵呵，顶~~~ 2008-12-10 16:53 0
xiongyifly 雪币： 55 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 32 粉丝 0 关注私信	xiongyifly 3 楼这也算inline Hook 吗？？？ 2008-12-11 15:33 0
yulewanglu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 45 粉丝 0 关注私信	yulewanglu 4 楼不错不错 TMD就是强大 2008-12-11 17:55 0
梧桐雪币： 236 活跃值： (13) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 21 粉丝 0 关注私信	梧桐 1 5 楼毁灭掉一切证据～ 2008-12-11 17:59 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 6 楼太挫了，下面代码直接绕过你的ANTI-ANTI DEBUG st = ObReferenceObjectByHandle (ThreadHandle, THREAD_SET_INFORMATION, PsThreadType, PreviousMode, &Thread, NULL); if (!NT_SUCCESS (st)) { return st; } PS_SET_BITS (&Thread->CrossThreadFlags, PS_CROSS_THREAD_FLAGS_HIDEFROMDBG); ObDereferenceObject (Thread); 2008-12-11 18:02 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 7 楼又学到一招。现在才知道PS_CROSS_THREAD_FLAGS_HIDEFROMDBG可以用来对调试者隐藏线程。 MJ怎么发现的PS_CROSS_THREAD_FLAGS_HIDEFROMDBG？WRK那么大，能注意到这真不容易~~ 那是不是得hook ObReferenceObjectByHandle ，禁止设置 CrossThreadFlags了？ 2008-12-11 19:02 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 8 楼 thread object可以用PsLookupThreadByThreadId法得到再给你出个狠招~ Set : ProcessObject->DebugObject->Flags DEBUG_OBJECT_DELETE_PENDING 哈哈，让他Queue Debug Message不成功~ 2008-12-11 20:07 0
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 9 楼 #define DEBUG_OBJECT_DELETE_PENDING (0x1) // Debug object is delete pending. 这招够黑~~我也赶快去好好读读wrk。里面的信息太多了，以前直接忽视掉…… 2008-12-11 21:00 0
crazybug 雪币： 12 活跃值： (605) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 112 粉丝 0 关注私信	crazybug 2 10 楼都用驱动了，没什么干不了的，还在这块搞来搞去什么攻防，只能说是想象力枯竭～总之很挫 2008-12-12 10:13 0
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 4 关注私信	bujin888 4 11 楼不知道能不能对付vm1.7反调试附加 2008-12-13 07:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复