InfinityHook 可兼容最新版windows
2024-5-6 17:55:45 Author: mp.weixin.qq.com(查看原文) 阅读量:17 收藏

ETW HOOK是一个经久不衰的话题了,本质上是微软的漏洞,在微软进行记录ETW时候系统调用的时候,被ETW相关组件拦截跑到记录的代码,因为涉及到的代码量实在太大,微软这里面老是会有一些函数指针的使用,从而可以把他替换成我们自己函数回调,而不会触发PG拦截系统调用(无法拦截直接内核NtXXX)。

早期的ETW HOOK实现概要

早期的ETW HOOK替换的一些HalPxx指针已经被PG监控。

https://github.com/everdox/InfinityHook

到后来第二个版本的ETW,原理和EAC接管系统异常差不多,这一版本的也是再ETW HOOK的必经之路上面修改函数指针:

原理是EAC通过修改HalpStallCounter[0xE]的这个位置,以及NtGlobalFlags这个标志位。

HalpStallCounter[0xE] 函数原本是HalpTscQueryCounterOrdered,修改这个之后,一些异常(包括kernel mode)就会走到这从而被EAC接管。

下图是发生异常时候的调用栈从windg可以看到,EAC修改了HalpStallCounter来进行接管异常:

可以兼容最新版 windows 的ETW HOOK

第二版的ETW Hook现在还可以用,但是用起来非常复杂,光是不同系统兼容、修栈就要耗费巨大精力。

因此这里参考国外的一个大佬文章,他提出了更新版本的ETW-HOOK,具体原理如下:

WINDOWS的.data节一般是存放可以变的全局变量的,所谓的偷指针就是修改.data节区的指针。

而在这里,最好玩的是HalPrivateDispatchTable,这个是windows 的ntoskenl.exe为了方便使用HAL的导出函数,把他们存放在统一的地方。而HAL,用到的地方肯定很多,ETW 正是如此。

我们来看一下系统调用ETW的调用路径。

这里其实可以看到,call rax其实就是正常的系统调用,而再进入ETW系统调用之前,他把原始的系统调用存放在了栈上,这就导致我们拦截到ETW的时候,可以修改栈上的位置,来进行HOOK Syscall。

进入这个函数:

如果说之前无法定位,现在可以通过这个栈上面的magic number来定位syscall的地址,从而替换了。

继续跟到EtwTraceSiloKernelEvent里面,可以发现,无论参数怎么样,这个函数调用了EtwpLogKernelEvent。

void __fastcall EtwTraceSiloKernelEvent(        __int64 a1,        __int64 a2,        unsigned int a3,        unsigned int a4,        unsigned __int16 a5,        int a6){  unsigned __int64 v9; // rsi  unsigned int v10; // ebx  bool v11; // zf  unsigned int v12; // ecx  __int64 v13; // r8  __int64 v14; // rcx  __int64 v15; // rbx  unsigned int v16; // edi  __int64 v17; // rdx  __int64 v18; // rcx  unsigned int v19; // ecx  v9 = a4;  v10 = *(_DWORD *)(EtwpHostSiloState + 4224);  while ( 1 )  {    v11 = !_BitScanForward(&v12, v10);    if ( v11 )      break;    v10 &= v10 - 1;    v13 = v12;    v14 = 32i64 * v12 + EtwpHostSiloState + 4260;    if ( v14 )    {      if ( ((unsigned int)v9 & *(_DWORD *)(v14 + 4 * (v9 >> 29)) & 0x1FFFFFFF) != 0 )        EtwpLogKernelEvent(a2, EtwpHostSiloState, *(unsigned __int8 *)(EtwpHostSiloState + 2 * v13 + 4208), a3, a5, a6);    }  }  if ( a1 )  {    v15 = *(_QWORD *)(*(_QWORD *)(a1 + 1272) + 864i64);    if ( v15 )    {      v16 = *(_DWORD *)(v15 + 4224);      while ( 1 )      {        v11 = !_BitScanForward(&v19, v16);        if ( v11 )          break;        v17 = v19;        v16 &= v16 - 1;        v18 = 32i64 * v19 + v15 + 4260;        if ( v18 && ((unsigned int)v9 & *(_DWORD *)(v18 + 4 * (v9 >> 29)) & 0x1FFFFFFF) != 0 )          EtwpLogKernelEvent(a2, v15, *(unsigned __int8 *)(v15 + 2 * v17 + 4208), a3, a5, a6);      }    }  }}

