基层建设网站是不是停办了,网站编辑是做什么,邢台做网站哪家便宜,WordPress建站教程 网盘01
— 杀软或EDR内核回调简介 Windows x64 系统中#xff0c;由于 PatchGuard 的限制#xff0c;杀软或EDR正常情况下#xff0c;几乎不能通过 hook 的方式#xff0c;完成其对恶意软件的监控和查杀。那怎么办呢#xff1f;别急#xff0c;微软为我们提供了其他的方法由于 PatchGuard 的限制杀软或EDR正常情况下几乎不能通过 hook 的方式完成其对恶意软件的监控和查杀。那怎么办呢别急微软为我们提供了其他的方法完成此类功能那就是系统回调机制。比如本文提到的“创建进程通知回调”、“创建线程通知回调”、“加载镜像通知回调”、“注册表通知回调”等等。
在恶意软件和杀软 攻与防的对抗中二者经过激烈的较量完成了螺旋式的上升变革给我们的感觉是杀软越来越强大了我们的网络环境越来越安全了。 02
—
删除杀软回调项目简介 github 上有两个比较经典的项目可以完成删除杀软回调的功能项目如下所示
https://github.com/br-sn/CheekyBlinder
https://github.com/lawiet47/STFUEDR
这些项目主要完成了三大功能 利用合法驱动读取或修改内核数据 寻找“创建进程通知回调”、“创建线程通知回调”、“加载镜像通知回调”、“注册表通知回调”内核数组地址 将杀软或EDR驱动对应的回调数组中的某个元素置 0 或删除
这里需要注意的是“创建进程通知回调”、“创建线程通知回调”、“加载镜像通知回调”是正常的数组而“注册表通知回调”是一个双向循环链表。
下面简单介绍一下上述四大回调数组内核地址的寻找方法和删除杀软回调的方法。
使用工具windbg preview
系统环境Windows 1809 x64 03
—
创建进程回调数组定位 // 1. 由 PsSetCreateProcessNotifyRoutine 定位 nt!PspSetCreateProcessNotifyRoutine 地址
0: kd uf PsSetCreateProcessNotifyRoutine
nt!PsSetCreateProcessNotifyRoutine:
fffff8026ca90570 4883ec28 sub rsp,28h
fffff8026ca90574 8ac2 mov al,dl
fffff8026ca90576 33d2 xor edx,edx
fffff8026ca90578 84c0 test al,al
fffff8026ca9057a 0f95c2 setne dl
fffff8026ca9057d e80e010000 call nt!PspSetCreateProcessNotifyRoutine (fffff8026ca90690)
fffff8026ca90582 4883c428 add rsp,28h
fffff8026ca90586 c3 ret// 2. 定位 nt!PspCreateProcessNotifyRoutine 数组地址
0: kd uf nt!PspSetCreateProcessNotifyRoutine
nt!PspSetCreateProcessNotifyRoutine:
fffff8026ca90690 48895c2408 mov qword ptr [rsp8],rbx
fffff8026ca90695 48896c2410 mov qword ptr [rsp10h],rbp
fffff8026ca9069a 4889742418 mov qword ptr [rsp18h],rsi
fffff8026ca9069f 57 push rdi
fffff8026ca906a0 4154 push r12
fffff8026ca906a2 4155 push r13
fffff8026ca906a4 4156 push r14
fffff8026ca906a6 4157 push r15... ...nt!PspSetCreateProcessNotifyRoutine0x49:
fffff8026ca906d9 488bd7 mov rdx,rdi
fffff8026ca906dc 498bcf mov rcx,r15
fffff8026ca906df e8a4000000 call nt!ExAllocateCallBack (fffff8026ca90788)
fffff8026ca906e4 488bf8 mov rdi,rax
fffff8026ca906e7 4885c0 test rax,rax
fffff8026ca906ea 0f845b890c00 je nt!PspSetCreateProcessNotifyRoutine0xc89bb (fffff8026cb5904b) Branchnt!PspSetCreateProcessNotifyRoutine0x60:
fffff8026ca906f0 33db xor ebx,ebx
fffff8026ca906f2 4c8d2d375dddff lea r13,[nt!PspCreateProcessNotifyRoutine (fffff8026c866430)]nt!PspSetCreateProcessNotifyRoutine0x69:
fffff8026ca906f9 488d0cdd00000000 lea rcx,[rbx*8]
fffff8026ca90701 4533c0 xor r8d,r8d
fffff8026ca90704 4903cd add rcx,r13
fffff8026ca90707 488bd7 mov rdx,rdi
fffff8026ca9070a e86dd5aeff call nt!ExCompareExchangeCallBack (fffff8026c57dc7c)
