内射老阿姨1区2区3区4区_久久精品人人做人人爽电影蜜月_久久国产精品亚洲77777_99精品又大又爽又粗少妇毛片

針對新型進(jìn)程注入技術(shù)Ctrl-Inject原理分析-創(chuàng)新互聯(lián)

概述

目前成都創(chuàng)新互聯(lián)已為上千余家的企業(yè)提供了網(wǎng)站建設(shè)、域名、網(wǎng)站空間、網(wǎng)站改版維護(hù)、企業(yè)網(wǎng)站設(shè)計(jì)、汕尾網(wǎng)站維護(hù)等服務(wù),公司將堅(jiān)持客戶導(dǎo)向、應(yīng)用為本的策略,正道將秉承"和諧、參與、激情"的文化,與客戶和合作伙伴齊心協(xié)力一起成長,共同發(fā)展。

針對新型進(jìn)程注入技術(shù)Ctrl-Inject原理分析

  在本文中,我們將主要介紹一種新型的進(jìn)程注入方法,我們稱之為“Ctrl-Inject”,它利用控制臺(tái)應(yīng)用程序中處理Ctrl信號的機(jī)制實(shí)現(xiàn)注入。在研究的過程中,我們在瀏覽MSDN時(shí)發(fā)現(xiàn)有一條關(guān)于Ctrl信號處理的相關(guān)評論:“這是一個(gè)與SetConsoleCtrlHandler函數(shù)( https://docs.microsoft.com/en-us/windows/console/setconsolectrlhandler )一起使用的函數(shù),由應(yīng)用程序定義??刂婆_(tái)進(jìn)程使用此函數(shù)來處理進(jìn)程收到的控制信號。當(dāng)收到信號后,系統(tǒng)會(huì)在進(jìn)程中啟動(dòng)一個(gè)新的線程來執(zhí)行該函數(shù)?!边@也就意味著,每次我們觸發(fā)一個(gè)信號到一個(gè)基于控制臺(tái)的進(jìn)程時(shí),系統(tǒng)都會(huì)調(diào)用一個(gè)在新線程中調(diào)用的處理函數(shù)。正因如此,我們可以借助這一特點(diǎn),來實(shí)現(xiàn)一個(gè)不同于以往的進(jìn)程注入。

控制信號處理

  當(dāng)用戶或進(jìn)程向基于控制臺(tái)的進(jìn)程(例如cmd.exe或powershell.exe)發(fā)送Ctrl + C(或Break)信號時(shí),系統(tǒng)進(jìn)程csrss.exe將會(huì)在目標(biāo)進(jìn)程中創(chuàng)建一個(gè)新的線程來調(diào)用函數(shù)CtrlRoutine。CtrlRoutine函數(shù)負(fù)責(zé)包裝使用SetConsoleCtrlHandler的處理程序。接下來,我們深入研究一下CtrlRoutine,首先注意到了下面這段代碼:

針對新型進(jìn)程注入技術(shù)Ctrl-Inject原理分析

  該函數(shù)使用名為HandlerList的全局變量來存儲(chǔ)回調(diào)函數(shù)列表,在該函數(shù)中會(huì)循環(huán)執(zhí)行,直到其中一個(gè)處理程序返回TRUE(通知該信號已被處理)為止。為了使處理程序成功執(zhí)行,它必須滿足以下條件:1、函數(shù)指針必須正確編碼。處理程序列表中的每個(gè)指針都使用RtlEncodePointer進(jìn)行編碼,并在執(zhí)行之前使用RtlDecodePointer API進(jìn)行解碼。因此,未經(jīng)編碼的指針很有可能會(huì)導(dǎo)致程序崩潰。2、指向有效的CFG(Control Flow Guard,控制流防護(hù))目標(biāo)。CFG通過驗(yàn)證間接調(diào)用的目標(biāo)是否為有效函數(shù),來嘗試對間接調(diào)用進(jìn)行保護(hù)。我們來看一下SetConsoleCtrlHandle,看看它如何設(shè)置一個(gè)Ctrl處理程序,以便我們以后可以模仿其方式。在下圖中,我們可以看到各個(gè)指針在添加到HandlerList之前是如何編碼的。

針對新型進(jìn)程注入技術(shù)Ctrl-Inject原理分析

  接下來,我們看到了一個(gè)名為SetCtrlHandler的內(nèi)部函數(shù)調(diào)用。該函數(shù)更新了兩個(gè)變量:一個(gè)是HandlerList,用于添加一個(gè)新的指針;另一個(gè)全局變量是HandlerListLength,增加了它的長度以適應(yīng)新的列表大小。

