三个nop的玄机

2014-2-10 Nie.Meining Debug

最近百度卫士宣传力度挺大,春节在家闲来无事下载了一个看看。第一印象感觉界面简约,功能干净不臃肿,是我喜欢的风格。首先在x86环境下看看hook点:

1.png

跟360、金山卫士、QQ管家等其它主动防御一样,hook点选择了系统调用的分发函数KiSystemServiceRepeat。而且hook方式跟QQ管家很像,将mov edi, esp; cmp esi, xxx; 这两条指令替换成了三个nop和一个jmp,但是他们之间的区别是,QQ管家是先nop再jmp,百度卫士是先jmp再nop。其实这个顺序是有玄机的!(以前逆向过QQ管家,感谢sysnap大牛点拨)

我们先看看hook前的原始指令截图如下:

2.png

我们现在来考虑一个小概率的特殊情况,假如某个内核线程正好执行完图中的mov edi, esp指令(即将执行下一条指令cmp esi, xxx)时,hook操作发生了。在这种情况下,按照QQ管家的hook方式,该内核线程可以安全着陆(下一条指令变成了nop而已),但是百度卫士的hook方式可能会导致蓝屏。因此从hook安全的角度上来讲还是先nop后jmp好一些。不过这是个小概率事件。

接着看了看jmp到的地址,在bd0001.sys驱动中:

3.png

各种需要的信息压栈后,call过滤函数。过滤函数部分截图如下:

4.png

感觉跟其它主动防御的处理方式也差不多。由于曾经逆向过QQ管家(QQ电脑管家中的TsFltMgr Hook框架分析》、QQ电脑管家中的 Hook 过程分析》),这里就没再继续了。另外由于这种处理框架在现有的主动防御软件中非常流行,我曾经也自己手痒仿照这种框架完成过一个主动防御的雏形,开源放到了看雪上了:《发一个主动防御的代码》。

接下来用64位的win8系统也做了一下测试。由于PatchGuard的原因,64位主动防御目前主要采用对象钩子实现。测试的截图如下:

5.png

图中 CallbackDetect.sys 中的钩子是我的检测模块注册的假钩子;bd0001.sys 中的钩子是百度卫士注册的钩子;其它是360注册的钩子。对象钩子的检测方法可以参考我前几天写的《ObCallback 回调钩子检测》。不过该文章中有些结构逆向得不太精确,感谢FlowerCode大牛的讨论和补充,两个关键结构精确描述如下:

typedef struct _CALLBACK_BODY {
	LIST_ENTRY                  CallbackList;
	OB_OPERATION                Operations;
	ULONG                       Active;
	OB_HANDLE                   Handle;
	POBJECT_TYPE                ObjectType;
	POB_PRE_OPERATION_CALLBACK  PreOperation;
	POB_POST_OPERATION_CALLBACK PostOperation;
	EX_RUNDOWN_REF              RundownProtection;
} CALLBACK_BODY, *PCALLBACK_BODY;

typedef struct _CALLBACK_NODE {
	USHORT         Version;
	USHORT         OperationRegistrationCount;
	PVOID          RegistrationContext;
	UNICODE_STRING Altitude;
	CALLBACK_BODY  Entries[1];
} CALLBACK_NODE, *PCALLBACK_NODE;

评论:

Favidbyday
约 15 小时前
viagra our newest member
[url=http://xlviagragtr.com]generic viagra online
[/url]  viagra 20mg canada our newest member
<a href="http://xlviagragtr.com">generic viagra online
</a> - viagra once daily
viagra 10mg or 20mg total members
MartinHen
2018-11-16 05:33
Believe in the brand instructions carefully. Some medications need to be charmed with victuals; others should be captivated on an pour out stomach. Bid your doctor or druggist http://withoutdoctorsprescription-viagra.com real viagra without a doctor prescription if there are any foods that should be avoided while alluring your medication. If you are entrancing medications with bath-water, drink a chuck-full 8-ounce lorgnette of water.
Fortunataknoca
2018-11-15 07:42
pfizer online for sale cheap

     916a online working time
Fortunataknoca
2018-11-15 00:59
price of pfizer online

     916a compra online contrassegn
Selifanknoca
2018-11-13 11:42
online daily doses

     5978 quanto costa il online 5 mg
Leonidaknoca
2018-11-12 17:41
order online with mastercard

370d online 5mg 28x

370d
Leonidaknoca
2018-11-12 09:15
click here online next day

370d only now online 25 mg

370d
Robertknoca
2018-11-12 08:19
uk online online

9504 pfizer online 50mg safe to use

9504 para mujeres que online para

9504
Leonidaknoca
2018-11-12 05:12
order online online uk  view

370d online 20 mg precio

370d
Leonidaknoca
2018-11-12 04:03
pfizer online price in mumbai

370d online in

370d
Leonidaknoca
2018-11-12 02:44
online online name

370d brand meds online

370d
Robertknoca
2018-11-11 23:48
took 30mg of online

9504 we use it online by mail

9504 actu online posologie patients

9504
Robertknoca
2018-11-11 21:07
online onlineo online sicur

9504 only now online original use

9504 i use it online online in usa

9504
Edgarknoca
2018-11-11 07:43
female online alternative

     b97f online pbs
Edgarknoca
2018-11-11 04:54
online price 25 mg

     b97f online or online side effects

发表评论:

Powered by emlog