龙马谷

 找回密码
 立即注册

QQ登录

只需一步,快速开始

龙马谷VIP会员办理客服QQ:82926983(如果临时会话没有收到回复,请先加QQ好友再发。)
1 [已完结] GG修改器新手入门与实战教程 31课 2 [已完结] GG修改器美化修改教程 6课 3 [已完结] GG修改器Lua脚本新手入门教程 12课
4 [已完结] 触动精灵脚本新手入门必学教程 22课 5 [已完结] 手游自动化脚本入门实战教程 9课 6 [已完结] C++射击游戏方框骨骼透视与自瞄教程 27课
7 [已完结] C++零基础UE4逆向开发FPS透视自瞄教程 29课 8 [已完结] C++零基础大漠模拟器手游自动化辅助教程 22课 9 [已完结] C++零基础开发DXF内存脚本辅助教程 32课
以下是天马阁VIP教程,本站与天马阁合作,赞助VIP可以获得天马阁对应VIP会员,名额有限! 点击进入天马阁论坛
1 [已完结] x64CE与x64dbg入门基础教程 7课 2 [已完结] x64汇编语言基础教程 16课 3 [已完结] x64辅助入门基础教程 9课
4 [已完结] C++x64内存辅助实战技术教程 149课 5 [已完结] C++x64内存检测与过检测技术教程 10课 6 [已完结] C+x64二叉树分析遍历与LUA自动登陆教程 19课
7 [已完结] C++BT功能原理与x64实战教程 29课 8 [已完结] C+FPS框透视与自瞄x64实现原理及防护思路
查看: 6519|回复: 0

x64枚举DPC定时器

[复制链接]

19

主题

0

回帖

33

积分

编程入门

Rank: 1

龙马币
144

@写在前面
     不同于x86,x64的DPC是被加密了的。对于x64DPC的兴趣始于我已经流产的scalpel计划。当时问某牛怎么遍历,得到的答案是“500大洋给代码”。真是R了狗了,好歹小哥我也是搞技术的,自己搞吧。

@前言
     在早期的x86系统上面,DPCTimer都是裸奔的,直接用过已导出的KiTimerTableListHead就可以遍历,网上的枚举资料也是一大把。但是等DPC被加密之后,突然就没有资料了(资料约等于拿来直接F7的代码)。So,搞起。
简单整理下思路,枚举DPC可以分为两道工序:
1.找到x64的”KiTimerTableListHead”
2.把加密了的DPC进行解密
PS:其实PG_Disable里面有代码的,奈何从来没人说过啊。。。

@找到x64的” KiTimerTableListHead”
       翻翻以前的资料,在早期的windows中导出了一个名为“KiTimerTableListHead”的神奇东西,直接就可以遍历DPC定时器。但是到了win7 x64上面,符号表抹去了这个可怜的小家伙。因此我们需要找一条新的道路来找到所有的DPC定时器。
      枚举DPC的新路线就是:_KPRCB->_KTIMER->_KDPC

      先简单说一下_KPRCB,这个结构体是与CPU的核心对应的,一个核心对应一个。获取方法以及判断数量的方法,都可以通过一个未导出的变量nt!KiProcessorBlock来获取:
  1. kd> dq nt!KiProcessorBlock
  2. fffff800`040fd900  [COLOR="red"]fffff800`0403ee80[/COLOR] 00000000`00000000
  3. fffff800`040fd910  00000000`00000000 00000000`00000000
  4. fffff800`040fd920  00000000`00000000 00000000`00000000
  5. fffff800`040fd930  00000000`00000000 00000000`00000000
  6. fffff800`040fd940  00000000`00000000 00000000`00000000
  7. fffff800`040fd950  00000000`00000000 00000000`00000000
  8. fffff800`040fd960  00000000`00000000 00000000`00000000
  9. fffff800`040fd970  00000000`00000000 00000000`00000000
复制代码