fffff8026ca9070f 84c0 test al,al
fffff8026ca90711 750c jne nt!PspSetCreateProcessNotifyRoutine0x8f (fffff8026ca9071f) Branch// 3. 显示回调数组
0: kd dq fffff8026c866430
fffff8026c866430 ffffbb83fc851a8f ffffbb83fc9febaf
fffff8026c866440 ffffbb83fe0e8b7f ffffbb83fe0e8def
fffff8026c866450 ffffbb83fe413f0f ffffbb83fe43612f
fffff8026c866460 ffffbb83fe436bdf ffffbb83fc9feccf
fffff8026c866470 ffffbb83fe4366cf ffffbb83fe436b7f
fffff8026c866480 ffffbb83fe436f3f ffffbb83fe52133f
fffff8026c866490 ffffbb83fe521f6f ffffbb83fe4be96f
fffff8026c8664a0 ffffbb8401737c3f 0000000000000000
0: kd dq
fffff8026c8664b0 0000000000000000 0000000000000000
fffff8026c8664c0 0000000000000000 0000000000000000
fffff8026c8664d0 0000000000000000 0000000000000000
fffff8026c8664e0 0000000000000000 0000000000000000
fffff8026c8664f0 0000000000000000 0000000000000000
fffff8026c866500 0000000000000000 0000000000000000
fffff8026c866510 0000000000000000 0000000000000000
fffff8026c866520 0000000000000000 0000000000000000// 4. 取出回调数组第一个数据
0: kd dq (ffffbb83fc851a8f4)4
ffffbb83fc851a80 0000000000000020 fffff800704d8230
ffffbb83fc851a90 0000000000000000 0000000000000000
ffffbb83fc851aa0 6e49735002030000 0000000000000000
ffffbb83fc851ab0 0000000000100010 ffffbb83fc851ac0
ffffbb83fc851ac0 0069006700650052 0079007200740073
ffffbb83fc851ad0 6e496c4102030000 0000000000000000
ffffbb83fc851ae0 0000000100060000 ffffbb83fc851ae8
ffffbb83fc851af0 ffffbb83fc851ae8 0079007200740073// 5. 上述数据中第 2 个 8 字节 指针回调函数 所在模块
0: kd lm a fffff800704d8230
Browse full module list
start end module name
fffff800704b0000 fffff80070505000 360qpesv64 (no symbols) 04
—
创建线程回调数组定位
方法一
// 1. 由 PsSetCreateThreadNotifyRoutine 定位 nt!PspSetCreateThreadNotifyRoutine 地址
0: kd uf PsSetCreateThreadNotifyRoutine
nt!PsSetCreateThreadNotifyRoutine:
fffff8052e2a4350 4883ec28 sub rsp,28h
fffff8052e2a4354 33d2 xor edx,edx
fffff8052e2a4356 e865000000 call nt!PspSetCreateThreadNotifyRoutine (fffff8052e2a43c0)
fffff8052e2a435b 4883c428 add rsp,28h
fffff8052e2a435f c3 ret// 2. 定位 nt!PspCreateThreadNotifyRoutine 数组地址
0: kd uf nt!PspSetCreateThreadNotifyRoutine
nt!PspSetCreateThreadNotifyRoutine:
fffff8052e2a43c0 48895c2408 mov qword ptr [rsp8],rbx
fffff8052e2a43c5 4889742410 mov qword ptr [rsp10h],rsi
fffff8052e2a43ca 57 push rdi
fffff8052e2a43cb 4883ec20 sub rsp,20h
fffff8052e2a43cf 8bf2 mov esi,edx
fffff8052e2a43d1 8bd2 mov edx,edx
fffff8052e2a43d3 e8b0030000 call nt!ExAllocateCallBack (fffff8052e2a4788)
fffff8052e2a43d8 488bf8 mov rdi,rax
