Search Results for 'HOOKING'


1 POSTS

  1. 2006/12/01 실험(?)중이던 프로젝트에 성공했습니다. :) by Dual

실험(?)중이던 프로젝트에 성공했습니다. :)

  • Posted at 2006/12/01 22:37
  • Filed under 헛소리

우옷, :)
꾀 많은 시간이 걸렸습니다.
일주일 정도(?)
KiFastCallEntry()의 코드에 대하여 분석한 후,
이를 똑같이 구현해 보고자 하였습니다.
많은 시행착오를 거쳤지만,
결국 완성을 했습니다. (아직 두가지 호출에 대해선 완성이라 말하긴 뭐하지만)

어제 재가 글을 올리기를,
재가 앞으로 쓸글의 내용을 보면 SSDT Hooking을 무력화 시키는 방법을
알 수 있다고 하였는데요,
앞으로 쓸글의 내용은 이 KiFastCallEntry()의 구조에 대한 것인데,
KiFastCallEntry()의 코드중 다음과 같은 부분이 있습니다.

~~~~~~~~~~~~~~~~~~~
//인자들 공간 확보
mov ebx,[edi+0xC] //SERVICE_DESCRIPTOR_NUMBER
xor ecx,ecx
mov cl,byte ptr [eax+ebx]

//함수 주소를 구해온다.
mov edi,dword ptr[edi] //Service_Descriptor_Base
mov ebx,dword ptr[edi+eax*4]

//스택 공간 확보
sub esp,ecx

//인자 & 목적지 크기 지정
shr ecx,2
mov edi,esp

//MmUserProbeAddress인지 확인
cmp esi,_MmUserProbeAddress //0x7FFF0000
jnb AccessViolation
~~~~~~~~~~~~~~~~~~~~~~~~

4번째 줄에 보면 mov edi,dword ptr[edi]가 있는데,
이 코드가 실행전에는 edi에는 ServiceDescriptorTable의 주소가 들어있고,
실행된 후에는 그속에 있던 ServiceTableBase의 값이 들어가게 됩니다.
그리고 eax에는 CallNumber가 들어있는데,
이 주소를 다음줄에서 계산에서 ebx에 넣은후
call ebx <===이렇게 호출 합니다.

SDT Hooking은 ServiceTable의 Function Entry중,
Hooking하고자 하는 Function의 Entry를 자신의 Entry로 바꾸는 방법을 사용합니다.
그럼으로 변경된 ServiceTable이 아닌,
외부에서 조작되지 않는 꺠긋한 상태의 ServiceTable을 쓰면,
SDT Hooking은 작동하지 않게 되는 것이지요.
그럼 그럴 기회가 언제 우리에게 있는가?
저는 과거에는 ServiceDescriptorTable을 바꾸는 방법도 사용해 보았고,
ServiceTable을 바꾸는 방법도 사용해 보았으나,
이는 실제 구조체의 값을 바꾸는 것으로,
공격자에 의해 다시 수정될 가능성이 큽니다. (외부에서 export되는 변수들을
통해 주소를 알수 있기 떄문에)
그런데, 만약 위의 코드에서 다음과 같은 방법으로 수정을 가하면..?

~~~~~~~~~~~~~~~~~~~
//인자들 공간 확보
mov ebx,[edi+0xC] //SERVICE_DESCRIPTOR_NUMBER
xor ecx,ecx
mov cl,byte ptr [eax+ebx]

//함수 주소를 구해온다.
mov edi,dword ptr[edi] //Service_Descriptor_Base

cmp edi,NativeServiceTable  //Win32k or native?
jne Win32k
mov edi,NewNativeServiceTable
Win32k:
            mov edi,NewWin32kServiceTable

mov ebx,dword ptr[edi+eax*4]

//스택 공간 확보
sub esp,ecx

//인자 & 목적지 크기 지정
shr ecx,2
mov edi,esp

//MmUserProbeAddress인지 확인
cmp esi,_MmUserProbeAddress // AccessViolation
~~~~~~~~~~~~~~~~~~~~~~~~
재가 추가한 내용은 간단합니다.
서비스 테이블이 수정되었던 안되었건,
상관없이 본 드라이버 내부적으로 가지고 있는
꺠끗한 서비스 테이블을 사용함으로써,
SDT Hooking으로 부터 자유로울수 있는 것이지요. :)

:) 실제로 테스트 해본 결과,
SDT Hooking을 무력화 시킬 수 있었고,
이는 상용 보안 솔루션 등에도 마찬가지였습니다.
이번 Article의 공개는 꾀 재밌을거 같습니다. :p

이올린에 북마크하기(0) 이올린에 추천하기(0)

Posted by Dual

2006/12/01 22:37 2006/12/01 22:37
Tag
Response
A trackback , No Comment
RSS :
http://dual5651.hacktizen.com/tc/rss/response/222

Trackback URL : http://dual5651.hacktizen.com/tc/trackback/222

Trackbacks List

  1. Funn Fatboy Dh Riser Bar

    Tracked from Funn Fatboy Dh Riser Bar 2011/12/18 17:57 Delete

Leave a comment
« Previous : 1 : Next »
블로그 이미지

슬픔 메아리쳐, 난 너무도 약했어..

- Dual

Notices

Archives

Authors

  1. Dual

Recent Posts

  1. Anti Game hacking 프로그램... (86)
  2. CAIN을 이용한 SSL 스니핑 방법. (113)
  3. File CRC Check 검사기법 우... (3)
  4. 루트킷 한글판 등장
  5. -_- 웹파일 업로드 취약점에...
  6. POC 2007 사진들?ㅎㅎ (2)
  7. CRC(Cyclic Redundancy Check... (3)
  8. 이번년도 참가예정 국내 보안...
  9. .net Application 공략 하기
  10. Windows Anti-Debug Reference (2)

Recent Comments

  1. Beats By Dre is cheap. Beats by dre 02/03
  2. Beats By Dre is cheap. Beats by dre 02/03
  3. Beats By Dre is cheap. Beats by dre 02/03
  4. バーバリー アウトレット【BU... バーバリー マフラー 01/03
  5. document.writeln("1941年、... コーチ バッグ アウトレット 2011
  6. フェラガモ 靴 (Ferragamo)は... ferragamo バッグ 2011
  7. document.writeln("1941年、... コーチ バッグ アウトレット 2011
  8. ccモンクレールのダウンジャ... ベルスタッフ アウトレット 2011
  9. ccモンクレールのダウンジャ... ベルスタッフ アウトレット 2011
  10. document.writeln("ccモンク... ベルスタッフ アウトレット 2011

Recent Trackbacks

  1. Siwy Valentine Cargo Pants... Siwy Valentine Cargo Pants... 02/04
  2. Irideon Ladies Issential Pl... Irideon Ladies Issential Pl... 02/04
  3. Irideon Kids Pretty Filly Tee Irideon Kids Pretty Filly Tee 02/04
  4. Cox Racing Group Yamaha R1... Cox Racing Group Yamaha R1... 02/03
  5. Prince Of Persia Tamina Del... Prince Of Persia Tamina Del... 02/03

Calendar

«   2012/02   »
Sun Mon Tue Wed Thu Fri Sat
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29      

Site Stats

Total hits:
81334
Today:
48
Yesterday:
160