首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
7
[原创]Hide your DebugPort in ring0
发表于: 2009-1-26 11:00 67333

[原创]Hide your DebugPort in ring0

wowelf 活跃值
2
2009-1-26 11:00
67333

一个程序被ring3调试器调试时,有很多的调试特征可以检测,本论坛也有专门的帖子详细论述,但有个非常根本的标志ring3也是可以检测的比较少人提及,那就是_EPROCESS.DebugPort。DebugPort对于ring3调试器来说非常重要,没有它正常的ring3调试是无法进行的。当然要检测这个标志的前提是程序能够读取ring0内存,在XP以上的系统有个非常简单的方法就是使用ZwSystemDebugControl的SysDbgReadVirtualMemory方法,我们也可以map physicalmemory来操作。检测DebugPort之前首先要得到进程的eprocess地址,这可以通过ZwQuerySystemInformation的SystemHandleInformation方法得到,也可以直接搜索ring0内存的eprocess结构。

   对于ring3直接检测DebugPort,我们可以通过禁止该进程访问ring0内存来对付,但是目标一旦使用驱动来检测,那么就非常麻烦了。下面介绍一种隐藏_EPROCESS.DebugPort的方法,这种方法的基本思路是,将一个正常被调试进程的DebugPort置零后,修正所有受影响的函数,使我们的调试器能够正常进行。这些函数如下:
    PspCreateProcess、MmCreatePeb 进程创建,设置DebugPort
          DbgkCreateThread 发送线程或者进程创建的调试信息
          KiDispatchException、DbgkForwardException和DbgkpQueueMessage 发送异常调试信息
          PspExitThread、DbgkExitThread和DbgkExitProcess 发送线程退出、进程退出的调试信息
          DbgkMapViewOfSection和DbgkUnMapViewOfSection 发送映像装载卸载调试信息
          DbgkpSetProcessDebugObject和DbgkpMarkProcessPeb 当调试器附加进程时设置DebugPort   

     这类函数非常多的,如果都HOOK处理的话,那太恐怖了,这里使用一个非常简单的办法:偷龙转凤。我们看系统访问DebugPort的代码都是这样的(XP)
         8b89bc000000    mov     ecx,dword ptr [ecx+0BCh] //0BCh就是DebugPort的偏移

     我们可以把DebugPort转移到_EPROCESS的另外一个地方,比如我使用+0x070 CreateTime,它是纪录进程创建时间的,进程创建之后,在进程退出前系统不会对它进行任何修改,而且我们修改后对系统或进程没有任何影响。这样我们可以把上面的代码改成这样
         8b8970000000    mov     ecx,dword ptr [ecx+070h] //指向CreateTime,实际的DebugPort已经被移到这里
     只需要修改一个字节,非常简单。

     当然这种方法最麻烦的地方就是定位引用到DebugPort的函数(本人仅仅针对不同的XP系统制作特征码都累到吐血),这些函数都是不导出的,如果是特定系统,最简单的方法就是WinDbg->uf *** 直接找地址硬编码,只需要几分钟时间。
   

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
BOOLEAN InitHackAddress()
{
    _SEH_TRY
    {
        g_KernelBase = GetKernelBaseAndSize( &g_KernelSize );          
        g_HackPspCreateProcess = SearchHackPspCreateProcess( &g_NopPspCreateProcess.Address );
        g_HackKiDispatchException = SearchKiDispatchException( g_KernelBase,g_KernelSize );
        g_HackDbgkpQueueMessage = SearchDbgkpQueueMessage( g_KernelBase,g_KernelSize );
        g_HackDbgkCreateThread = SearchDbgkCreateThread( g_KernelBase,g_KernelSize );      
        SearchDbgkNotifyRoutine( g_KernelBase,g_KernelSize );
        g_HackPspExitThread = SearchPspExitThread();   
        g_HackMmCreatePeb = SearchMmCreatePeb( g_HackPspCreateProcess );
        SearchDbgkpSetProcessDebugObject( g_KernelBase,g_KernelSize );
        if( g_HackDbgkpSetProcessDebugObject[3] )
            g_HackDbgkpMarkProcessPeb = SearchDbgkpMarkProcessPeb( g_HackDbgkpSetProcessDebugObject[3] ) ;
         
        if( g_NopPspCreateProcess.Address != 0 ){
            RtlFillMemory( g_NopPspCreateProcess.NopCode,sizeof(g_NopPspCreateProcess.NopCode),0x90 );
            g_NopPspCreateProcess.Size = 9;
            RtlCopyMemory( g_NopPspCreateProcess.OrigCode,(PVOID)g_NopPspCreateProcess.Address,g_NopPspCreateProcess.Size );
        }
 
