正文

StealthHook | 一种无需修改内存保护即可挂钩函数的方法

admin
admin V管理员 /0 评论 /10 阅读
1126
文章最后更新时间2024年11月26日,若文章内容或图片失效,请留言反馈!

点击上方蓝字关注我们

现在只对常读和星标的公众号才展示大图推送,建议大家能把星落安全团队设为星标”,否则可能就看不到了啦

背景介绍

    常见的用户态函数拦截方法包括内联代码挂钩、IAT 挂钩和硬件断点挂钩。这些方法很有效,但它们需要修改 .text 部分、使用 NtProtectVirtualMemory 更改内存保护自定义异常处理程序,所有这些都可能是“干扰性的”。本文描述了一种在不修改内存保护的情况下悄悄地钩住函数的方法。通过覆盖嵌套在目标函数中的全局指针或虚拟表条目,可以挂接该函数而不会引起怀疑,因为其中许多内存区域已经启用了写入权限。这是我使用多年的方法,效果很好。完整程序代码:文末获取!

    如果我们能够拦截嵌套在目标函数内的子函数,我们就可以操纵原始函数的执行流程和返回值。通过从嵌套函数中遍历堆栈,我们可以找到原始目标函数的返回地址。然后,我们可以用新值覆盖原始返回地址,强制程序在继续使用原始代码之前执行进一步的指令。这种函数挂接方法不需要对可执行代码进行任何修改,也不需要任何内存保护更改,因此很难使用传统技术进行检测。
    这种方法背后的概念相对简单,但手动找到合适的挂钩点可能既困难又耗时,尤其是在大型函数中。为了简化此过程,我开发了一个工具,可以自动执行此过程并快速为任何给定函数找到合适的挂钩点(如果有)。这使得在实践中实现此方法变得容易,并且同时支持 32 位和 64 位代码。
    该程序通过扫描指向 target 函数中指令的可写指针来构建引用列表。它通过安装自定义异常处理程序并单步执行函数(一次一条指令)来实现此目的。对于每条指令,程序会扫描每个加载的模块,以查看是否存在指向当前指令的任何可写指针。异常处理程序仅由开发人员用于最初发现潜在的钩子点,最终的钩子代码不需要安装自定义异常处理程序。
    在 WoW64 进程中运行时,我们无法单步执行本机 64 位代码 - 在这种情况下,程序会在 Wow64Transition 函数中捕获从 32 位到 64 位模式的转换,并在返回地址处设置硬件断点。单步执行将暂时禁用,直到目标函数返回到 32 位模式,此时它将恢复并继续监视函数。
    创建引用列表后,程序将一次覆盖列表中的一个指针,然后再次运行目标函数。如果在运行期间执行了被覆盖的指针,则表明它是一个成功的挂接点,程序会将其标记为 hook 点。对列表中的所有指针重复此过程,直到测试完所有可能的挂钩点。
    该程序还计算并显示堆栈增量,即需要在堆栈中向下移动的字节数或der 覆盖它标识的每个挂接点的原始返回地址。重要的是要考虑指向正在挂接的子函数的指针可能被程序中的其他函数调用的可能性。在这种情况下,必须注意确保调用方是目标函数,而不是可能使用相同子函数的其他函数。
    使用此方法的一个潜在缺点是,目标函数中的代码流可能因目标模块的不同版本而异 - 这会使可靠地拦截函数调用变得更加困难。为了提高使用此方法的钩子的可靠性,我建议正确枚举堆栈帧,而不是使用固定的堆栈增量。现代控制流强制方法将来可能会有效地防止这些类型的钩子。
为了进行演示,我们将使用该工具在 CreateFileA 函数中搜索钩子点:
StealthHook - x86matthewwww.x86matthew.comSearching for hooking points...Instruction 0x777B3440 referenced at KERNELBASE.dll!0x7785FA7C (sect: .data, virt_addr: 0x1DFA7C, stack delta: 0x30)Instruction 0x77783AB0 referenced at KERNELBASE.dll!0x7785F650 (sect: .data, virt_addr: 0x1DF650, stack delta: 0x100)Found 2 potential hooking points, testing...Overwriting reference: 0x7785FA7C...Calling target function...Hook caught successfully!Overwriting reference: 0x7785F650...Calling target function...Hook caught successfully!Finished - found 2 successful hooking points
    正如我们在上面看到的,该工具发现了两个适合挂接 CreateFileA 的可写全局指针。从查看 debug 符号中,我们可以看到这两个函数分别是 _pfnEightBitStringToUnicodeString和feclient_EfsClientFreeProtecto rList。由于 feclient_EfsClientFreeProtectorList 函数不常用(与 _pfnEightBitStringToUnicodeString 不同),因此在这种情况下使用此功能是最佳选择。
    以下代码显示了如何使用上面发现的信息来钩接和操作 32 位测试程序中 CreateFileA 调用的返回值:
#include <stdio.h>#include <windows.h>DWORD dwGlobal_OrigCreateFileReturnAddr = 0;DWORD dwGlobal_OrigReferenceAddr = 0;void __declspec(naked) ModifyReturnValue(){  // the original return address for the CreateFile call redirects to here  _asm  {    // CreateFile complete - overwrite return value    mov eax, 0x12345678    // continue original execution flow (ecx is safe to overwrite at this point)    mov ecx, dwGlobal_OrigCreateFileReturnAddr    jmp ecx  }}void __declspec(naked) HookStub(){  // the hooked global pointer nested within CreateFile redirects to here  _asm  {    // store original CreateFile return address    mov eax, dword ptr [esp + 0x100]    mov dwGlobal_OrigCreateFileReturnAddr, eax    // overwrite the CreateFile return address    lea eax, ModifyReturnValue    mov dword ptr [esp + 0x100], eax    // continue original execution flow    mov eax, dwGlobal_OrigReferenceAddr    jmp eax  }}DWORD InstallHook(){  BYTE *pModuleBase = NULL;  BYTE *pHookAddr = NULL;  // get base address of kernelbase.dll  pModuleBase = (BYTE*)GetModuleHandle("kernelbase.dll");  if(pModuleBase == NULL)  {    return 1;  }  // get ptr to function reference  pHookAddr = pModuleBase + 0x1DF650;  // store original value  dwGlobal_OrigReferenceAddr = *(DWORD*)pHookAddr;  // overwrite ptr to call HookStub  *(DWORD*)pHookAddr = (DWORD)HookStub;  return 0;}int main(){  HANDLE hFile = NULL;  // create temporary file (without hook)  printf("Creating file #1...n");  hFile = CreateFile("temp_file_1.txt", GENERIC_WRITE, 0, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL);  printf("hFile: 0x%Xnn", hFile);  // install hook  printf("Installing hook...nn");  if(InstallHook() != 0)  {    return 1;  }  // create temporary file (with hook)  printf("Creating file #2...n");  hFile = CreateFile("temp_file_2.txt", GENERIC_WRITE, 0, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL);  printf("hFile: 0x%Xnn", hFile);  return 0;}