fffff8052e2a43db 4885c0 test rax,rax
fffff8052e2a43de 0f842e8b0c00 je nt!PspSetCreateThreadNotifyRoutine0xc8b52 (fffff8052e36cf12) Branchnt!PspSetCreateThreadNotifyRoutine0x24:
fffff8052e2a43e4 33db xor ebx,ebxnt!PspSetCreateThreadNotifyRoutine0x26:
fffff8052e2a43e6 488d0d435cddff lea rcx,[nt!PspCreateThreadNotifyRoutine (fffff8052e07a030)]
fffff8052e2a43ed 4533c0 xor r8d,r8d
fffff8052e2a43f0 488d0cd9 lea rcx,[rcxrbx*8]
fffff8052e2a43f4 488bd7 mov rdx,rdi
fffff8052e2a43f7 e880d8aeff call nt!ExCompareExchangeCallBack (fffff8052dd91c7c)
fffff8052e2a43fc 84c0 test al,al
fffff8052e2a43fe 7436 je nt!PspSetCreateThreadNotifyRoutine0x76 (fffff8052e2a4436) Branchnt!PspSetCreateThreadNotifyRoutine0x40:
fffff8052e2a4400 40f6c601 test sil,1
fffff8052e2a4404 0f85128b0c00 jne nt!PspSetCreateThreadNotifyRoutine0xc8b5c (fffff8052e36cf1c) Branch// 3. 显示回调数组
0: kd dq nt!PspCreateThreadNotifyRoutine
fffff8052e07a030 ffffbb8fd044ab7f ffffbb8fd368fdbf
fffff8052e07a040 0000000000000000 0000000000000000
fffff8052e07a050 0000000000000000 0000000000000000
fffff8052e07a060 0000000000000000 0000000000000000
fffff8052e07a070 0000000000000000 0000000000000000
fffff8052e07a080 0000000000000000 0000000000000000
fffff8052e07a090 0000000000000000 0000000000000000
fffff8052e07a0a0 0000000000000000 0000000000000000// 4. 取出回调数组第一个数据
0: kd dq (ffffbb8fd044ab7f4)4
ffffbb8fd044ab70 0000000000000020 fffff8052ecdd72c
ffffbb8fd044ab80 0000000000000000 e8f103660081e800
ffffbb8fd044ab90 72724d4602030000 66d18b6600218c0f
ffffbb8fd044aba0 ffffbb8fcee83200 ffffbb8fcee831f0
ffffbb8fd044abb0 0000000200000040 c82b66c4eb586643
ffffbb8fd044abc0 20206f4902032b00 8a67c92b66c3c02b
ffffbb8fd044abd0 006900720044005c 005c007200650076
ffffbb8fd044abe0 00610072006d0076 006b007300640077// 5. 上述数据中 第 2 个 8字节 指针回调函数 所在模块
0: kd lm a fffff8052ecdd72c
Browse full module list
start end module name
fffff8052ecb0000 fffff8052ed93000 360FsFlt (deferred) 方法二
05
—
加载镜像回调数组定位
方法一
// 1. 由 PsSetLoadImageNotifyRoutine 定位 nt!PsSetLoadImageNotifyRoutineEx 地址
0: kd uf PsSetLoadImageNotifyRoutine
nt!PsSetLoadImageNotifyRoutine:
fffff8052e2a4370 4883ec28 sub rsp,28h
fffff8052e2a4374 33d2 xor edx,edx
fffff8052e2a4376 e8d5000000 call nt!PsSetLoadImageNotifyRoutineEx (fffff8052e2a4450)
fffff8052e2a437b 4883c428 add rsp,28h
fffff8052e2a437f c3 ret// 2. 定位 nt!PspLoadImageNotifyRoutine 数组地址
0: kd uf nt!PsSetLoadImageNotifyRoutineEx
nt!PsSetLoadImageNotifyRoutineEx:
fffff8052e2a4450 48895c2418 mov qword ptr [rsp18h],rbx
fffff8052e2a4455 4889742420 mov qword ptr [rsp20h],rsi