針對新型進(jìn)程注入技術(shù)Ctrl-Inject原理分析

  現(xiàn)在,由于HandlerList和HandlerListLength變量駐留在kernelbase.dll模塊中,并且該模塊會(huì)映射到所有進(jìn)程的相同地址,所以我們可以在進(jìn)程中找到它們的地址,然后使用WriteProcessMemory在遠(yuǎn)程進(jìn)程中更新它們的值。我們的工作還沒有完成,考慮到CFG和指針編碼的存在,我們需要找到一種方法來繞過它們。

繞過指針編碼

  在Windows 10之前的版本中,我們需要理解指針編碼、解碼的工作原理,從而應(yīng)對指針編碼保護(hù)。接下來,我們一起深入了解一下EncodePointer的工作原理。

針對新型進(jìn)程注入技術(shù)Ctrl-Inject原理分析

  開始,存在一個(gè)對NtQueryInformationProcess的調(diào)用,其定義如下:

  NTSTATUS WINAPI NtQueryInformationProcess(

  _In_HANDLE ProcessHandle,

  _In_PROCESSINFOCLASS ProcessInformationClass,

  _Out_ PVOIDProcessInformation,

  _In_ULONGProcessInformationLength,

  _Out_opt_ PULONG ReturnLength

  );

  根據(jù)上述定義,我們可以做出以下假設(shè):1、ProcessHandle:當(dāng)傳遞-1的值時(shí),它代表引用調(diào)用進(jìn)程的函數(shù)。2、ProcessInformationClass:該參數(shù)的值為0x24,這是一個(gè)未公開的值,要求內(nèi)核檢索進(jìn)程加密Cookie。Cookie本身駐留在EPROCESS結(jié)構(gòu)中。在檢索加密Cookie后,我們可以看到幾個(gè)涉及輸入指針和加密Cookie的操作。具體為:

  EncodedPointer = (OriginalPointer ^ SecretCookie) >> (SecretCookie & 0x1F)

  一種繞過的方法,是使用CreateRemoteThread執(zhí)行RtlEncodePointer,并將NULL作為參數(shù)傳遞給它,如下所示:1) EncodedPointer = (0 ^ SecretCookie) >> (SecretCookie & 0x1F)2) EncodedPointer = SecretCookie >> (SecretCookie & 0x1F)這樣一來,返回值將被Cookie旋轉(zhuǎn)的值增加到31倍(在64位Windows 10環(huán)境上該值為63,即0x3f)。如果我們在目標(biāo)進(jìn)程上使用已知的編碼地址,就能夠暴力猜測出原始Cookie值。以下代碼展示了如何對Cookie進(jìn)行暴力猜測:

針對新型進(jìn)程注入技術(shù)Ctrl-Inject原理分析

  在Windows 10及以上版本中,微軟非常慷慨地為我們提供了一組新的API,稱為RtlEncodeRemotePointer和RtlDecodeRemotePointer。顧名思義,我們傳遞一個(gè)進(jìn)程句柄和一個(gè)指針,該API將會(huì)為目標(biāo)進(jìn)程返回一個(gè)有效的編碼后指針。此外,還有另一種提取Cookie的技術(shù),請參考: https://github.com/changeofpace/Remote-Process-Cookie-for-Windows-7/blob/master/Remote%20Process%20Cookie%20for%20Windows%207/main.cpp 。

繞過CFG

  到目前為止,我們已經(jīng)將我們的代碼注入到目標(biāo)進(jìn)程,并修改了HandlerList和HandlerListLength的值。如果我們現(xiàn)在嘗試發(fā)送Ctrl+C信號來觸發(fā)代碼,該進(jìn)程會(huì)引發(fā)異常,最終自行終止。其原因在于,CFG會(huì)注意到我們正在嘗試跳轉(zhuǎn)到一個(gè)非有效調(diào)用目標(biāo)的指針。幸運(yùn)的是,微軟對我們一直非常友善,他們發(fā)布了另外一個(gè)有用的API,名為SetProcessValidCallTargets。

  WINAPI SetProcessValidCallTargets(

  _In_HANDLEhProcess,

  _In_PVOID VirtualAddress,

  _In_SIZE_TRegionSize,

  _In_ULONG NumberOfOffsets,

  _Inout_ PCFG_CALL_TARGET_INFO OffsetInformation

  );

  簡而言之,我們傳遞進(jìn)程句柄和指針后,該API會(huì)將其設(shè)置為有效的調(diào)用目標(biāo)。此外,如果使用我們此前介紹過的( https://blog.ensilo.com/documenting-the-undocumented-adding-cfg-exceptions )未記錄的API也可以實(shí)現(xiàn)這一點(diǎn)。

