火绒内核注入dll方式win7-win10通用x64下不触发PG

最新推荐文章于 2025-01-17 14:04:28 发布
转载 最新推荐文章于 2025-01-17 14:04:28 发布 · 3k 阅读 · 7 ·
本内容遵循CC 4.0 BY-SA版权协议
原文链接:https://my.oschina.net/u/2325943/blog/1239933
本文详细介绍了在Win7到Win10 x64系统下,如何通过火绒技术实现不触发PG的内核DLL注入。主要内容包括:判断加载dll、打开ProcessHandle、切换进程地址空间、获取系统关键函数地址、分配内存、写入shellcode,以及在64位系统下的注意事项和调用约定。文中提到的方法可能存在多加载问题,建议优化恢复原函数逻辑。

帖子原地址为:http://www.mengwuji.net/thread-6765-1-1.html

看起来相当简单.结果踩进去以后全都是坑

32位下完工代码地址:http://git.oschina.net/ockdieso/nahequdongzhurudll

只是对哪个帖子做一些补充

NTSTATUS Register_Load_Image()
{
	NTSTATUS status = PsSetLoadImageNotifyRoutine(Load_Image);
	return status;
}

注册回调

然后先看下原文的步骤

1.判断当前LoadImageNotify加载的dll名字是System32(SysWOW64)\\ntdll.dll
2.ObOpenObjectByPointer打开一个ProcessHandle
3.KeStackAttachProcess切到被注入的进程的地址空间去,
4.遍历导出表取ntdll!ZwTestAlert的地址(win10取ntdll!LdrGetProcedureAddressForCaller)

5.取ntdll!NtProtectVirtualMemory的地址

前四步都是一样的.至于这个NtProtectVirtualMemory的函数地址.我没有取

因为暂时不考虑还原.这个Test函数实际上我都不知道他什么时候才去调用

按照我的想法....这个函数估计一辈子也就跑一次吧?

不过为了实现功能.这些东西后续补上也不是问题

6.KeUnstackDetachProcess切回来
6.在ntdll附近分配注入shellcode需要的内存7.调用ntoskrnl!ZwReadVirtualMemory获取ntdll!ZwTestAlert处头5字节的数据保存起来
8.配置好shellcode及shellcode的需要的数据(如注入的dll路径、ntdll!NtProtectVirtualMemory地址等)

在32位下我没有管该内存地址分配的问题.而且测试并没有问题.只要不分配到8以上应该就不会有事

64位下我想应该也不需要去管.因为实现方式可能不同

char Shell_Code[] =
		"\x55" //push ebp 保存栈环境
		"\x8B\xEC" //mov ebp,esp
		//"\x50"//push eax
		"\x52"//push edx
		//第一个地址.偏移+5
		"\x68\x00\x00\x00\x00" //push 最后一个地址.handle的地址
		//第二个地址.偏移+9
		"\x68\x00\x00\x00\x00" //push 倒数第二个参数.此处为UNICODE的str地址
		"\x6A\x00" //push 0
		"\x6A\x00" //push 0
		//第三个地址.偏移+19
		"\xFF\x15\x00\x00\x00\x00" //FF 15 call 此处直接填变量地址.变量中储存函数地址.
		"\xB8\x74\x01\x00\x00" //mov eax,174h 存储SSDT表索引
		"\xBA\x00\x03\xFE\x7F" //mov edx,7FFE0300h 直接中断进内核层
		"\xFF\x12" //call dword ptr [edx]  call edx
		"\x33\xC0" //eax eax清零
		"\x5A"//pop edx
		//"\x58"//pop eax
		"\x5D" //pop ebp 还原堆栈
		"\xC3"; //C3 retrun

shell是从IDA里面提取的.然后自己手动加了一部分.xor eax清零了.所以eax就不进行push了

总得来说.进入shell code以后.做了一些环境保存.然后直接push参数call加载DLL函数.完毕之后我又吧Test函数的ASM代码抄了下来.在shell中再次进行一次调用.保证程序不会出什么问题.之后C3

不过其实问题也有啊...如果这个函数被多次调用...那么就有可能被载入很多次.所以还是尽量去还原Test函数比较好.