fffff8052e2a445a 57 push rdi
fffff8052e2a445b 4883ec70 sub rsp,70h
fffff8052e2a445f 488b058a37d8ff mov rax,qword ptr [nt!_security_cookie (fffff8052e027bf0)]
fffff8052e2a4466 4833c4 xor rax,rsp
fffff8052e2a4469 4889442460 mov qword ptr [rsp60h],rax
fffff8052e2a446e 488bf1 mov rsi,rcx
fffff8052e2a4471 48f7c2feffffff test rdx,0FFFFFFFFFFFFFFFEh
fffff8052e2a4478 0f85c28a0c00 jne nt!PsSetLoadImageNotifyRoutineEx0xc8af0 (fffff8052e36cf40) Branchnt!PsSetLoadImageNotifyRoutineEx0x2e:
fffff8052e2a447e e805030000 call nt!ExAllocateCallBack (fffff8052e2a4788)
fffff8052e2a4483 488bf8 mov rdi,rax
fffff8052e2a4486 4885c0 test rax,rax
fffff8052e2a4489 0f84c58a0c00 je nt!PsSetLoadImageNotifyRoutineEx0xc8b04 (fffff8052e36cf54) Branchnt!PsSetLoadImageNotifyRoutineEx0x3f:
fffff8052e2a448f 33db xor ebx,ebxnt!PsSetLoadImageNotifyRoutineEx0x41:
fffff8052e2a4491 488d0d985dddff lea rcx,[nt!PspLoadImageNotifyRoutine (fffff8052e07a230)]
fffff8052e2a4498 4533c0 xor r8d,r8d
fffff8052e2a449b 488d0cd9 lea rcx,[rcxrbx*8]
fffff8052e2a449f 488bd7 mov rdx,rdi
fffff8052e2a44a2 e8d5d7aeff call nt!ExCompareExchangeCallBack (fffff8052dd91c7c)
fffff8052e2a44a7 84c0 test al,al
fffff8052e2a44a9 0f849f000000 je nt!PsSetLoadImageNotifyRoutineEx0xfe (fffff8052e2a454e) Branch// 3. 显示回调数组
0: kd dq nt!PspLoadImageNotifyRoutine
fffff8052e07a230 ffffbb8fceef9bdf ffffbb8fd044a6ff
fffff8052e07a240 ffffbb8fd055fa8f ffffbb8fd055fc6f
fffff8052e07a250 0000000000000000 0000000000000000
fffff8052e07a260 0000000000000000 0000000000000000
fffff8052e07a270 0000000000000000 0000000000000000
fffff8052e07a280 0000000000000000 0000000000000000
fffff8052e07a290 0000000000000000 0000000000000000
fffff8052e07a2a0 0000000000000000 0000000000000000// 4. 取出回调数组第一个数据
0: kd dq (ffffbb8fceef9bdf4)4
ffffbb8fceef9bd0 0000000000000020 fffff805317e37a4
ffffbb8fceef9be0 0000000000000000 ffffbb8fceef9be0
ffffbb8fceef9bf0 434f444e02030000 0000000000000001
ffffbb8fceef9c00 ffffbb8fd387b8c0 ffffbb8fd387b8c0
ffffbb8fceef9c10 0000000200000040 0000000000000001
ffffbb8fceef9c20 20206f4902030000 a2aba245696ddc74
ffffbb8fceef9c30 006900720044005c 005c007200650076
ffffbb8fceef9c40 0055004100450050 0000000000480054// 5. 上述数据中 第 2 个 8 字节指针回调函数 所在模块
0: kd lm a fffff805317e37a4
Browse full module list
start end module name
fffff805317d0000 fffff805317fb000 DsArk64 (deferred) 方法二
// 1. 由 PsRemoveLoadImageNotifyRoutine 定位 nt!PspLoadImageNotifyRoutine 数组地址
0: kd uf PsRemoveLoadImageNotifyRoutine
nt!PsRemoveLoadImageNotifyRoutine:
