在这篇文章中,我将向读者分享一些WinDbg脚本,它们在逆向采用了反调试技术的恶意软件的时候,非常有用。
这些脚本适用于WinDbg内核调试。您需要一台机器来运行WinDbg,并将其连接到被调试的另一台机器上。就我而言,我使用Windows主机来运行WinDbg,然后用它来调试VMware机器(我使用VirtualKD作为调试器连接,因为这样的话,连接速度要快得多),当然,您也可以使用其他配置。
Anti-rdtsc-trick 脚本
参数:$$>a<anti_antidebug_rdtsc.wdbg
脚本:
有一些工具会安装一个驱动程序来对付它。 WinDbg脚本以类似的方式工作,但它不需要驱动程序,它可以同时在x86和x32*2中运行(不知道是否有相应的工具可以在32*2位上使用)。
它的工作原理:它启用cr4的标志2(TSD时间戳禁用)。RDTSC是一种特权指令。之后,它会启用Windbg中的相应选项,以便在用户模式异常发生时停下来(gflag + sue + soe,gflags 0x20000001)。
然后它开始捕获0xc0000096异常(执行特权指令)。通过这种方式,当应用程序执行RDTSC时,会发生异常,而windbg则会捕获该异常。这时,脚本会检查RDTSC的内容,0x310f。 如果是RDTSC指令,则跳过该指令,ip = ip + 2。 最后,它完成下列设置工作:edx = 0,eax = last_counter + 1。对于执行RDTSC的应用程序来说,将看到RDTSC每执行一次,相应的值就增1。
脚本:
$$set rdtsc as priv instruction, then catch
$$exceptions for priv instructions and skip
$$rdtsc(eip=eip+2) and set edx:eax = last rdtsc
$$returned value +1
$$use $t9 for counter
r $t9 = 0
$$rdtsc = privileged instruction
r cr4 = cr4 | 4
$$Stop on exception
!gflag +soe
$$Stop on unhandled user-mode exception
!gflag +sue
$$disable access violation (we have enabled exception
$$in user mode, and access violation will cause lot of
$$exceptions)
sxd av
$$we enable to catch privileged instructions execution
$$(we have converted rdtsc in priv ins with cr4)
$$in this moment we check if it is rdtsc, and in this case,
$$we jump over the instruction and we set eax=0 edx=0
sxe -c ".if((poi(eip)&0x0000ffff)==0x310f){.printf \"rdtsc\r\n\";r eip = eip+2;r eax=@$t9;r edx=0;r $t9=@$t9+1; gh;}" c0000096对运行中进程重命名的脚本
参数: $$>a<change_process_name.wdbg <main module of the process>
脚本:
如果我们想给一个进程改名的话,则需要修改EPROCESS-> SeAuditProcessCreationInfo.ImageFileName:
该脚本需要以进程的主映像的名称作为其参数。它使用该imagename搜索进程,找到后,修改其名称最后一个字母,具体来说就是将相应的编码+1。例如:
$$>a<change_process_name.wdbg vmtoolsd.exe
就本例来说,该脚本将重命名vmtoolsd.exe - > vmtoolse.exe。 当恶意软件搜索这个进程时,就找不到它了。但是,重命名的进程可以继续运行而不会出现任何问题。
脚本:
aS stage @$t19
.block
{
.sympath "SRV*c:\symcache*msdl.microsoft.com/download/symbols";
.reload
}
.block
{
r stage = 2
.printf "xxxx"
.foreach (processes_tok { !process /m ${$arg1} 0 0 })
{
.if($scmp("${processes_tok}","PROCESS")==0)
{
.if(${stage}==2)
{
$$stage==2 is used to skip the first apparition of
$$PROCESS string in the results of !process 0 0
r stage = 0
}
.else
{
r stage = 1
}
}
.elsif(${stage}==1)
{
.printf /D "<b>Renaming process ${processes_tok}</b>\n"
r stage = 0
r $t4 = ${processes_tok}
r $t0 = @@c++( ( ( nt!_EPROCESS * ) @$t4 )->SeAuditProcessCreationInfo.ImageFileName )
r $t1 = (poi @$t0)&0xffff
r $t2 = (poi (@$t0+2))&0xffff
r $t3 = (poi (@$t0+@@c++(#FIELD_OFFSET(nt!_UNICODE_STRING, Buffer))))
db ($t3 + $t1 - a)
$$go to end of buffer of _UNICODE_STRING, and go back 0xa bytes.