需要注意的是.x64下面的函数调用有相当大的区别.不会再像32下面那样push push push.具体可以百度一下

BBGetModuleExport是Hub上抄来的函数.用于实现R3下面的getaddr函数

用KeStackAttachProcess艹进去以后.获取了LdrLoadDll和ZwTestAlert

关于KPROCESSOR_MODE

这个东西很坑...我最后的办法是起条线程跑.这样可以绕过mode检测.Zw和Nt在这里有区别.详情可以百度一下

R3下面.Zw和Nt是同一个地址.

由于我的shell没有恢复.故此被hunter抓了出来

可以看到test函数被hook成了E9 XX XX XX XX

其实刚开始说让我用E9我是拒绝的.我想用FF15 不过想想可能出点啥问题.还是先用E9撑一下

OK.上面的步骤完成后就是SSDT函数的问题了

CG_NtWriteVirtualMemory 或者protect这种函数是不被导出的

想调用的话.必须拿到SSDT上的函数地址

这个地址想拿到的话,方法还是很多的.其中之一就是抓eax.因为在中断进内核的时候.eax会保存SSDT上面的索引.拿到索引以后.地址也就出来了

不过这种办法太麻烦.对我这样只会复制粘贴的人来说.当然是靠抄

是的,没错.windows常用系统就那么几个.区分好x64和x32.索引直接硬编码不谢!

 

#define SYSCALL_INDEX(ServiceFunction) (*(PULONG)((PUCHAR)ServiceFunction + 1))

//#define SYSCALL_FUNCTION(ServiceFunction)KeServiceDescriptorTable->ntoskrnl.ServiceTableBase[SYSCALL_INDEX(ServiceFunction)]

#define SYSCALL_FUNCTION(ServiceFunction) (ULONG)KeServiceDescriptorTable->ntoskrnl.ServiceTableBase + SYSCALL_INDEX(ServiceFunction) * 4

#define TABLE_FUNCTION(Service_Function_Index) (ULONG)KeServiceDescriptorTable->ntoskrnl.ServiceTableBase + Service_Function_Index * 4

这几个宏定义需要说一下

这是以前抄人家SSDT的东西.用索引的话有点问题.所以修改了一下

(ULONG)KeServiceDescriptorTable->ntoskrnl.ServiceTableBase + Service_Function_Index * 4

取地址+索引*4 SSDT的标准算法.值得注意的是取出来后的地址再取一遍值.听不懂的话建议回去看看内核入门书吧

该有的都有了.就欠东风

接下来的事情就很简单了.环境都搭好了.分配内存.装填shell.写入shell.然后修改jump.这些东西反而相当好写

这里有个小坑.我踩进去以后很懵逼.公司大佬看完后也很懵逼.最后debug给调出来了

typedef NTSTATUS(*CG_NtProtectVirtualMemory)(

IN HANDLE ProcessHandle,

IN OUT PVOID *BaseAddress,

IN OUT PULONG ProtectSize,

IN ULONG NewProtect,

OUT PULONG OldProtect);

这是NtProtectVirtualMemory的函数原型.看起来好像非常人畜无害的样子

过去我最后一步jump是这样写的

void *Test_Test = ZwTestAlert_Func;

status = NtProtectVirtualMemory(ProcessHandle, &Test_Test, &Protect_Size,

PAGE_EXECUTE_READWRITE, &Old_Protect);

status = NtWriteVirtualMemory(ProcessHandle, Test_Test, Test_Code, 5, NULL);

status = NtProtectVirtualMemory(ProcessHandle, &Test_Test, &Protect_Size,

Old_Protect, &Temp_Protect);

发现问题了么?

没有?

你再仔细瞅瞅?

还是没有?

IN OUT PVOID *BaseAddress!!!

IN OUT ???

OUT???

还没懂的话...麻烦你们都进坑里爽一爽吧...

 到这里32位下就完成了

x64区别不大.但是也有坑要踩.SSDT表要去自己手动翻出来

然后x64汇编会有区别.比如前8个E开头变R开头.比如RAX什么的

EBP升级为RBP.同时被当做通用寄存器玩

然后函数调用的时候不是全部都用push+call的方式.用了几个寄存器

具体可以参考下x64ASM

教程就到这里了.写的比较乱和杂.过多的原理性东西我也不太想讲.因为太麻烦了

代码我丢到了OSC.VS13+WDK8.1可过编译

不过过编译没问题.想跑起来要看运气.为了实现功能.里面有相当多比较操蛋的代码.比如strcpy什么的.然后返回值也没有正儿八经的判断.

