[原创]Hide your DebugPort in ring0-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]Hide your DebugPort in ring0

发表于: 2009-1-26 11:00 67161

[原创]Hide your DebugPort in ring0

wowelf

2009-1-26 11:00

67161

一个程序被ring3调试器调试时，有很多的调试特征可以检测，本论坛也有专门的帖子详细论述，但有个非常根本的标志ring3也是可以检测的比较少人提及，那就是_EPROCESS.DebugPort。DebugPort对于ring3调试器来说非常重要，没有它正常的ring3调试是无法进行的。当然要检测这个标志的前提是程序能够读取ring0内存，在XP以上的系统有个非常简单的方法就是使用ZwSystemDebugControl的SysDbgReadVirtualMemory方法，我们也可以map physicalmemory来操作。检测DebugPort之前首先要得到进程的eprocess地址，这可以通过ZwQuerySystemInformation的SystemHandleInformation方法得到，也可以直接搜索ring0内存的eprocess结构。

对于ring3直接检测DebugPort，我们可以通过禁止该进程访问ring0内存来对付，但是目标一旦使用驱动来检测，那么就非常麻烦了。下面介绍一种隐藏_EPROCESS.DebugPort的方法，这种方法的基本思路是，将一个正常被调试进程的DebugPort置零后，修正所有受影响的函数，使我们的调试器能够正常进行。这些函数如下：
PspCreateProcess、MmCreatePeb 进程创建，设置DebugPort
   DbgkCreateThread 发送线程或者进程创建的调试信息
   KiDispatchException、DbgkForwardException和DbgkpQueueMessage 发送异常调试信息
   PspExitThread、DbgkExitThread和DbgkExitProcess 发送线程退出、进程退出的调试信息
   DbgkMapViewOfSection和DbgkUnMapViewOfSection 发送映像装载卸载调试信息
   DbgkpSetProcessDebugObject和DbgkpMarkProcessPeb 当调试器附加进程时设置DebugPort

   这类函数非常多的，如果都HOOK处理的话，那太恐怖了，这里使用一个非常简单的办法：偷龙转凤。我们看系统访问DebugPort的代码都是这样的（XP）
      8b89bc000000 mov    ecx,dword ptr [ecx+0BCh] //0BCh就是DebugPort的偏移

   我们可以把DebugPort转移到_EPROCESS的另外一个地方，比如我使用+0x070 CreateTime，它是纪录进程创建时间的，进程创建之后，在进程退出前系统不会对它进行任何修改，而且我们修改后对系统或进程没有任何影响。这样我们可以把上面的代码改成这样
      8b8970000000 mov    ecx,dword ptr [ecx+070h] //指向CreateTime，实际的DebugPort已经被移到这里
   只需要修改一个字节，非常简单。

   当然这种方法最麻烦的地方就是定位引用到DebugPort的函数（本人仅仅针对不同的XP系统制作特征码都累到吐血），这些函数都是不导出的，如果是特定系统，最简单的方法就是WinDbg->uf *** 直接找地址硬编码，只需要几分钟时间。

BOOLEAN InitHackAddress()
{
	_SEH_TRY
	{
		g_KernelBase = GetKernelBaseAndSize( &g_KernelSize );			
		g_HackPspCreateProcess = SearchHackPspCreateProcess( &g_NopPspCreateProcess.Address );
		g_HackKiDispatchException = SearchKiDispatchException( g_KernelBase,g_KernelSize );	
		g_HackDbgkpQueueMessage = SearchDbgkpQueueMessage( g_KernelBase,g_KernelSize );
		g_HackDbgkCreateThread = SearchDbgkCreateThread( g_KernelBase,g_KernelSize );		
		SearchDbgkNotifyRoutine( g_KernelBase,g_KernelSize );
		g_HackPspExitThread = SearchPspExitThread();	
		g_HackMmCreatePeb = SearchMmCreatePeb( g_HackPspCreateProcess );
		SearchDbgkpSetProcessDebugObject( g_KernelBase,g_KernelSize );
		if( g_HackDbgkpSetProcessDebugObject[3] )
			g_HackDbgkpMarkProcessPeb = SearchDbgkpMarkProcessPeb( g_HackDbgkpSetProcessDebugObject[3] ) ;
		