该测试程序的结果如下所示:

Creating file #1...hFile: 0xDCInstalling hook...Creating file #2...hFile: 0x12345678

输出显示第一个 CreateFileA 调用正常完成。第二次调用,在安装 hook 之后,返回我们的 hooked 值 0x12345678。

圈子介绍

博主介绍

目前工作在某安全公司攻防实验室,一线攻击队选手。自2022-2024年总计参加过30+次省/市级攻防演练,擅长工具开发、免杀、代码审计、信息收集、内网渗透等安全技术。

目前已经更新的免杀内容:

  • 一键击溃360+核晶

  • 一键击溃windows defender

  • 一键击溃火绒进程

  •  CobaltStrike4.9.1二开 

  • CobaltStrike免杀加载器

  • 数据库直连工具免杀版

  • aspx文件自动上线cobaltbrike

  • jsp文件自动上线cobaltbrike

  • 哥斯拉免杀工具 XlByPassGodzilla

  • 冰蝎免杀工具 XlByPassBehinder

  • 冰蝎星落专版 xlbehinder

  • 正向代理工具 xleoreg

  • 反向代理工具xlfrc

  • 内网扫描工具 xlscan

  • CS免杀加载器 xlbpcs

  • Todesk/向日葵密码读取工具

  • 导出lsass内存工具 xlrls

  • 绕过WAF免杀工具 ByPassWAF

  • 等等...

目前星球已满200人,价格由208元调整为218元(交个朋友啦),300名以后涨价至248元!

关注微信公众号后台回复“入群”,即可进入星落安全交流群!
关注微信公众号后台回复“20241126”,即可获取源码下载地址!

往期推荐

1.

3

4

5. 

声明】本文所涉及的技术、思路和工具仅用于安全测试和防御研究,切勿将其用于非法入侵或攻击他人系统以及盈利等目的,一切后果由操作者自行承担!!!


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下