fffff8052e42d560 48895c2408 mov qword ptr [rsp8],rbx
fffff8052e42d565 48896c2410 mov qword ptr [rsp10h],rbp
fffff8052e42d56a 4889742418 mov qword ptr [rsp18h],rsi
fffff8052e42d56f 57 push rdi
fffff8052e42d570 4156 push r14
fffff8052e42d572 4157 push r15
fffff8052e42d574 4883ec20 sub rsp,20h
fffff8052e42d578 65488b342588010000 mov rsi,qword ptr gs:[188h]
fffff8052e42d581 4183cfff or r15d,0FFFFFFFFh
fffff8052e42d585 4c8bf1 mov r14,rcx
fffff8052e42d588 664401bee4010000 add word ptr [rsi1E4h],r15w
fffff8052e42d590 33ff xor edi,edint!PsRemoveLoadImageNotifyRoutine0x32:
fffff8052e42d592 488d0d97ccc4ff lea rcx,[nt!PspLoadImageNotifyRoutine (fffff8052e07a230)]
fffff8052e42d599 488d2cf9 lea rbp,[rcxrdi*8]
fffff8052e42d59d 488bcd mov rcx,rbp
fffff8052e42d5a0 e81b4186ff call nt!ExReferenceCallBackBlock (fffff8052dc916c0)
fffff8052e42d5a5 488bd8 mov rbx,rax
fffff8052e42d5a8 4885c0 test rax,rax
fffff8052e42d5ab 7429 je nt!PsRemoveLoadImageNotifyRoutine0x76 (fffff8052e42d5d6) Branchnt!PsRemoveLoadImageNotifyRoutine0x4d:
fffff8052e42d5ad 488bc8 mov rcx,rax
fffff8052e42d5b0 e8cb4186ff call nt!ExGetCallBackBlockRoutine (fffff8052dc91780)
fffff8052e42d5b5 493bc6 cmp rax,r14
fffff8052e42d5b8 7511 jne nt!PsRemoveLoadImageNotifyRoutine0x6b (fffff8052e42d5cb) Branch 06
—
注册表通知回调数组定位
// 仅 CmUnRegisterCallback 可以定位// 1. 由 CmUnRegisterCallback 定位 nt!CallbackListHead 链表地址
0: kd uf CmUnRegisterCallback
nt!CmUnRegisterCallback:
fffff8052e38bd50 4c8bdc mov r11,rsp
fffff8052e38bd53 53 push rbx
fffff8052e38bd54 56 push rsi
fffff8052e38bd55 57 push rdi
fffff8052e38bd56 4154 push r12
fffff8052e38bd58 4155 push r13
fffff8052e38bd5a 4156 push r14
fffff8052e38bd5c 4157 push r15
fffff8052e38bd5e 4881ec80000000 sub rsp,80h
fffff8052e38bd65 488bd9 mov rbx,rcx
fffff8052e38bd68 be0d0000c0 mov esi,0C000000Dh
fffff8052e38bd6d 89b424d8000000 mov dword ptr [rsp0D8h],esi
fffff8052e38bd74 33c0 xor eax,eax
fffff8052e38bd76 498943b0 mov qword ptr [r11-50h],rax
fffff8052e38bd7a 498943b8 mov qword ptr [r11-48h],rax
fffff8052e38bd7e 498943c0 mov qword ptr [r11-40h],rax
fffff8052e38bd82 49214380 and qword ptr [r11-80h],rax
fffff8052e38bd86 65488b042588010000 mov rax,qword ptr gs:[188h]
fffff8052e38bd8f 4183ccff or r12d,0FFFFFFFFh
fffff8052e38bd93 664401a0e4010000 add word ptr [rax1E4h],r12w
fffff8052e38bd9b 33d2 xor edx,edx
fffff8052e38bd9d 4c8d35ecf3ccff lea r14,[nt!CmpCallbackListLock (fffff8052e05b190)]
fffff8052e38bda4 498bce mov rcx,r14
fffff8052e38bda7 e894f094ff call nt!ExAcquirePushLockExclusiveEx (fffff8052dcdae40)