		if( g_NopPspCreateProcess.Address != 0 ){
			RtlFillMemory( g_NopPspCreateProcess.NopCode,sizeof(g_NopPspCreateProcess.NopCode),0x90 ); 
			g_NopPspCreateProcess.Size = 9;
			RtlCopyMemory( g_NopPspCreateProcess.OrigCode,(PVOID)g_NopPspCreateProcess.Address,g_NopPspCreateProcess.Size );
		}

		if( g_NopDbgkForwardException.Address != 0 ){			
			RtlFillMemory( g_NopDbgkForwardException.NopCode,sizeof(g_NopDbgkForwardException.NopCode),0x90 );
			RtlCopyMemory( g_NopDbgkForwardException.OrigCode,(PVOID)g_NopDbgkForwardException.Address,g_NopDbgkForwardException.Size );
		}

		if( g_NopDbgkExitThread.Address != 0 ){			
			RtlFillMemory( g_NopDbgkExitThread.NopCode,sizeof(g_NopDbgkExitThread.NopCode),0x90 );
			RtlCopyMemory( g_NopDbgkExitThread.OrigCode,(PVOID)g_NopDbgkExitThread.Address,g_NopDbgkExitThread.Size );
		}

		if( g_NopDbgkExitProcess.Address != 0 ){
			RtlFillMemory( g_NopDbgkExitProcess.NopCode,sizeof(g_NopDbgkExitProcess.NopCode),0x90 );
			RtlCopyMemory( g_NopDbgkExitProcess.OrigCode,(PVOID)g_NopDbgkExitProcess.Address,g_NopDbgkExitProcess.Size );
		}

		if( g_NopDbgkMapViewOfSection.Address != 0){
			RtlFillMemory( g_NopDbgkMapViewOfSection.NopCode,sizeof(g_NopDbgkMapViewOfSection.NopCode),0x90 );
			RtlCopyMemory( g_NopDbgkMapViewOfSection.OrigCode,(PVOID)g_NopDbgkMapViewOfSection.Address,g_NopDbgkMapViewOfSection.Size );
		}

		if( g_NopDbgkUnMapViewOfSection.Address != 0 ){
			RtlFillMemory( g_NopDbgkUnMapViewOfSection.NopCode,sizeof(g_NopDbgkUnMapViewOfSection.NopCode),0x90 );
			RtlCopyMemory( g_NopDbgkUnMapViewOfSection.OrigCode,(PVOID)g_NopDbgkUnMapViewOfSection.Address,g_NopDbgkUnMapViewOfSection.Size );
		}	   
		
		
	}
	_SEH_HANDLER
	{		
		DbgPrint( "InitHackAddress Exception!\n" );
	}

	return ( g_HackPspCreateProcess != 0 &&
		     g_HackKiDispatchException != 0 &&
			 g_HackDbgkForwardException != 0 &&
			 g_HackDbgkpQueueMessage != 0 && 
			 g_NopPspCreateProcess.Address != 0 &&
			 g_NopDbgkForwardException.Address != 0 &&
			 g_HackDbgkCreateThread != 0 &&
			 g_HackDbgkExitThread != 0 &&
			 g_NopDbgkExitThread.Address != 0 &&
			 g_HackDbgkExitProcess != 0 &&
			 g_NopDbgkExitProcess.Address != 0 &&
			 g_HackDbgkMapViewOfSection != 0 &&
			 g_NopDbgkMapViewOfSection.Address != 0 &&
			 g_HackDbgkUnMapViewOfSection != 0 &&
			 g_NopDbgkUnMapViewOfSection.Address != 0 &&
			 g_HackPspExitThread != 0 &&
			 g_HackMmCreatePeb != 0 &&
			 g_HackDbgkpSetProcessDebugObject[0] != 0 &&
			 g_HackDbgkpSetProcessDebugObject[1] != 0 &&
			 g_HackDbgkpSetProcessDebugObject[2] != 0 &&
			 g_HackDbgkpSetProcessDebugObject[3] != 0 &&
			 g_HackDbgkpMarkProcessPeb != 0 );
}