我写程序的时候有一个毛病.在调试期间.所有函数视为返回成功的状态进行debug...

不过可以基于这份代码进行修改稳定化.然后移植64,或者VS15+WDK10也是很简单的

最后上个完工图

JAVA/C++讨论群:546110133(大多时候在吹B.瞎聊天)

转载于:https://my.oschina.net/u/2325943/blog/1239933

chio1994
关注
MagicWall-master ( 火绒注入demo ).zip_DEMO_magic wall_内核注入_火绒注入_驱动注入
07-14
火绒注入手法便是如此了,别人的源码,转来的
Attach_读写_windows驱动_Windows驱动级的读写_驱动读写_读写驱动_
09-28
Windows驱动级的读写 Windows驱动读写
火绒注入(内核hook稳定注入)
09-09
火绒注入(内核hook稳定注入)
如何利用DLL注入绕过火绒和360主动防御写入扇区?
ceeyourbac的博客
12-15 4454
前言 由于我自己是一个系统安全爱好者,之前下载了一个能覆写所有扇区的病毒源码,我以为火绒可以保护我的扇区,我就傻乎乎的调试运行了,然后火绒把mbr写入拦截了,我以为没有任何问题了,已重启,哦,Missing Operating System。 在痛失电脑之后,我一直在想病毒是如何做到火绒报警了但是还是写入了扇区?后来我简单分析了源码之后,我看到了这样的一段代码 int WINAPI WinMain(HINSTANCE hInstance,HINSTANCE hPrevInstance,LPSTR l
一次简单修改shellcode过火绒
dzqxwzoe的博客
10-06 311
最近在学习病毒分析,在玉师傅的指导下完成了一次小实验,遂发出来纪念一下。
驱动无模块注入dll
热门推荐
鬼手的博客
12-10 1万+
Windows驱动无模块注入姿势全解 包含三环和零环的多种注入方式
内核中劫持线程注入DLL并隐藏
人生苦短,我用python
04-18 2075
在驱动程序中,您可以通过调用PsSetCreateThreadNotifyRoutine或PsSetLoadImageNotifyRoutine等API来获取进程线程的通知。这时,您可以暂停线程并修改其上下文,以便在恢复时执行您的代码。为了实现这些功能,您需要学习Windows内核编程和驱动开发。在此过程中,您可能需要使用Windows Driver Kit(WDK)和Visual Studio。编写好驱动程序后,您需要在目标系统上加载和卸载它。在劫持线程后,您需要将目标DLL加载到目标进程的内存中。
解密火绒安全:保护你的数字世界的利器
windrainpy的博客
04-24 1511
火绒安全是一款综合性的网络安全软件,集合了杀毒、防火墙、网络攻击拦截等多种功能于一身。其独特的智能防护引擎和实时云查杀技术,可以及时发现并清除各种恶意软件和威胁,为用户的电脑和个人信息提供全方位的保护。火绒安全作为一款综合性的网络安全软件,提供了诸多强大的功能,包括杀毒、防火墙、实时保护、智能防护等,为用户的电脑和个人信息提供全方位的保护。通过本文的介绍,相信你已经对火绒安全的用法有了更深入的了解,希望能够帮助你更好地保护自己的数字世界。
4.13(LoadLibrary)
m0_72827793的博客
04-13 1193
本章准确来讲,自己的理解很少,需要多花时间好好理解
N种内核注入DLL的思路及实现
lwglucky的专栏
03-18 7760
内核注入,技术古老但很实用。现在部分RK趋向无进程,玩的是SYS+DLL,有的无文件,全部存在于内存中。可能有部分人会说:“都进内核了.什么能干?”。是啊,要是内核中可以做包括R3上所有能做的事,软件开发商们也没必要做应用程序了。有时,我们确实需要R3程序去干驱动做起来很困难或者没必要驱动中去做的事,进程 /  DLL错的选择,但进程目标太大,所以更多的同学趋向于注DLL。     若
一个PsSetLoadImageNotifyRoutine回调内核注入DLL,支持xp ~ win7源码
kingswb的博客
05-21 5895
标 题: 【原创】一个PsSetLoadImageNotifyRoutine回调内核注入DLL,支持xp ~ win7源码 作 者: oxlwj 时 间: 2011-09-11,10:43:53 链 接: http://bbs.pediy.com/showthread.php?t=139986 一个PsSetLoadImageNotifyRoutine回调内核注入DLL,支持xp ~ 
Kernel_Inject:内核注入DLL
02-15