KiProcessorBlock就是一个数组,数组里有几个元素就是CPU有几个核心and每个元素对应一个_KPRCB的结构体。
  1. kd> dt _KPRCB fffff800`0403ee80
  2. ntdll!_KPRCB
  3.    +0x000 MxCsr            : 0x1f80
  4.    +0x004 LegacyNumber     : 0 ''
  5.    +0x005 ReservedMustBeZero : 0 ''
  6.    +0x006 InterruptRequest : 0 ''
  7.    +0x007 IdleHalt         : 0x1 ''
  8.    +0x008 CurrentThread    : 0xfffff800`0404ccc0 _KTHREAD
  9.    +0x010 NextThread       : (null)
  10. ………..
  11.    [COLOR="Red"]+0x2200 TimerTable       : _KTIMER_TABLE[/COLOR]
  12.    +0x4400 DpcGate          : _KGATE
  13.    +0x4418 PrcbPad52        : (null)
  14. …………
复制代码


      这个结构体实在有点大,其他的我们都不关心,只需要看offset在0x2200处的TimerTable就行了。

      接下来是把所有的KTIMER都枚举出来。KTIMER在TimerTable中的存储方式是:数组+双向链表。
  1. kd> dt _KTIMER_TABLE fffff800`0403ee80+0x2200
  2. ntdll!_KTIMER_TABLE
  3.    +0x000 TimerExpiry      : [64] (null)
  4.    +0x200 TimerEntries     : [256] _KTIMER_TABLE_ENTRY
复制代码

  1. kd> dt _KTIMER_TABLE_ENTRY fffff800`0403ee80+0x2200+0x200
  2. ntdll!_KTIMER_TABLE_ENTRY
  3.    +0x000 Lock             : 0
  4.    [COLOR="red"]+0x008 Entry            : _LIST_ENTRY [ 0xfffff800`04041288 - 0xfffff800`04041288 ][/COLOR]
  5.    +0x018 Time             : _ULARGE_INTEGER 0xffffffff`9cac3e4d
复制代码

        
到了_KTIMER_TABLE_ENTRY这里,Entry开始的双向链表,每一个元素都对应一个Timer,也就是说我们已经可以愉快的遍历所有未解密的Timer了。

@愉快的解密DPC
      想找解密代码,最好的办法就是去找到他是怎么加密的。So,我们跟踪一下KeSetTimer的流程就好了。
  1. kd> u nt!KeSetTimer
  2. nt!KeSetTimer:
  3. fffff800`03ed80a8 4883ec38        sub     rsp,38h
  4. fffff800`03ed80ac 4c89442420      mov     qword ptr [rsp+20h],r8
  5. fffff800`03ed80b1 4533c9          xor     r9d,r9d
  6. fffff800`03ed80b4 4533c0          xor     r8d,r8d
  7. fffff800`03ed80b7 e814000000      call    nt!KiSetTimerEx (fffff800`03ed80d0)
  8. fffff800`03ed80bc 4883c438        add     rsp,38h
  9. fffff800`03ed80c0 c3              ret
  10. fffff800`03ed80c1 90              nop