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

#调试逆向

收藏・121

免费・7

支持

最新回复 (67) 1 2 3 ▶
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 2 楼膜拜 123456 2009-1-26 11:31 0
cxhcxh 雪币： 287 活跃值： (102) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 245 粉丝 0 关注私信	cxhcxh 3 3 楼接着膜拜。。。。。。 2009-1-26 11:53 0
安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 0 关注私信	安摧 2 4 楼吃饭喝酒，膜拜！！！ 2009-1-26 12:30 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 5 楼新年快乐膜拜 123456 2009-1-26 12:31 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 6 楼 LZ还不如用源码重新编译一个内核。。。。 2009-1-26 12:32 0
小菜鸟一雪币： 1110 活跃值： (4187) 能力值： ( LV5，RANK：69 ) 在线值：发帖 6 回帖 903 粉丝 4 关注私信	小菜鸟一 7 楼跟着大牛膜拜 2009-1-26 12:59 0
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 8 楼跟着膜拜。。。。。。。 2009-1-26 13:26 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 9 楼顶同#6 这样弄还不如hook缺页异常然后把eprocess弄成invalid然后自己处理，krnl读就把debugport弄成真正的port，其他读就弄成NULL 2009-1-26 14:50 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 10 楼高人高语..............高来高去 2009-1-26 16:04 0
火影雪币： 332 活跃值： (30) 能力值： ( LV12，RANK：460 ) 在线值：发帖 24 回帖 141 粉丝 1 关注私信	火影 11 11 楼 tessafe.sys是不是也是这样做的 2009-1-26 20:51 0
小娃崽雪币： 383 活跃值： (41) 能力值： ( LV12，RANK：530 ) 在线值：发帖 42 回帖 283 粉丝 1 关注私信	小娃崽 13 12 楼太深奥了．．．．．．． 2009-1-26 21:28 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 13 楼新年快乐膜拜可以试试nooby修改的内核或者拿wrk编译1个也行。。毕竟方便。直接改1下offset 炉子的缺页打法也不错 2009-1-26 23:22 0
NaX 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 0 关注私信	NaX 14 楼楼上说的重新编译内核的搞笑了，兼容性有很大问题，可行性不大。内存欺骗也是可以的，但我想有个更加有效方便的办法，内核中访问EPROCESS是通过ETHREAD->Process，所以我们直接枚举目标进程的ETHREAD修改Process项指向我们的新结构，那么就无声无息实现相应的功能。最大的缺点是，如果目标保护驱动也是这么ETHREAD->Process访问EPROCESS那么功夫就白费了。 2009-1-27 11:09 0
wanmeicpl 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	wanmeicpl 15 楼好深奥顶一个 2009-1-27 13:06 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 16 楼我也觉得重编译个内核最好当然改ethread->process也是很不错的方法 2009-1-27 17:40 0
xss 雪币： 471 活跃值： (4013) 能力值： ( LV9，RANK：170 ) 在线值：发帖 9 回帖 314 粉丝 5 关注私信	xss 4 17 楼真的很深奥啊! 2009-1-27 22:22 0
绣绣雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 41 粉丝 0 关注私信	绣绣 18 楼强顶，不得不顶啊 2009-1-28 21:01 0
栋城雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	栋城 19 楼如果写呢，也会处理吗？ 2009-1-28 23:39 0
栋城雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	栋城 20 楼试验通过，不过这里（DbgkpQueueMessage ）有时候会蓝 2009-1-29 18:52 0
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 21 楼 LZ的发个 BIN 出来看看我这怎么不行哦 2009-2-1 15:28 0
心驰神野雪币： 245 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 45 粉丝 0 关注私信	心驰神野 22 楼谢谢分享,努力学习中~ 2009-2-1 21:07 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 23 楼估计tersafe又要进化了。 2009-2-2 10:09 0
bithaha 雪币： 1505 能力值： (RANK：210 ) 在线值：发帖 66 回帖 933 粉丝 4 关注私信	bithaha 5 24 楼高人啊学习了 2009-2-2 10:33 0
bithaha 雪币： 1505 能力值： (RANK：210 ) 在线值：发帖 66 回帖 933 粉丝 4 关注私信	bithaha 5 25 楼汗12345 2009-2-2 10:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

wowelf

发帖

回帖

RANK

关注

私信

他的文章

[原创]Hide your DebugPort in ring0 67162
[讨论]ring0隐藏调试端口 7686
[原创]检测StrongOD 10789
[原创]The Age-Old Art of SSDT Hooking(But Bypass Most ARK Tools...) 13718