        if( g_NopDbgkForwardException.Address != 0 ){          
            RtlFillMemory( g_NopDbgkForwardException.NopCode,sizeof(g_NopDbgkForwardException.NopCode),0x90 );
            RtlCopyMemory( g_NopDbgkForwardException.OrigCode,(PVOID)g_NopDbgkForwardException.Address,g_NopDbgkForwardException.Size );
        }
 
        if( g_NopDbgkExitThread.Address != 0 ){        
            RtlFillMemory( g_NopDbgkExitThread.NopCode,sizeof(g_NopDbgkExitThread.NopCode),0x90 );
            RtlCopyMemory( g_NopDbgkExitThread.OrigCode,(PVOID)g_NopDbgkExitThread.Address,g_NopDbgkExitThread.Size );
        }
 
        if( g_NopDbgkExitProcess.Address != 0 ){
            RtlFillMemory( g_NopDbgkExitProcess.NopCode,sizeof(g_NopDbgkExitProcess.NopCode),0x90 );
            RtlCopyMemory( g_NopDbgkExitProcess.OrigCode,(PVOID)g_NopDbgkExitProcess.Address,g_NopDbgkExitProcess.Size );
        }
 
        if( g_NopDbgkMapViewOfSection.Address != 0){
            RtlFillMemory( g_NopDbgkMapViewOfSection.NopCode,sizeof(g_NopDbgkMapViewOfSection.NopCode),0x90 );
            RtlCopyMemory( g_NopDbgkMapViewOfSection.OrigCode,(PVOID)g_NopDbgkMapViewOfSection.Address,g_NopDbgkMapViewOfSection.Size );
        }
 
        if( g_NopDbgkUnMapViewOfSection.Address != 0 ){
            RtlFillMemory( g_NopDbgkUnMapViewOfSection.NopCode,sizeof(g_NopDbgkUnMapViewOfSection.NopCode),0x90 );
            RtlCopyMemory( g_NopDbgkUnMapViewOfSection.OrigCode,(PVOID)g_NopDbgkUnMapViewOfSection.Address,g_NopDbgkUnMapViewOfSection.Size );
        }     
         
         
    }
    _SEH_HANDLER
    {      
        DbgPrint( "InitHackAddress Exception!\n" );
    }
 
    return ( g_HackPspCreateProcess != 0 &&
             g_HackKiDispatchException != 0 &&
             g_HackDbgkForwardException != 0 &&
             g_HackDbgkpQueueMessage != 0 &&
             g_NopPspCreateProcess.Address != 0 &&
             g_NopDbgkForwardException.Address != 0 &&
             g_HackDbgkCreateThread != 0 &&
             g_HackDbgkExitThread != 0 &&
             g_NopDbgkExitThread.Address != 0 &&
             g_HackDbgkExitProcess != 0 &&
             g_NopDbgkExitProcess.Address != 0 &&
             g_HackDbgkMapViewOfSection != 0 &&
             g_NopDbgkMapViewOfSection.Address != 0 &&
             g_HackDbgkUnMapViewOfSection != 0 &&
             g_NopDbgkUnMapViewOfSection.Address != 0 &&
             g_HackPspExitThread != 0 &&
             g_HackMmCreatePeb != 0 &&
             g_HackDbgkpSetProcessDebugObject[0] != 0 &&
             g_HackDbgkpSetProcessDebugObject[1] != 0 &&
             g_HackDbgkpSetProcessDebugObject[2] != 0 &&
             g_HackDbgkpSetProcessDebugObject[3] != 0 &&
             g_HackDbgkpMarkProcessPeb != 0 );
}

[注意]看雪招聘,专注安全领域的专业人才平台!

