x64枚举DPC定时器
不同于x86,x64的DPC是被加密了的。对于x64DPC的兴趣始于我已经流产的scalpel计划。当时问某牛怎么遍历,得到的答案是“500大洋给代码”。真是R了狗了,好歹小哥我也是搞技术的,自己搞吧。
PS:这个代码编辑功能。。。醉的不行了。
@前言
在早期的x86系统上面,DPCTimer都是裸奔的,直接用过已导出的KiTimerTableListHead就可以遍历,网上的枚举资料也是一大把。但是等DPC被加密之后,突然就没有资料了(资料约等于拿来直接F7的代码)。So,搞起。
简单整理下思路,枚举DPC可以分为两道工序:
1. 找到x64的”KiTimerTableListHead”
2. 把加密了的DPC进行解密
PS:其实PG_Disable里面有代码的,奈何从来没人说过啊。。。
@找到x64的” KiTimerTableListHead”
翻翻以前的资料,在早期的windows中导出了一个名为“KiTimerTableListHead”的神奇东西,直接就可以遍历DPC定时器。但是到了win7 x64上面,符号表抹去了这个可怜的小家伙。因此我们需要找一条新的道路来找到所有的DPC定时器。
参考论坛里的一个帖子:http://bbs.pediy.com/showthread.php?t=148135
枚举DPC的新路线就是:_KPRCB->_KTIMER->_KDPC
先简单说一下_KPRCB,这个结构体是与CPU的核心对应的,一个核心对应一个。获取方法以及判断数量的方法,都可以通过一个未导出的变量nt!KiProcessorBlock来获取:
1
2
3
4
5
6
7
8
9
|
kd> dq nt!KiProcessorBlock fffff800`040fd900 [COLOR= "red" ]fffff800`0403ee80[ /COLOR ] 00000000`00000000 fffff800`040fd910 00000000`00000000 00000000`00000000 fffff800`040fd920 00000000`00000000 00000000`00000000 fffff800`040fd930 00000000`00000000 00000000`00000000 fffff800`040fd940 00000000`00000000 00000000`00000000 fffff800`040fd950 00000000`00000000 00000000`00000000 fffff800`040fd960 00000000`00000000 00000000`00000000 fffff800`040fd970 00000000`00000000 00000000`00000000 |
KiProcessorBlock就是一个数组,数组里有几个元素就是CPU有几个核心and每个元素对应一个_KPRCB的结构体。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
|
kd> dt _KPRCB fffff800`0403ee80 ntdll!_KPRCB +0x000 MxCsr : 0x1f80 +0x004 LegacyNumber : 0 '' +0x005 ReservedMustBeZero : 0 '' +0x006 InterruptRequest : 0 '' +0x007 IdleHalt : 0x1 '' +0x008 CurrentThread : 0xfffff800`0404ccc0 _KTHREAD +0x010 NextThread : (null) ……….. [COLOR= "Red" ]+0x2200 TimerTable : _KTIMER_TABLE[ /COLOR ] +0x4400 DpcGate : _KGATE +0x4418 PrcbPad52 : (null) ………… |
这个结构体实在有点大,其他的我们都不关心,只需要看offset在0x2200处的TimerTable就行了。
接下来是把所有的KTIMER都枚举出来。KTIMER在TimerTable中的存储方式是:数组+双向链表。
1
2
3
4
|
kd> dt _KTIMER_TABLE fffff800`0403ee80+0x2200 ntdll!_KTIMER_TABLE +0x000 TimerExpiry : [64] (null) [COLOR= "red" ]+0x200 TimerEntries : [256] _KTIMER_TABLE_ENTRY[ /COLOR ] |
1
2
3
4
5
|
kd> dt _KTIMER_TABLE_ENTRY fffff800`0403ee80+0x2200+0x200 ntdll!_KTIMER_TABLE_ENTRY +0x000 Lock : 0 [COLOR= "red" ]+0x008 Entry : _LIST_ENTRY [ 0xfffff800`04041288 - 0xfffff800`04041288 ][ /COLOR ] +0x018 Time : _ULARGE_INTEGER 0xffffffff`9cac3e4d |
到了_KTIMER_TABLE_ENTRY这里,Entry开始的双向链表,每一个元素都对应一个Timer,也就是说我们已经可以愉快的遍历所有未解密的Timer了。
@愉快的解密DPC