觸發(fā)Ctrl+C事件

  現(xiàn)在一切準(zhǔn)備就緒,我們需要做的就是在目標(biāo)進(jìn)程上觸發(fā)Ctrl + C,以調(diào)用我們的代碼。有幾種方法可以觸發(fā)它。在這種情況下,我們可以使用SendInput的組合,來觸發(fā)系統(tǒng)范圍的Ctrl鍵按鍵,以及用于發(fā)送C鍵的PostMessage。同樣,也適用于隱藏或不可見的控制臺(tái)窗口。以下是觸發(fā)Ctrl-C信號的函數(shù):

針對新型進(jìn)程注入技術(shù)Ctrl-Inject原理分析

揭秘底層

  從實(shí)質(zhì)上來說,在這個(gè)進(jìn)程注入技術(shù)中,我們將代碼注入到目標(biāo)進(jìn)程中,但是我們從不直接調(diào)用它。也就是說,我們從來沒有自己調(diào)用CreateRemoteThread或使用SetThreadContext改變執(zhí)行流。相反,我們正在讓csrss.exe為我們調(diào)用它,這樣一來就顯得是一個(gè)正常的行為,不會(huì)被懷疑。其原因在于,每次將Ctrl + C信號發(fā)送到基于控制臺(tái)的應(yīng)用程序時(shí),conhost.exe會(huì)調(diào)用類似于調(diào)用堆棧的內(nèi)容,如下所示:

針對新型進(jìn)程注入技術(shù)Ctrl-Inject原理分析

  其中,CsrClientCallServer會(huì)傳遞一個(gè)唯一索引標(biāo)識符(0x30401),然后將其傳遞給csrss.exe服務(wù)。在其中,會(huì)從調(diào)度表中調(diào)用一個(gè)名為SrvEndTask的函數(shù)。調(diào)用鏈具體如下:

針對新型進(jìn)程注入技術(shù)Ctrl-Inject原理分析

  在這個(gè)調(diào)用鏈的最后,我們看到了RtlCreateUserThread,它負(fù)責(zé)在目標(biāo)進(jìn)程上執(zhí)行我們的線程。注意:盡管Ctrl-Inject技術(shù)僅針對于控制臺(tái)應(yīng)用程序,但也可能會(huì)在很多控制臺(tái)應(yīng)用程序上被濫用,最值得注意的就是cmd.exe。

總結(jié)

  現(xiàn)在,我們已經(jīng)了解了這個(gè)新型的進(jìn)程注入方法,掌握了該方法的工作原理以及其背后到底發(fā)生了什么。在最后,我們可以總結(jié)一下Ctrl-Inject技術(shù)。這種技術(shù)與傳統(tǒng)線程注入技術(shù)相比,主要優(yōu)點(diǎn)是遠(yuǎn)程線程是由可信的Windows進(jìn)程csrss.exe創(chuàng)建,這使得它得隱蔽性更強(qiáng)。但同樣存在缺點(diǎn),就是這種方法僅適用于控制臺(tái)應(yīng)用程序。

  要進(jìn)行這種進(jìn)程注入技術(shù),所需的步驟如下:1、將OpenProcess附加到控制臺(tái)進(jìn)程。2、通過調(diào)用VirtualAllocEx,為惡意負(fù)載分配一個(gè)新的緩沖區(qū)。3、使用WriteProcessMemory將數(shù)據(jù)寫入分配的緩沖區(qū)。4、使用目標(biāo)進(jìn)程cookie將指針指向指定的緩沖區(qū)。通過調(diào)用帶有空指針的RtlEncodePointer并手動(dòng)編碼指針或通過調(diào)用RtlEncodeRemotePointer來實(shí)現(xiàn)。5、通知遠(yuǎn)程進(jìn)程,新指針是可以使用SetProcessValidCallTargets的有效指針。6、最后,使用PostMessage和SendInput的組合觸發(fā)Ctrl + C信號。7、恢復(fù)原始處理程序列表。

當(dāng)前名稱:針對新型進(jìn)程注入技術(shù)Ctrl-Inject原理分析-創(chuàng)新互聯(lián)
URL標(biāo)題:http://www.rwnh.cn/article42/csssec.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供服務(wù)器托管、網(wǎng)站制作網(wǎng)站排名、網(wǎng)站導(dǎo)航Google、靜態(tài)網(wǎng)站

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)

成都app開發(fā)公司
洪泽县| 商丘市| 会泽县| 什邡市| 抚顺县| 攀枝花市| 开封市| 金塔县| 古丈县| 田阳县| 泾川县| 东乌| 南阳市| 钦州市| 叙永县| 东安县| 芜湖县| 焉耆| 揭西县| 定南县| 从江县| 科尔| 贺州市| 高雄市| 安义县| 马尔康县| 彭州市| 阿拉善右旗| 绥滨县| 永嘉县| 朝阳区| 綦江县| 青龙| 平安县| 阿图什市| 翼城县| 礼泉县| 灵台县| 乃东县| 同仁县| 临清市|