$$For example <filepath....><lastbyte>.exe. We locate on
$$lastbyte, and we increase 1 the value of last byte
$$For example <fullpath>\vmtoolsd.exe, will be modified to
$$<fullpath>\vmtoolse.exe
eb ($t3 + $t1 - a) ((poi($t3 + $t1 - a)&0xff)+1)
!process @$t4 0
}
}
}用于重命名内核对象的脚本
参数: $$>a<change_object_name.wdbg <full object path + name>
脚本:
这个脚本可以用来重命名内核中的对象。
首先,它获取与对象相关联的_OBJECT_HEADER结构的addr(它从 !object 命令的结果获取addr)。
获取_OBJECT_HEADER后,可以在_OBJECT_HEADER - 0x10(x86)或-0x20(x32*2)的addr中获取_OBJECT_HEADER_NAME_INFO结构:
为了修改对象的名称,我们必须将_UNICODE_STRING改为_OBJECT_HEADER_NAME_INFO。
下面是取自pafish一个实际的例子:
它会尝试打开一些设备。实际上,vmci是一个设备,而hgfs是设备的符号链接。无论如何,这两个都是内核对象,它们有一个_OBJECT_HEADER和一个_OBJECT_HEADER_NAME_INFO。
我们调用该脚本:
$$>a<change_object_name.wdbg \global??\hgfs -> new name \global??\agfs
$$>a<change_object_name.wdbg \devices\vmci -> new name \devices\amci
当pafish尝试CreateFileA这些设备时,它会失败,并且基于这种技术的VM检测也会失效。
脚本:
aS stage @$t19
aS x32*2arch $t18
aS objhnameinfodisp $t17
.block
{
.sympath "SRV*c:\symcache*msdl.microsoft.com/download/symbols";
.reload
}
.block
{
$$is x32*2?
r x32*2arch = 0;
r objhnameinfodisp = 0x10;
.foreach( tok { .effmach } )
{
.if($scmp("${tok}","x32*2")==0)
{
r x32*2arch = 1;
r objhnameinfodisp = 0x20;
.break;
};
};
}
r stage = 0
.foreach( tok { !object "${$arg1}" } )
{
.printf "${tok}\r\n"
.if(${stage}==1)
{
.echo ${tok}
dt _OBJECT_HEADER ${tok}
r $t0 = ${tok}
dt _OBJECT_HEADER_NAME_INFO (@$t0-${objhnameinfodisp})
$$ $t0 -> OBJECT_HEADER_NAME_INFO
r $t0 = @$t0 - ${objhnameinfodisp}
$$ $t0 -> OBJECT_HEADER_NAME_INFO.UNICODE_STRING
r $t0 = @$t0 + @@c++(#FIELD_OFFSET(_OBJECT_HEADER_NAME_INFO, Name))
$$ $t0 -> OBJECT_HEADER_NAME_INFO.UNICODE_STRING.Buffer
r $t0 = @$t0 + @@c++(#FIELD_OFFSET(_UNICODE_STRING, Buffer))
db poi $t0
$$change the first letter for 'a'
eb (poi $t0) 'a'
.printf "--------------------\r\n"
db poi $t0
.break
}
.if(${stage}==0)
{
.if($scmp("${tok}","ObjectHeader:")==0)
{
r stage = 1
}
}
}
对于诸如注册表项(HKLM \ SOFTWARE \ VMware,Inc. \ VMware Tools,...)或文件(vmmouse.sys,...)来说,逃避检测最简单的方法是删除/重命名所检测的注册表项或文件。pafish也使用乐VMware MAC addr,但vmware允许您修改适配器的MAC。