别问问就是F7 修仙交流(限定筑基期至渡劫期):546110133
Mark备查。。。Win8 RP的ntdll新增函数列表
a1875566250的专栏
06-04 4392
Win7 SP1对比Win8 RP [C:\Users\Windows\Desktop\ntdll.dll] compare [C:\Windows\system32\ntdll.dll],file1 not: NtGetPlugPlayEvent RtlEnlargedUnsignedDivide TpDbgGetFreeInfo TpPoolFreeUnusedNodes
【病毒分析】R3强杀360:银狐远控病毒再进化
最新发布
solarset的博客
01-17 2099
银狐病毒自2022年起活跃,主要针对中国用户和企事业单位,尤其是财务、管理和专业领域的从业人员。该病毒通过多种攻击手段传播,包括伪装为税务、财务相关文件的钓鱼邮件、社交平台的恶意链接,以及利用SEO(搜索引擎优化)确保其钓鱼网站在中国搜索引擎中的排名靠前。此外,银狐还结合恶意广告投放和多次电子邮件钓鱼活动,分发远程管理木马(RATs),以实现对受害者设备的远程控制和数据窃取。以下为近期捕获到的一起银狐病毒样本,我们对其进行了深入分析。
Windows内核Dll注入(一)
xsinlink的博客
05-31 1976
近期在云桌面中遇到许多情况都需要对应用层程序的函数进行HOOK,并需要对函数参数进行各种修改,以便能够在虚拟桌面里面支持一些特性(尤其是一些3D的场景)。因此这里最主要的就是需要对HOOK的进程进行注入,来实现HOOK函数的功能。在早期开发中,就实现过DLL注入的功能,过都是基于用户层的注入来实现的,例如有远线程注入,消息钩子注入,用户层OPE注入。HOOK注入的第一步是需要找到一个函数,这个函数可以确保所有的进程启动的时候都会被调用,这个函数就是。下面的文章主要是针对HOOK函数的注入,这个函数是。
使用CreateRemoteThread进行Dll注入(Win7-x86\x64 Win10-x86\x64)
KOOKNUT的博客
05-12 1885
实现思路:
Windows 8的用户模式Shim Engine小探及利用
dengliang7440的博客
03-29 1149
转载:https://bbs.pediy.com/thread-175483.htmWindows Shim Engine,即Windows 兼容性模式实现引擎,在exe文件的属性对话框中有一个兼容性选项卡,用户可设置此exe程序完美工作的系统版本,Windows会尝试模拟老的系统环境运行此程序。那Windows是如何模拟的呢?Windows认为老程序出问题的原因在于它们调用的API上,...
驱动开发:内核ShellCode线程注入
LYSHARK
06-14 9358
还记得`《驱动开发:内核LoadLibrary实现DLL注入》`中所使用的注入技术吗,我们通过`RtlCreateUserThread`函数调用实现了注入DLL到应用层并执行,本章将继续探索一个简单的问题,如何注入`ShellCode`代码实现反弹Shell,这里需要注意一般情况下`RtlCreateUserThread`需要传入两个最重要的参数,一个是`StartAddress`开始执行的内存块,另一个是`StartParameter`传入内存块的变量列表,而如果将`StartParameter`地址填充
GetProcAddress函数实现和分析
half_face的博客
05-26 1万+
在kernel32.dll里有一个GetProcAddress函数,可以找到模块中的函数地址,函数原型是这样的: WINBASEAPI FARPROC WINAPI GetProcAddress(     IN HMODULE hModule,     IN LPCSTR lpProcName     ); hModule 是模块的句柄,说白了就是内存中dll模块的首地址 loP
再谈Linux内核模块注入(没有kernel header也能hack kernel)
TCP/IP
05-07 6579
在前面的一篇文章中,我简单描述了一种Linux内核模块注入的方法: https://blog.csdn.net/dog250/article/details/105978803 本文,我们抛开Rootkit这个刺眼的字样,看看这种注入机制还有什么新的玩法。 我们知道,编写Linux内核模块必须要有对应版本的kernel header,并且版本号必须100%匹配,一个字都能差,这对Linux内核模...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值