标 题: 【原创】 隐藏进程中的模块绕过IceSword的检测
作 者: xPLK
时 间: 2008-06-19,17:59:11
链 接: http://bbs.pediy.com/showthread.php?t=66886

【文章标题】: 隐藏进程中的模块绕过IceSword的检测
【文章作者】: 小伟的小伟[0GiNr](看雪ID：xPLK)
【作者主页】: http://www.0GiNr.com    http://hi.baidu.com/zoo%5F  
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
       最近对隐藏DLL来了点兴趣，首先是断了PEB里面的双向链，过了大部分程序。然后呢把MZ标志改掉了过了暴力搜索（感谢aegisys）。
  接下来就是对抗IceSword使用的NtQueryVirtualMemory的方法了。
  我去WRK里面看了下NtQueryVirtualMemory的源码，找到了这里。  
  以下是调试笔记。
  
  lkd> dt_EPROCESS 0x81583B60
  nt!_EPROCESS
     +0x000 Pcb              : _KPROCESS
  ;.............
     +0x11c VadRoot          : 0x816afb68 
  ;.............
  lkd> dt_MMVAD 0x816afb68 ;看到了吧。。。二叉树。。。。。。。。。。。
  nt!_MMVAD
     +0x000 StartingVpn      : 0x30
     +0x004 EndingVpn        : 0x12f
     +0x008 Parent           : (null) 
     +0x00c LeftChild        : 0x813d7748 _MMVAD
     +0x010 RightChild       : 0x816b21d8 _MMVAD  ;选择右节点来遍历
     +0x014 u                : __unnamed
     +0x018 ControlArea      : 0x0a050004 _CONTROL_AREA
     +0x01c FirstPrototypePte : 0x6d665346 _MMPTE
     +0x020 LastContiguousPte : 0x00000001 _MMPTE
     +0x024 u2               : __unnamed
  lkd> dt_MMVAD 0x816b21d8
  nt!_MMVAD
     +0x000 StartingVpn      : 0x400
     +0x004 EndingVpn        : 0x410
     +0x008 Parent           : 0x816afb68 _MMVAD
     +0x00c LeftChild        : 0x81672bb0 _MMVAD
     +0x010 RightChild       : 0x817b58d8 _MMVAD  ;再来一次
     +0x014 u                : __unnamed
     +0x018 ControlArea      : 0x8144a2f8 _CONTROL_AREA   ;这里是进程映像的地方。
     +0x01c FirstPrototypePte : 0xe24faaa0 _MMPTE
     +0x020 LastContiguousPte : 0xfffffffc _MMPTE
     +0x024 u2               : __unnamed
  lkd> dt_MMVAD 0x817b58d8 
  nt!_MMVAD
     +0x000 StartingVpn      : 0x7c920
     +0x004 EndingVpn        : 0x7c9b3
     +0x008 Parent           : 0x816b21d8 _MMVAD
     +0x00c LeftChild        : 0x81731348 _MMVAD
     +0x010 RightChild       : 0x81629b70 _MMVAD
     +0x014 u                : __unnamed
     +0x018 ControlArea      : 0x81f05138 _CONTROL_AREA   ;从这里进去。。
     +0x01c FirstPrototypePte : 0xe1377040 _MMPTE
     +0x020 LastContiguousPte : 0xfffffffc _MMPTE
     +0x024 u2               : __unnamed
  lkd> dt_CONTROL_AREA 0x81f05138 
  nt!_CONTROL_AREA
     +0x000 Segment          : 0xe1377008 _SEGMENT
     +0x004 DereferenceList  : _LIST_ENTRY [ 0x0 - 0x0 ]
     +0x00c NumberOfSectionReferences : 1
     +0x010 NumberOfPfnReferences : 0x6d
     +0x014 NumberOfMappedViews : 0x19
     +0x018 NumberOfSubsections : 5
     +0x01a FlushInProgressCount : 0
     +0x01c NumberOfUserReferences : 0x1a
     +0x020 u                : __unnamed
     +0x024 FilePointer      : 0x81e9d938 _FILE_OBJECT  ;这里可以得到模块信息
     +0x028 WaitingForDeletion : (null) 
     +0x02c ModifiedWriteCount : 0
     +0x02e NumberOfSystemCacheViews : 0
  lkd> dt_FILE_OBJECT 0x81e9d938 ;到这里ntdll.dll已经出来了。。。。
  nt!_FILE_OBJECT
     +0x000 Type             : 5
     +0x002 Size             : 112
     +0x004 DeviceObject     : 0x81dce7b8 _DEVICE_OBJECT
     +0x008 Vpb              : 0x81e9f8e0 _VPB
     +0x00c FsContext        : 0xe13939e0 
     +0x010 FsContext2       : 0xe1393b38 
     +0x014 SectionObjectPointer : 0x81e9338c _SECTION_OBJECT_POINTERS
     +0x018 PrivateCacheMap  : (null) 
     +0x01c FinalStatus      : 0
     +0x020 RelatedFileObject : (null) 
     +0x024 LockOperation    : 0 ''
     +0x025 DeletePending    : 0 ''
     +0x026 ReadAccess       : 0x1 ''
     +0x027 WriteAccess      : 0 ''
     +0x028 DeleteAccess     : 0 ''
     +0x029 SharedRead       : 0x1 ''
     +0x02a SharedWrite      : 0 ''
     +0x02b SharedDelete     : 0 ''
     +0x02c Flags            : 0x44040
     +0x030 FileName         : _UNICODE_STRING "\WINDOWS\system32\ntdll.dll"
     +0x038 CurrentByteOffset : _LARGE_INTEGER 0x0
     +0x040 Waiters          : 0
     +0x044 Busy             : 0
     +0x048 LastLock         : (null) 
     +0x04c Lock             : _KEVENT
     +0x05c Event            : _KEVENT
     +0x06c CompletionContext : (null) 
  lkd> dt_FILE_OBJECT 0x81c08350 ;再往后是kernel32.dll
  nt!_FILE_OBJECT
  ;......................
     +0x030 FileName         : _UNICODE_STRING "\WINDOWS\system32\kernel32.dll"
  ;......................
   