想找解密代码,最好的办法就是去找到他是怎么加密的。So,我们跟踪一下KeSetTimer的流程就好了。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
|
kd> u nt!KeSetTimer nt!KeSetTimer: fffff800`03ed80a8 4883ec38 sub rsp,38h fffff800`03ed80ac 4c89442420 mov qword ptr [rsp+20h],r8 fffff800`03ed80b1 4533c9 xor r9d,r9d fffff800`03ed80b4 4533c0 xor r8d,r8d [COLOR= "red" ]fffff800`03ed80b7 e814000000 call nt!KiSetTimerEx (fffff800`03ed80d0)[ /COLOR ] fffff800`03ed80bc 4883c438 add rsp,38h fffff800`03ed80c0 c3 ret fffff800`03ed80c1 90 nop kd> u nt!KiSetTimerEx l20 nt!KiSetTimerEx: fffff800`03ed80d0 48895c2408 mov qword ptr [rsp+8],rbx fffff800`03ed80d5 4889542410 mov qword ptr [rsp+10h],rdx fffff800`03ed80da 55 push rbp fffff800`03ed80db 56 push rsi fffff800`03ed80dc 57 push rdi fffff800`03ed80dd 4154 push r12 fffff800`03ed80df 4155 push r13 fffff800`03ed80e1 4156 push r14 fffff800`03ed80e3 4157 push r15 fffff800`03ed80e5 4883ec50 sub rsp,50h [COLOR= "red" ]fffff800`03ed80e9 488b0518502200 mov rax,qword ptr [nt!KiWaitNever (fffff800`040fd108)] fffff800`03ed80f0 488b1de9502200 mov rbx,qword ptr [nt!KiWaitAlways (fffff800`040fd1e0)] fffff800`03ed80f7 4c8bb424b0000000 mov r14,qword ptr [rsp+0B0h] fffff800`03ed80ff 4933de xor rbx,r14 fffff800`03ed8102 488bf1 mov rsi,rcx[ /COLOR ] fffff800`03ed8105 450fb6f9 movzx r15d,r9b [COLOR= "red" ]fffff800`03ed8109 480fcb bswap rbx[ /COLOR ] fffff800`03ed810c 418bf8 mov edi,r8d [COLOR= "red" ]fffff800`03ed810f 4833d9 xor rbx,rcx fffff800`03ed8112 8bc8 mov ecx,eax fffff800`03ed8114 48d3cb ror rbx,cl fffff800`03ed8117 4833d8 xor rbx,rax[ /COLOR ] fffff800`03ed811a 450f20c4 mov r12,cr8 fffff800`03ed811e b802000000 mov eax,2 fffff800`03ed8123 440f22c0 mov cr8,rax fffff800`03ed8127 65488b2c2520000000 mov rbp,qword ptr gs:[20h] fffff800`03ed8130 33d2 xor edx,edx fffff800`03ed8132 488bce mov rcx,rsi fffff800`03ed8135 e88ae6ffff call nt!KiCancelTimer (fffff800`03ed67c4) [COLOR= "red" ]fffff800`03ed813a 48895e30 mov qword ptr [rsi+30h],rbx[ /COLOR ] fffff800`03ed813e 488b9c2498000000 mov rbx,qword ptr [rsp+98h] fffff800`03ed8146 440fb6e8 movzx r13d,al |
流程就是:KeSetTimer/KeSetTimerEx->KiSetTimerEx->加密DPC。
OK,这坨蛋疼的x64汇编我就不多说了。看不懂的拖进ida然后f5。如果还是看不懂,就看我下面的代码。(其实就是把待加密的DPC用KTimer、KiWaitNever和KiWaitAlways进行异或操作,中间再进行一些ror,bswap的位移操作。)
@写一下代码自己撸个痛快
代码里没有过多的注释,上面的看懂了,这个代码看一眼就行。
里面的三个未导出符号的获取,可以通过PDB或者硬编码
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
|