  11. kd> u nt!KiSetTimerEx l20
  12. nt!KiSetTimerEx:
  13. fffff800`03ed80d0 48895c2408      mov     qword ptr [rsp+8],rbx
  14. fffff800`03ed80d5 4889542410      mov     qword ptr [rsp+10h],rdx
  15. fffff800`03ed80da 55              push    rbp
  16. fffff800`03ed80db 56              push    rsi
  17. fffff800`03ed80dc 57              push    rdi
  18. fffff800`03ed80dd 4154            push    r12
  19. fffff800`03ed80df 4155            push    r13
  20. fffff800`03ed80e1 4156            push    r14
  21. fffff800`03ed80e3 4157            push    r15
  22. fffff800`03ed80e5 4883ec50        sub     rsp,50h
  23. fffff800`03ed80e9 488b0518502200  mov     rax,qword ptr [nt!KiWaitNever (fffff800`040fd108)]
  24. fffff800`03ed80f0 488b1de9502200  mov     rbx,qword ptr [nt!KiWaitAlways (fffff800`040fd1e0)]
  25. fffff800`03ed80f7 4c8bb424b0000000 mov     r14,qword ptr [rsp+0B0h]
  26. fffff800`03ed80ff 4933de          xor     rbx,r14
  27. fffff800`03ed8102 488bf1          mov     rsi,rcx
  28. fffff800`03ed8105 450fb6f9        movzx   r15d,r9b
  29. fffff800`03ed8109 480fcb          bswap   rbx
  30. fffff800`03ed810c 418bf8          mov     edi,r8d
  31. fffff800`03ed810f 4833d9          xor     rbx,rcx
  32. fffff800`03ed8112 8bc8            mov     ecx,eax
  33. fffff800`03ed8114 48d3cb          ror     rbx,cl
  34. fffff800`03ed8117 4833d8          xor     rbx,rax
  35. fffff800`03ed811a 450f20c4        mov     r12,cr8
  36. fffff800`03ed811e b802000000      mov     eax,2
  37. fffff800`03ed8123 440f22c0        mov     cr8,rax
  38. fffff800`03ed8127 65488b2c2520000000 mov   rbp,qword ptr gs:[20h]
  39. fffff800`03ed8130 33d2            xor     edx,edx
  40. fffff800`03ed8132 488bce          mov     rcx,rsi
  41. fffff800`03ed8135 e88ae6ffff      call    nt!KiCancelTimer (fffff800`03ed67c4)
  42. fffff800`03ed813a 48895e30        mov     qword ptr [rsi+30h],rbx
  43. fffff800`03ed813e 488b9c2498000000 mov     rbx,qword ptr [rsp+98h]
  44. fffff800`03ed8146 440fb6e8        movzx   r13d,al
复制代码


流程就是:KeSetTimer/KeSetTimerEx->KiSetTimerEx->加密DPC。

      OK,这坨蛋疼的x64汇编我就不多说了。看不懂的拖进ida然后f5。如果还是看不懂,就看我下面的代码。(其实就是把待加密的DPC用KTimer、KiWaitNever和KiWaitAlways进行异或操作,中间再进行一些ror,bswap的位移操作。)

@写一下代码自己撸个痛快
代码里没有过多的注释,上面的看懂了,这个代码看一眼就行。
里面的三个未导出符号的获取,可以通过PDB或者硬编码

  1. #include<ntddk.h>
  2. typedefstruct_KTIMER_TABLE_ENTRY
  3. {
  4.     ULONG_PTR   Lock;
  5.     LIST_ENTRY  Entry;
  6.     ULONG_PTR   Time;
  7. }KTIMER_TABLE_ENTRY, *PKTIMER_TABLE_ENTRY;

  8. #defineKTIMER_TABLE_ENTRY_MAX   (256)

  9. typedefstruct_KTIMER_TABLE
  10. {
  11.     ULONG_PTR           TimerExpiry[64];
  12.     KTIMER_TABLE_ENTRY  TimerEntries[KTIMER_TABLE_ENTRY_MAX];
  13. }KTIMER_TABLE, *PKTIMER_TABLE;

  14. ULONG_PTR       ptrKiProcessorBlock     = 0;
  15. ULONG_PTR       ptrOffsetKTimerTable    = 0;
  16. ULONG_PTR       ptrKiWaitNever          = 0;
  17. ULONG_PTR       ptrKiWaitAlways     = 0;
  18. int             nTotalCount         = 0;

  19. #definep2dq(x)  (*((ULONG_PTR*)x))

  20. void DPC_Print(PKTIMERptrTimer)
  21. {
  22.     ULONG_PTR   ptrDpc  = (ULONG_PTR)ptrTimer->Dpc;
  23.     KDPC*       DecDpc  = NULL;
  24.     int         nShift  = (p2dq(ptrKiWaitNever) & 0xFF);