  
  这里是源码，包含了大量硬编码，要编译的话自己搜索一下就可以。
  Code:
  
  
  //
  //在Ring0下通过遍历VAD获取进程内的模块（WinXP SP2）
  //By 小伟的小伟[0GiNr](看雪ID：xPLK)
  //http://www.0GiNr.com
  //http://hi.baidu.com/zoo%5F
  /
  VOID ShowModules()
  {
      ULONG VAD;
      PEPROCESS TargetProcess;
      
      PsLookupProcessByProcessId( (HANDLE)Pid,TargetProcess);
      if(!TargetProcess)
       {
          dprintf("[EnumModules] Error on Get EProcess By Pid.");
          return;
       }
      VAD = *(ULONG *)((ULONG)TargetProcess + Vad);
      //+0x11c VadRoot : Ptr32 Void
      dprintf("[EnumModules] EPROCESS : 0x%X , VAD : 0x%X",TargetProcess,VAD);
      PreOrderTraverse(VAD);  //遍历二叉树。。。
      dprintf("[EnumModules] Modules count : %d",nCount);
      //start.
  }
  
  VOID PreOrderTraverse(ULONG mmVad)
  {
      if ( MmIsAddressValid( (ULONG *)mmVad ) )
       {
          ShowPath(mmVad);//读取地址
          PreOrderTraverse( *(ULONG *)(mmVad + LeftChild) );
          PreOrderTraverse( *(ULONG *)(mmVad + RightChild) );
       }
  }
  