收藏
免费 7
支持
分享
赞赏记录
参与人
雪币
留言
时间
Youlor
为你点赞~
2024-1-14 02:01
伟叔叔
为你点赞~
2023-12-16 03:41
QinBeast
为你点赞~
2023-9-28 00:25
PLEBFE
为你点赞~
2023-8-28 05:36
shinratensei
为你点赞~
2023-8-27 04:33
心游尘世外
为你点赞~
2023-8-18 00:48
飘零丶
为你点赞~
2023-8-5 02:35
最新回复 (67)
shoooo
雪    币: 398
活跃值: (343)
能力值: (RANK:650 )
在线值:
发帖
回帖
粉丝
私信
2
膜拜
123456
2009-1-26 11:31
0
cxhcxh
雪    币: 287
活跃值: (137)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
私信
3
接着膜拜。。。。。。
2009-1-26 11:53
0
安摧
雪    币: 247
活跃值: (10)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
私信
4
吃饭喝酒,膜拜!!!
2009-1-26 12:30
0
海风月影
雪    币: 7327
活跃值: (3813)
能力值: (RANK:1130 )
在线值:
发帖
回帖
粉丝
私信
5
新年快乐
膜拜
123456
2009-1-26 12:31
0
海风月影
雪    币: 7327
活跃值: (3813)
能力值: (RANK:1130 )
在线值:
发帖
回帖
粉丝
私信
6
LZ还不如用源码重新编译一个内核。。。。
2009-1-26 12:32
0
小菜鸟一
雪    币: 1573
活跃值: (4702)
能力值: ( LV5,RANK:69 )
在线值:
发帖
回帖
粉丝
私信
7
跟着大牛膜拜  
2009-1-26 12:59
0
fixfix
雪    币: 419
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
跟着膜拜。。。。。。。
2009-1-26 13:26
0
炉子
雪    币: 66
活跃值: (16)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
私信
9


同#6

这样弄还不如hook缺页异常然后把eprocess弄成invalid然后自己处理,krnl读就把debugport弄成真正的port,其他读就弄成NULL
2009-1-26 14:50
0
快雪时晴
雪    币: 370
活跃值: (15)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
10
高人高语..............高来高去
2009-1-26 16:04
0
火影
雪    币: 332
活跃值: (35)
能力值: ( LV12,RANK:460 )
在线值:
发帖
回帖
粉丝
私信
11
tessafe.sys是不是也是这样做的
2009-1-26 20:51
0
小娃崽
雪    币: 383
活跃值: (41)
能力值: ( LV12,RANK:530 )
在线值:
发帖
回帖
粉丝
私信
12
太深奥了.......
2009-1-26 21:28
0
zhuwg
雪    币: 451
活跃值: (78)
能力值: ( LV12,RANK:470 )
在线值:
发帖
回帖
粉丝
私信
13
新年快乐
膜拜

可以试试nooby修改的内核
或者拿wrk编译1个也行。。毕竟方便。直接改1下offset

炉子的缺页打法也不错
2009-1-26 23:22
0
NaX
雪    币: 218
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
NaX
14
楼上说的重新编译内核的搞笑了,兼容性有很大问题,可行性不大。内存欺骗也是可以的,但我想有个更加有效方便的办法,内核中访问EPROCESS是通过ETHREAD->Process,所以我们直接枚举目标进程的ETHREAD修改Process项指向我们的新结构,那么就无声无息实现相应的功能。最大的缺点是,如果目标保护驱动也是这么ETHREAD->Process访问EPROCESS那么功夫就白费了。
2009-1-27 11:09
0
wanmeicpl
雪    币: 0
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
私信
15
好深奥 顶一个
2009-1-27 13:06
0
炉子
雪    币: 66
活跃值: (16)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
私信
16
我也觉得重编译个内核最好

当然改ethread->process也是很不错的方法
2009-1-27 17:40
0
xss
雪    币: 471
活跃值: (4635)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
17
真的很深奥啊!
2009-1-27 22:22
0
绣绣
雪    币: 208
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
18
强顶,不得不顶啊
2009-1-28 21:01
0
栋城
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
19
如果写呢,也会处理吗?
2009-1-28 23:39
0
栋城
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
20
试验通过,不过这里(DbgkpQueueMessage )有时候会蓝
2009-1-29 18:52
0
fixfix
雪    币: 419
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
21
LZ的 发个 BIN 出来 看看

我这怎么不行哦
2009-2-1 15:28
0
心驰神野
雪    币: 245
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
22
谢谢分享,努力学习中~
2009-2-1 21:07
0
Isaiah
雪    币: 331
活跃值: (56)
能力值: ( LV13,RANK:410 )
在线值:
发帖
回帖
粉丝
私信
23
估计tersafe又要进化了。
2009-2-2 10:09
0
bithaha
雪    币: 1505
能力值: (RANK:210 )
在线值:
发帖
回帖
粉丝
私信
24
高人啊 学习了
2009-2-2 10:33
0
bithaha
雪    币: 1505
能力值: (RANK:210 )
在线值:
发帖
回帖
粉丝
私信
25
汗12345
2009-2-2 10:34
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回

账号登录
验证码登录

忘记密码?
没有账号?立即免费注册
我已同意 《看雪服务条款》 《看雪课程免责声明》 《看雪隐私政策》