关于我们

联系我们

企业服务

看雪公众号

最新回复 (67) 1 2 3 ▶
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 2 楼膜拜 123456 2009-1-26 11:31 0
cxhcxh 雪币： 287 活跃值： (102) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 245 粉丝 0 关注私信	cxhcxh 3 3 楼接着膜拜。。。。。。 2009-1-26 11:53 0
安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 0 关注私信	安摧 2 4 楼吃饭喝酒，膜拜！！！ 2009-1-26 12:30 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 5 楼新年快乐膜拜 123456 2009-1-26 12:31 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 6 楼 LZ还不如用源码重新编译一个内核。。。。 2009-1-26 12:32 0
小菜鸟一雪币： 1110 活跃值： (4187) 能力值： ( LV5，RANK：69 ) 在线值：发帖 6 回帖 903 粉丝 4 关注私信	小菜鸟一 7 楼跟着大牛膜拜 2009-1-26 12:59 0
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 8 楼跟着膜拜。。。。。。。 2009-1-26 13:26 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 9 楼顶同#6 这样弄还不如hook缺页异常然后把eprocess弄成invalid然后自己处理，krnl读就把debugport弄成真正的port，其他读就弄成NULL 2009-1-26 14:50 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 10 楼高人高语..............高来高去 2009-1-26 16:04 0
火影雪币： 332 活跃值： (30) 能力值： ( LV12，RANK：460 ) 在线值：发帖 24 回帖 141 粉丝 1 关注私信	火影 11 11 楼 tessafe.sys是不是也是这样做的 2009-1-26 20:51 0
小娃崽雪币： 383 活跃值： (41) 能力值： ( LV12，RANK：530 ) 在线值：发帖 42 回帖 283 粉丝 1 关注私信	小娃崽 13 12 楼太深奥了．．．．．．． 2009-1-26 21:28 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 13 楼新年快乐膜拜可以试试nooby修改的内核或者拿wrk编译1个也行。。毕竟方便。直接改1下offset 炉子的缺页打法也不错 2009-1-26 23:22 0
NaX 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 0 关注私信	NaX 14 楼楼上说的重新编译内核的搞笑了，兼容性有很大问题，可行性不大。内存欺骗也是可以的，但我想有个更加有效方便的办法，内核中访问EPROCESS是通过ETHREAD->Process，所以我们直接枚举目标进程的ETHREAD修改Process项指向我们的新结构，那么就无声无息实现相应的功能。最大的缺点是，如果目标保护驱动也是这么ETHREAD->Process访问EPROCESS那么功夫就白费了。 2009-1-27 11:09 0
wanmeicpl 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	wanmeicpl 15 楼好深奥顶一个 2009-1-27 13:06 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 16 楼我也觉得重编译个内核最好当然改ethread->process也是很不错的方法 2009-1-27 17:40 0
xss 雪币： 471 活跃值： (4013) 能力值： ( LV9，RANK：170 ) 在线值：发帖 9 回帖 314 粉丝 5 关注私信	xss 4 17 楼真的很深奥啊! 2009-1-27 22:22 0
绣绣雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 41 粉丝 0 关注私信	绣绣 18 楼强顶，不得不顶啊 2009-1-28 21:01 0
栋城雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	栋城 19 楼如果写呢，也会处理吗？ 2009-1-28 23:39 0
栋城雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	栋城 20 楼试验通过，不过这里（DbgkpQueueMessage ）有时候会蓝 2009-1-29 18:52 0
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 21 楼 LZ的发个 BIN 出来看看我这怎么不行哦 2009-2-1 15:28 0
心驰神野雪币： 245 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 45 粉丝 0 关注私信	心驰神野 22 楼谢谢分享,努力学习中~ 2009-2-1 21:07 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 23 楼估计tersafe又要进化了。 2009-2-2 10:09 0
bithaha 雪币： 1505 能力值： (RANK：210 ) 在线值：发帖 66 回帖 933 粉丝 4 关注私信	bithaha 5 24 楼高人啊学习了 2009-2-2 10:33 0
bithaha 雪币： 1505 能力值： (RANK：210 ) 在线值：发帖 66 回帖 933 粉丝 4 关注私信	bithaha 5 25 楼汗12345 2009-2-2 10:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复