EtwpLogKernelEvent就是这次事件的主角,关键部分代码为:

    else      {       if ( (v32 & 0x800) == 0 )         goto LABEL_17;       v50 = 0;       if ( !*(_DWORD *)(*(_QWORD *)(v14 + 1000) + 8i64) )         goto LABEL_17;       while ( 1 )        {         v51 = *(_QWORD *)(v14 + 1000);         if ( *(_WORD *)(v51 + 2i64 * v50 + 12) == a5 )           break;         if ( ++v50 >= *(_DWORD *)(v51 + 8) )           goto LABEL_17;        }       LODWORD(Flags) = a6;       TimeStamp = &v58;       v34 = (char *)EtwpReserveWithPmcCounters(v14, a5);// 正常设置Etw trace kernel 并不会走到这个地方!!要进行ETW配置

事实上,如果正常设置了ETW Logger syscall,就会走到这。这个函数的关键部分如下:

mcData = LoggerContext->PmcData;  v8 = *(_DWORD *)(PmcData + 20);  v9 = 8 * (unsigned __int8)v8 + 16;  v10 = v9 + AuxSize;  CurrentIrql = KeGetCurrentIrql();  if ( CurrentIrql < 2u )  {    v12 = KeGetCurrentIrql();    __writecr8(2ui64);    if ( KiIrqlFlags )    {      if ( (KiIrqlFlags & 1) != 0 && v12 <= 0xFu )      {        SchedulerAssist = KeGetCurrentPrcb()->SchedulerAssist;        *(_DWORD *)(SchedulerAssist + 20) |= (-1 << (v12 + 1)) & 4;      }    }  }  v14 = EtwpReserveTraceBuffer((unsigned int *)LoggerContext, v10, (__int64)BufferHandle, TimeStamp, Flags);  v15 = v14;  if ( v14 )  {    *(LARGE_INTEGER *)(v14 + 8) = *TimeStamp;    *(_WORD *)(v14 + 4) = v10;    *(_WORD *)(v14 + 6) = HookId;    *(_DWORD *)v14 = (unsigned __int8)Flags | ((unsigned __int8)v8 << 8) | 0xC0110000;    v21 = *(struct _HAL_PMC_COUNTERS **)(PmcData + 8i64 * (unsigned int)KeGetPcr()->Prcb.Number + 24);    if ( v21 )      HalPrivateDispatchTable.HalCollectPmcCounters(v21, (unsigned __int64 *)(v14 + 16));    else      memset((void *)(v14 + 16), 0, 8i64 * (unsigned __int8)v8);

这个地方HalPrivateDispatchTable.HalCollectPmcCounters(v21, (unsigned __int64 *)(v14 + 16));就是可以替换的,也就是我们要替换HalPrivateDispatchTableHalCollectPmcCounters.从而可以正常地接管syscall而不触发PG。

具体实现上其实很简单,就是调用ZwTraceControl开启配置NT Kernel Logger,这些代码都很简单,大概步骤是:

1.偷指针,替换。
2.配置Nt Kernel Logger,开启ETW。
3.最麻烦的一步,如何设置PMCCounter开启,从而走到EtwpReserveWithPmcCounters。
4.栈查找定位Syscall Routine。
5.替换你想HOOK的系统调用。

上述所有步骤基本再第一版的etw hook里面都有代码,除了第三步。

而参考文章[1]中,对于这部分的描述是the code has been omitted from this article.,因此只能根据他给的寥寥信息逆向。好在最终逆出来了。

如果正常开启ETW,可以发现,EtwpReserveWithPmcCounters无法进入。我们可以看一下相关的判断:

因此需要设置的是相关的位。这个位设置需要用到NtSetSystemInfomation(需要自己逆向)。

具体需要逆向的是部分在EtwSetPerformanceTraceInformation函数中的如下部分:

EtwpUpdatePmcCounters这个函数是分配PmcData同时开启flag;