  25.     //_RSI->Dpc = (_KDPC *)v19;
  26.     //_RSI = Timer;
  27.     ptrDpc ^= p2dq(ptrKiWaitNever);//v19 = KiWaitNever ^ v18;
  28.     ptrDpc = _rotl64(ptrDpc, nShift);//v18 = __ROR8__((unsigned __int64)Timer ^ _RBX, KiWaitNever);
  29.     ptrDpc ^= (ULONG_PTR)ptrTimer;
  30.     ptrDpc = _byteswap_uint64(ptrDpc);//__asm { bswap   rbx }
  31.     ptrDpc ^= p2dq(ptrKiWaitAlways);//_RBX = (unsigned __int64)DPC ^ KiWaitAlways;
  32.     //real DPC
  33.     if (MmIsAddressValid((PVOID)ptrDpc))
  34.     {
  35.         nTotalCount++;
  36.         DecDpc = (KDPC*)ptrDpc;
  37.         DbgPrint("[dpc]dpc:%p,routine:%p\n", DecDpc, DecDpc->DeferredRoutine);
  38.     }

  39. }

  40. void DPC_Enum()
  41. {
  42.     PKTIMER_TABLE       ptrKTimerTable      = 0;
  43.     //PKTIMER_TABLE_ENTRY   ptrTimerTabEntry    = NULL;
  44.     PKTIMER             ptrTimer            = NULL;
  45.     PLIST_ENTRY         ptrListEntry        = NULL;
  46.     PLIST_ENTRY         ptrListEntryHead    = NULL;
  47.     int                 i               = 0;
  48.     DbgBreakPoint();

  49.     ptrKTimerTable = (PKTIMER_TABLE)(p2dq(ptrKiProcessorBlock) + ptrOffsetKTimerTable);
  50.     KdPrint(("ptrKTimerTable:%p\n", ptrKTimerTable));

  51.     for (i = 0; i<KTIMER_TABLE_ENTRY_MAX; i++)
  52.     {
  53.         DbgPrint("\n[dpc]ptrTimerTabEntry:%d\n", i);

  54.         ptrListEntryHead = &(ptrKTimerTable->TimerEntries[i].Entry);
  55.         for (ptrListEntry = ptrListEntryHead->Flink; ptrListEntry != ptrListEntryHead; ptrListEntry = ptrListEntry->Flink)
  56.         {
  57.             ptrTimer = CONTAINING_RECORD(ptrListEntry, KTIMER, TimerListEntry);
  58.             if (!MmIsAddressValid(ptrTimer))   
  59.                 continue;

  60.             if (!ptrTimer->Dpc)
  61.                 continue;

  62.             DPC_Print(ptrTimer);
  63.         }
  64.     }
  65.     DbgPrint("TotalDPC:%d\n", nTotalCount);
  66. }

  67. void DriverUnload(INPDRIVER_OBJECTDriverObject)
  68. {
  69. }
  70. NTSTATUS DriverEntry(INPDRIVER_OBJECTDriverObject, INPUNICODE_STRINGRegistryPath)
  71. {
  72.     DriverObject->DriverUnload = DriverUnload;

  73.     ptrKiProcessorBlock     = 0xfffff800040fd900;
  74.     ptrOffsetKTimerTable    = 0x2200;
  75.     ptrKiWaitNever          = 0xfffff800040fd108;
  76.     ptrKiWaitAlways     = 0xfffff800040fd1e0;

  77.     DPC_Enum();

  78.     returnSTATUS_SUCCESS;
  79. }
复制代码

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

龙马谷| C/C++辅助教程| 安卓逆向安全| 论坛导航| 免责申明|Archiver|
拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论,本站内容均为会员发表,并不代表龙马谷立场!
任何人不得以任何方式翻录、盗版或出售本站视频,一经发现我们将追究其相关责任!
我们一直在努力成为最好的编程论坛!
Copyright© 2018-2021 All Right Reserved.
在线客服
快速回复 返回顶部 返回列表