  VOID ShowPath(ULONG mmVad)
  {
      PUNICODE_STRING pPath;
      ULONG ca;//_CONTROL_AREA
      ULONG fp;//_FILE_OBJECT
      ca = *(ULONG *)(mmVad + ControlArea);
      if( !MmIsAddressValid( (ULONG *)ca ) )
       {
          //dprintf("[EnumModules] ControlArea is not available : 0x%X",ca);
          return;
       }
      fp = *(ULONG *)(ca + FilePointer);
      if( !MmIsAddressValid( (ULONG *)fp ) )
       {
          //dprintf("[EnumModules] FileObject is not available : 0x%X",fp);
          return;
       }
      pPath = (PUNICODE_STRING)(fp + FileName);
      dprintf("[EnumModules] The file name is %S",pPath->Buffer);
      //dprintf("[EnumModules] The MMVAD is 0x%X",mmVad);
      //dprintf("\n");
      nCount++;//计数
  }
  
  
  这样和用NtQueryVirtualMemory扫描出来的结果一样(MemorySectionName)，可以在DebugView里看到。输出是这样的。
  [EnumModules] The file name is \Project\VisualC++\HideModule\Release\HideModule.exe
  [EnumModules] The file name is \WINDOWS\system32\ntdll.dll
  [EnumModules] The file name is \WINDOWS\system32\kernel32.dll
  [EnumModules] The file name is \WINDOWS\system32\advapi32.dll
  [EnumModules] The file name is \WINDOWS\system32\rpcrt4.dll
  [EnumModules] The file name is \WINDOWS\system32\gdi32.dll
  [EnumModules] The file name is \WINDOWS\system32\user32.dll
  [EnumModules] The file name is \WINDOWS\system32\imm32.dll
  [EnumModules] The file name is \WINDOWS\system32\msvcrt.dll
  [EnumModules] The file name is \WINDOWS\system32\apphelp.dll
  [EnumModules] The file name is \WINDOWS\system32\version.dll
  [EnumModules] The file name is \WINDOWS\system32\lpk.dll
  [EnumModules] The file name is \WINDOWS\system32\usp10.dll
  [EnumModules] The file name is \WINDOWS\system32\unicode.nls
  [EnumModules] The file name is \WINDOWS\system32\sortkey.nls
  [EnumModules] The file name is \WINDOWS\system32\ctype.nls
  [EnumModules] The file name is \WINDOWS\system32\sorttbls.nls
  [EnumModules] The file name is \WINDOWS\system32\locale.nls
  
  
  所以要隐藏呢，就简单了，当然遍历二叉树找到需要隐藏的DLL的时候，我们可以做手脚。
  当初测试抹掉FileObject会不稳定，运行某些程序会蓝屏。
  
  感谢炉子提示，抹掉_FILE_OBJECT里面的路径就可以了。
  代码如下：
  
  RtlZeroMemory(pPath->Buffer,pPath->Length);
  pPath->Length = 0;
  pPath->MaximumLength = 0;
  ///
  
  
  效果图如下,我隐藏的是ntdll.dll，IceSword是最新版：
  
  比较有意思的是，隐藏掉了之后，再所有进程中都不会显示该模块(ntdll.dll)。
  经过测试，对新创建的进程同样有效，新进程中也没有ntdll.dll的痕迹（IceSword）。
  抹了这点地方，应该还是有办法检测出来的。
  大家发挥创造力吧。

再次感谢几位朋友的帮忙：
  aegisys: http://hi.baidu.com/aegisys
  Sysnap :http://hi.baidu.com/sysnap
  炉子 :http://hi.baidu.com/breakinglove_
  FlowerCode: http://hi.baidu.com/flowercode
  
  本人菜鸟，文中难免有所缺漏，敬请各位看官指出不足之处。。

注：sysnap大牛已经检测出来了，得到了一个基址，十分不错，我把bin放出来，有兴趣的可以玩一下，完整src就不放了，主要是怕流氓啊~。
--------------------------------------------------------------------------------
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!

2008年06月19日 18:02:30*转载请注明来自看雪论坛@PEdiy.com

jpg改rar