EtwpUpdatePmcEvents是设置开启哪些hookid,比如syscall就是0xf33。最后可以用如下代码设置PmcCounter。

/*其实这个要调用ZwSetSystemInfomation,但是没有找到合适的文档化和文章,故只能手动逆向windows,最终得出结果*/NTSTATUS EtwInitilizer::open_pmc_counter(){ auto status = STATUS_SUCCESS; auto pmc_count_info = (PEVENT_TRACE_PROFILE_COUNTER_INFORMATION)(nullptr); auto pmc_event_info=(PEVENT_TRACE_SYSTEM_EVENT_INFORMATION)(nullptr); constexpr auto syscall_hookid = 0xf33ul; if (!__is_open) return STATUS_FLT_NOT_INITIALIZED; do {  /*获取ckcl_context的loggerid*/  auto EtwpDebuggerData=reinterpret_cast<ULONG***>( \   kstd::SysInfoManager::getInstance()->getSysInfo()->EtwpDebuggerData);    if (!EtwpDebuggerData) {   status = STATUS_NOT_SUPPORTED;   LOG_ERROR("failed to get EtwpDebuggerData!\r\n");  }    /*这个可以参考第一版的ETW HOOK,这里简写了*/  auto logger_id = EtwpDebuggerData[2][2][0];  pmc_count_info = kalloc<EVENT_TRACE_PROFILE_COUNTER_INFORMATION>(NonPagedPool);  if (!pmc_count_info) {   LOG_ERROR("failed to alloc memory for pmc_count!\r\n");   status = STATUS_MEMORY_NOT_ALLOCATED;   break;  }  //先设置PMC Count 我们只关心一个hookid 那就是syscall的hookid 0xf33 profile source 随便设置  pmc_count_info->EventTraceInformationClass = EventTraceProfileCounterListInformation;  pmc_count_info->TraceHandle = ULongToHandle(logger_id)/*这个其实就是loggerid*/;  pmc_count_info->ProfileSource[0] = 1;/*随便填写*/  status=ZwSetSystemInformation(SystemPerformanceTraceInformation, pmc_count_info, sizeof EVENT_TRACE_PROFILE_COUNTER_INFORMATION);  if (!NT_SUCCESS(status)) {   LOG_ERROR("failed to configure pmc counter,errcode=%x\r\n", status);   break;  }  //然后设置PMC Event hookid只需要一个就行  pmc_event_info = kalloc<EVENT_TRACE_SYSTEM_EVENT_INFORMATION>(NonPagedPool);  if (!pmc_event_info) {   LOG_ERROR("failed to alloc memory for pmc_event_info!\r\n");   status = STATUS_MEMORY_NOT_ALLOCATED;   break;  }  pmc_event_info->EventTraceInformationClass = EventTraceProfileEventListInformation;  pmc_event_info->TraceHandle = ULongToHandle(logger_id);  pmc_event_info->HookId[0] = syscall_hookid;/*必须0xf33*/  status = ZwSetSystemInformation(SystemPerformanceTraceInformation, pmc_event_info, sizeof EVENT_TRACE_SYSTEM_EVENT_INFORMATION);  if (!NT_SUCCESS(status)) {   LOG_ERROR("failed to configure pmc event,errcode=%x\r\n", status);   break;  }   } while (false); //clean up if (pmc_count_info) ExFreePool(pmc_count_info); if (pmc_event_info) ExFreePool(pmc_event_info); return status;}

这里还有个坑,就是EtwpUpdatePmcCounters这个部分的代码如下:

__int64 __fastcall EtwpUpdatePmcCounters(        _WMI_LOGGER_CONTEXT *wmi_context,        _KPROFILE_SOURCE *profile_array,        unsigned int count){  unsigned int v6; // r12d  __int64 result; // rax  _ETW_PMC_SUPPORT *PmcData; // r14  __int64 i; // r8  unsigned int v10; // r15d  unsigned int cpu_idx; // edi  __int64 j; // rsi  signed __int32 unk_struct[22]; // [rsp+0h] [rbp-58h] BYREF  v6 = KeNumberProcessors_0;  if ( !count || count > EtwpMaxPmcCounter || wmi_context->PoolType == 1 )// 不能是PagedPool    return 0xC000000Di64;  if ( wmi_context->PmcData || (result = EtwpAllocatePmcData((__int64)wmi_context), !(_DWORD)result) )// 分配成功  {

count > EtwpMaxPmcCounter这一个必须成立,我的虚拟机这个是1,也就是必须得强制改动这个值。

但是观察,我的物理机又是>1,这个全局变量比较难定位。我是通过特征码进行定位的。

效果

最后效果如下(笔者测试了19041 1903 win11最新版(笔者的物理机)):

[1] Fun With Another PG-Compliant Hookhttps://revers.engineering/fun-with-pg-compliant-hook/

[2] 仿照EAC的全局异常Hookhttps://bbs.kanxue.com/thread-278475.htm

看雪ID:Oxygen1a1

https://bbs.kanxue.com/user-home-935881.htm

*本文为看雪论坛优秀文章,由 Oxygen1a1 原创,转载请注明来自看雪社区

# 往期推荐

1、自定义Linker实现分析之路

2、逆向分析VT加持的无畏契约纯内核挂

3、阿里云CTF2024-暴力ENOTYOURWORLD题解

4、Hypervisor From Scratch - 基本概念和配置测试环境、进入 VMX 操作

5、V8漏洞利用之对象伪造漏洞利用模板

球分享

球点赞

球在看

点击阅读原文查看更多


文章来源: https://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458553456&idx=1&sn=2df223026199d77ea1ee2672cd2792a4&chksm=b18dbcfa86fa35ece674c4810d4596eafd31fb2fee0e692de35fd9375dff614fccb9583c2704&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh