记一次对<Ring3钩子保护自身>例程的分析,付解决DEMO和思路

ExitProces

又是R3,也许很多人很不耐烦.
首先想和大家说明的是,为什么我这么喜欢R3.R0是系统的内核层,具有最高特权.我也很想喜欢R0,因为一旦进入R0之后就基本可以为所欲为.
但是,理想是丰满的,现实是残酷的.无论是谁都想拥有最高特权,无论是谁都不想被别人拥有最高特权.所以,先进入R0层的程序肯定会封堵一切进入R0的路径.
就比如,所有的杀软都会拦截加载驱动,驱动木马也会拦截杀软的驱动加载.而当进入R0失败之后,或者说是可能进入R0失败之后,我们就得在R3下思考解决办法.
太多的情况会阻止驱动的加载,驱动一旦加载失败,整个程序基本就废了.而R3层却不会这样,能运行就能实现大多数的行为.即使API被HOOK了,也会有很多解决的办法.
而且对驱动的编写比较苛刻,没有参数校验,任何小小的问题都会导致蓝屏.反之,R3的稳定性则好很多.

所以,我在想,绞尽自己的脑汁,如果能在R3下能实现R0下的大部分功能,那跑在R3下不就很好吗?

当然,我不是觉得R3比R0好,也不是推荐大家用R3的工具.反而我推荐首选PCHUNTER这种R0神器.只是在R0工具失效之后可以尝试一下R3的工具.仅此而已.

===========================================================================================

昨天闲着有空,在VBGOOD论坛的系统底层访问版块下载329510010的<Ring3钩子保护自身>进行测试时,觉得这个R3下的自保不一般.决定静下心来看看.
地址:http://www.vbgood.com/thread-95180-1-1.html
PS:例程运行之后会挂全局消息钩子将DLL注入到所有当前有窗口的进程中,由于API HOOK的比较多,建议保存当前文档,或者在虚拟机下进行测试!
HOOK.rar (21.88 KB, 下载次数: 981)

2015-3-23 17:49 上传

点击文件名下载附件

1

用AntiRookit4Dream查看时可以发现TEST.exe在R3下是处于拒绝访问状态的,

2

因为ARK4D在打开进程的时候用的不仅仅只是NtOpenProcess,而且是在csrss.exe中搜索句柄表,并且使用NtDuplicateObject从csrss.exe中复制并获取目标句柄.
我一下纳闷了,R3下居然能做到使NtOpenProcess,NtDuplicateObject同时失效,作者实在是不容小觑~于是我更感兴趣了~
用taskkill /f /pid命令尝试结束的时候,发现目标居然就这么轻易的被结束了,

3

因为taskkill.exe没有窗口,没有消息队列,所以SetWindowsHookEx无法注入到taskkill.exe中.因此无法对taskkill.exe实现APIHOOK从而实现自保.
很容易就断定,目标进程一定是全局消息钩子实现的DLL注入.同时没有使用到远程线程注入,而且没有对新进程进行监控.
到这里,就感觉自我保护的强度大大降低了,但是我还是对目标的DLL非常感兴趣,所以还是打算看一看.
用PCHUNTER的应用层钩子查看了一下ARK4D被目标进程HOOK的API,不看不知道,一看吓坏了,这绝对是高手啊,绝对是高手放水了啊!居然一共Hook了ntdll,kernel32的26个API!

4

果不其然,NtDuplicateObject被Hook了.怪不得应用层拒绝访问.
仔细观察了一下,发现Hook的API还是比较齐全的,从句柄,进程,线程,窗体,消息等方面都做的比较齐全了,但是还是漏了几个API没有Hook到.
在这里不禁非常佩服作者,居然能Hook了那么多API,而且能保持的这么稳定不崩溃,在这里先表示膜拜了.
于是下一步打算写个小程序从正面和这个很强悍的例程对抗.所谓正面,就是具有窗体的,会被例程的消息钩子钩到的.(通过调用无窗体的taskkill命令就没意思了╮(╯▽╰)╭)
思路有三,:
一,扫描自身进程的模块,卸载被消息钩子加载进来的APIHOOK.dll,然后结束.
二,扫描自身进程所有的API函数首地址,恢复被Hook的API,然后结束.
三,阻止APIHOOK.dll的加载.
纵观上面三思路,感觉思路一不靠谱,一卸载,消息一到,APIHOOK.dll又立马加载.思路二比较复制麻烦.感觉还是思路三较好.
可是,如何阻止APIHOOK.dll的加载呢?
以其人之道还治其人之身,他用APIHOOK,我也可以用APIHOOK技术.但是不是HOOK目标进程,而是自身进程.HOOK自身进程的LoadLibraryA,
但是感觉LoadLibrary函数族里有更底层的LoadLibraryExW,于是决定从LoadLibraryExW下手.
LoadLibraryExW的原型:

HMODULE WINAPI LoadLibraryEx(
  _In_        LPCTSTR lpFileName,
  _Reserved_  HANDLE hFile,
  _In_        DWORD dwFlags
);