fffff8052e38bdac 41bf00000080 mov r15d,80000000hnt!CmUnRegisterCallback0x62:
fffff8052e38bdb2 4533c0 xor r8d,r8d
fffff8052e38bdb5 488d542438 lea rdx,[rsp38h]
fffff8052e38bdba 488d0ddff3ccff lea rcx,[nt!CallbackListHead (fffff8052e05b1a0)]
fffff8052e38bdc1 e82a94e1ff call nt!CmListGetNextElement (fffff8052e1a51f0)
fffff8052e38bdc6 488bf8 mov rdi,rax
fffff8052e38bdc9 4889442440 mov qword ptr [rsp40h],rax
fffff8052e38bdce 4885c0 test rax,rax
fffff8052e38bdd1 0f84cf000000 je nt!CmUnRegisterCallback0x156 (fffff8052e38bea6) Branch// 2. 显示 CMREG_CALLBACK 结构nt!CallbackListHead
0: kd dq nt!CallbackListHead
fffff8052e05b1a0 ffff97053572b420 ffff97053572ba20
fffff8052e05b1b0 0000000000000000 01d9e206c817750c
fffff8052e05b1c0 fffff8052e05b1c0 fffff8052e05b1c0
fffff8052e05b1d0 0000000000000000 0000000000000000
fffff8052e05b1e0 0000000000060001 fffff8052e05b1e8
fffff8052e05b1f0 fffff8052e05b1e8 0000000000000000
fffff8052e05b200 0000000000060001 fffff8052e05b208
fffff8052e05b210 fffff8052e05b208 0000000000000000// 3. 显示 nt!CallbackListHead 下一个结点
0: kd dq ffff97053572ba20
ffff97053572ba20 fffff8052e05b1a0 ffff970535449660
ffff97053572ba30 0000000000000000 01d9e206c817750b
ffff97053572ba40 0000000000000000 fffff8053015c728
ffff97053572ba50 00000000000c000c ffff97053572a530
ffff97053572ba60 ffff97053572ba60 ffff97053572ba60
ffff97053572ba70 7470504103060000 0000000000000000
ffff97053572ba80 ffff970535729ae0 0000000000000000
ffff97053572ba90 0000000000000000 0000000000000000// 4. 偏移 0x28 位置 的 8 字节指针回调函数所在模块
0: kd lm a fffff8053015c728
Browse full module list
start end module name
fffff80530150000 fffff805301a5000 360qpesv64 (deferred) 07
—
删除杀软回调的方法 删除上述四大系统回调的方法被分为两类“创建进程通知回调”、“创建线程通知回调”、“加载镜像通知回调”被分为一类为数组类“注册表通知回调”被分为一类为双向循环链表类以下简称链表类。
数组类删除方法是找到驱动对应数组中的元素将该元素内核地址赋值为 0
链表类删除方法是找到驱动对应的链表中的结点利用数据结构中双向循环链表删除结点的方法删除杀软驱动对应的结点。
这里需要注意数组类中
“创建进程通知回调”、“创建线程通知回调”在 win7 及以上的 个人系统和 Server 系统中通常情况下数组大小为 64 个元素而“加载镜像通知回调”中通常情况下win10 全系列及以上数组大小为 64 个元素win7-7601、win8-9200、win8.1-9600系统中可能为 8 个或 64 个元素为不定值相关资料可以参考微软官方文档解决方法是通过 nt!PspLoadImageNotifyRoutineCount 确定当前注册回调个数。 08
—
删除杀软回调效果 运行 Mimikatz 测试 这里测试国内外6款主流杀软国内两款某0 数字卫士和某绒国外四款卡巴斯基、Windows Defender、eset-nod32、avast由于该项目主要消弱杀软或EDR的动态查杀能力这里使用内存加载 Mimikatz 的方式进行测试注意该项目需要免杀或者重新构思编码比如换个合法漏洞驱动编写自定义驱动使用 kdmapper 改良版等项目内存加载等总之首先要保证你的测试程序在杀软环境下要免杀而且能正常执行功能。在这里只考虑删除杀软回调对杀软的影响其他相关因素需要通过某些方法进行消除处理。 测试结果 eset-nod32、avast、某绒、某0 数字卫士无需删除杀软回调内存加载 Mimikatz就可以正常执行功能 卡巴斯基、Windows Defender删除全部回调前内存加载 Mimikatz 被查杀删除全部回调后内存加载 Mimikatz 正常执行功能。 注册表修改测试 删除全部回调前某些注册表键值不可修改 删除全部回调后某些注册表键值现在已经可以修改。