参数一lpFileName是指向Unicode字串的指针,可以通过RtlUnicodeStringToAnsiString转成Ansi字符串.从而达到时别并拦截的效果.
但是,这里需要注意的是,在调用RtlUnicodeStringToAnsiString函数的时候,一定要确保函数已经事先被加载,或者是LoadLibraryExW处于非Hook状态,否则会循环递归直至程序崩溃.
参数二可以不用管.参数三为8时代表了是全局消息钩子加载的DLL.但是我想做的是拦截一切非系统DLL的载入.所以此处也可以不用管.
拦截过程是,搜索匹配lpFileName字串,将ntdll.dll,kernel32.dll,user32.dll(等等,还有其他系统DLL)匹配成功后,再使用LdrLoadDll加载并返回,否则一律返回0.
注意!!注意!!注意!!此处需要注意!!可能会有被加载的DLL是伪装为ntdll.dll,kernel32.dll,user32.dll等系统DLL的名称,所以,再在加载的时候不能直接引用lpFlieName的路径,
应当使用C:\Windows\System32\ntdll.dll的路径,也就是,即使对方想通过伪装被加载,我们就给他加载个真正的系统dll.这样就会比较安全靠谱.
这时候,如果拦截dll加载成功的话,自身进程的API就不会被APIHOOK.dll Hook了,所以就放心大胆的使用了最普通的OpenProcess和TerminateProcess.
而且,这样的话,基本就免疫大部分R3下的进程保护了.
至此,所有分析步骤基本已经完成.就可以动手写了程序了.
由于我使用的语言为易语言,所以,源码就不放出了,仅提供思路和exe.
效果:
同时打开TEST.exe,ARK4D和HookLoadLibraryExW.exe程序.

再使用PCHUNTER查看应用层钩子,看看ARK4D和HookLoadLibraryExW.exe的API情况:
ARK4D依然惨不忍睹...

6

然而,HookLoadLibraryExW.exe却大有不同,达到了预期的效果,只有一个被自身Hook的LoadLibraryEx:

7

测试:
测试了一下,使用HookLoadLibraryExW.exe程序结束TEST.exe成功.但是,由于没有脱钩的explorer.exe却遭罪了:

8

就这样,329510010的<Ring3钩子保护自身>已经被完美的Anti了.
下面给出附件DEMO,再次说明一次:由于我使用的语言为易语言,所以,源码就不放出了,仅提供思路和exe.
实践环境: VMware10 + XP SP3 MSDN原版
HookLoadLibraryExW.rar (302.05 KB, 下载次数: 1011)

2015-3-23 17:49 上传

点击文件名下载附件
大家可以自行下载附件,通过你们的编程或是网上下载的任意DLL注入工具,实现向HookLoadLibraryExW.exe中成功注入DLL吧.
记得@我哦~

边缘vip

explorer的重启似乎不可避免

ExitProces

边缘vip 发表于 2015-3-23 21:44
explorer的重启似乎不可避免

可以避免的,其实只需要对explorer.exe用SetWindowsLong重置消息队列,拦截被设置了全局钩子的消息,然后使用FreeLibrary函数卸载explorer.exe中的APIHOOK.dll,再结束目标进程即可.

yjwfdc

我也用易语言，
你这样发贴，会引发很多人学习易语言的，实在不好。

ExitProces

yjwfdc 发表于 2015-3-24 23:13
我也用易语言，
你这样发贴，会引发很多人学习易语言的，实在不好。

这,居然让我无言以对...

只有不好的程序员, 没有不好的语言

benlvan

R3的HOOK是没意义的。
要反一切R3的API HOOK，都可以用一个最简单的方法：自己组建机器码。
你用WINDBG去U一下任意一个NTAPI，看看组成是不是都很类似？唯一不同的是编号。比如：

1. 0:000> u ntdll!ntopenprocess l10
   
2. ntdll!ZwOpenProcess:
   
3. 00000000`77ef0c40 4c8bd1          mov     r10,rcx
   
4. 00000000`77ef0c43 b823000000      mov     eax,23h  //这里不同
   
5. 00000000`77ef0c48 0f05            syscall
   
6. 00000000`77ef0c4a c3              ret
   
7. 00000000`77ef0c4b 666690          xchg    ax,ax
   
8. 00000000`77ef0c4e 6690            xchg    ax,ax
   
9. ntdll!ZwSetInformationFile:
   
10. 00000000`77ef0c50 4c8bd1          mov     r10,rcx
    
11. 00000000`77ef0c53 b824000000      mov     eax,24h  //这里不同
    
12. 00000000`77ef0c58 0f05            syscall
    
13. 00000000`77ef0c5a c3              ret
    
14. 00000000`77ef0c5b 666690          xchg    ax,ax
    
15. 00000000`77ef0c5e 6690            xchg    ax,ax

复制代码

（以上代码取自WINDOWS XP X64）
所以只要自己组建一下机器码，实现NTAPI，然后调用自己组建的NTAPI，即可干掉一切RING3的自我保护，连RELOAD DLL都不需要。

ExitProces

benlvan 发表于 2015-3-28 19:19
R3的HOOK是没意义的。
要反一切R3的API HOOK，都可以用一个最简单的方法：自己组建机器码。
你用WINDBG去 ...

hovidelphic前辈教训的是,虽然我也知道研究R3下的任何成果都是没有意义的.这些都绝不会被任何AV,ARK所需要.虽然我知道,但是我希望我能通过这些研究,能渐渐了解和熟悉windows,至少能学习或反思出一些系统编程的思想.如果能达到这个目标,就已经很满足了.
所有关于R3的研究,结果终究会是无用.但是,过程却有意义,那就是,为了学习windows内核做准备.

wowowo

VB GOOD论坛也半死不活了 一个问题半天都没人回答

ExitProces

wowowo 发表于 2015-4-4 17:04
VB GOOD论坛也半死不活了 一个问题半天都没人回答

同感同感必须握爪

话说CSDN上的那个@dengchaozhu是你吗?

wowowo

ExitProces 发表于 2015-4-4 18:22
同感同感必须握爪

话说CSDN上的那个@dengchaozhu是你吗?

不是啊。。。。