#include<ntddk.h> typedefstruct_KTIMER_TABLE_ENTRY { ULONG_PTR Lock; LIST_ENTRY Entry; ULONG_PTR Time; }KTIMER_TABLE_ENTRY, *PKTIMER_TABLE_ENTRY; #defineKTIMER_TABLE_ENTRY_MAX (256) typedefstruct_KTIMER_TABLE { ULONG_PTR TimerExpiry[64]; KTIMER_TABLE_ENTRY TimerEntries[KTIMER_TABLE_ENTRY_MAX]; }KTIMER_TABLE, *PKTIMER_TABLE; ULONG_PTR ptrKiProcessorBlock = 0; ULONG_PTR ptrOffsetKTimerTable = 0; ULONG_PTR ptrKiWaitNever = 0; ULONG_PTR ptrKiWaitAlways = 0; int nTotalCount = 0; #definep2dq(x) (*((ULONG_PTR*)x)) void DPC_Print(PKTIMERptrTimer) { ULONG_PTR ptrDpc = (ULONG_PTR)ptrTimer->Dpc; KDPC* DecDpc = NULL; int nShift = (p2dq(ptrKiWaitNever) & 0xFF); //_RSI- >Dpc = (_KDPC *)v19; //_RSI = Timer; ptrDpc ^= p2dq(ptrKiWaitNever); //v19 = KiWaitNever ^ v18; ptrDpc = _rotl64(ptrDpc, nShift); //v18 = __ROR8__((unsigned __int64)Timer ^ _RBX, KiWaitNever); ptrDpc ^= (ULONG_PTR)ptrTimer; ptrDpc = _byteswap_uint64(ptrDpc); //__asm { bswap rbx } ptrDpc ^= p2dq(ptrKiWaitAlways); //_RBX = (unsigned __int64)DPC ^ KiWaitAlways; //real DPC if (MmIsAddressValid((PVOID)ptrDpc)) { nTotalCount++; DecDpc = (KDPC*)ptrDpc; DbgPrint( "[dpc]dpc:%p,routine:%p\n" , DecDpc, DecDpc->DeferredRoutine); } } void DPC_Enum() { PKTIMER_TABLE ptrKTimerTable = 0; //PKTIMER_TABLE_ENTRY ptrTimerTabEntry = NULL; PKTIMER ptrTimer = NULL; PLIST_ENTRY ptrListEntry = NULL; PLIST_ENTRY ptrListEntryHead = NULL; int i = 0; DbgBreakPoint(); ptrKTimerTable = (PKTIMER_TABLE)(p2dq(ptrKiProcessorBlock) + ptrOffsetKTimerTable); KdPrint(( "ptrKTimerTable:%p\n" , ptrKTimerTable)); for (i = 0; i<KTIMER_TABLE_ENTRY_MAX; i++) { DbgPrint( "\n[dpc]ptrTimerTabEntry:%d\n" , i); ptrListEntryHead = &(ptrKTimerTable->TimerEntries[i].Entry); for (ptrListEntry = ptrListEntryHead->Flink; ptrListEntry != ptrListEntryHead; ptrListEntry = ptrListEntry->Flink) { ptrTimer = CONTAINING_RECORD(ptrListEntry, KTIMER, TimerListEntry); if (!MmIsAddressValid(ptrTimer)) continue ; if (!ptrTimer->Dpc) continue ; DPC_Print(ptrTimer); } } DbgPrint( "TotalDPC:%d\n" , nTotalCount); } void DriverUnload(INPDRIVER_OBJECTDriverObject) { } NTSTATUS DriverEntry(INPDRIVER_OBJECTDriverObject, INPUNICODE_STRINGRegistryPath) { DriverObject->DriverUnload = DriverUnload; ptrKiProcessorBlock = 0xfffff800040fd900; ptrOffsetKTimerTable = 0x2200; ptrKiWaitNever = 0xfffff800040fd108; ptrKiWaitAlways = 0xfffff800040fd1e0; DPC_Enum(); returnSTATUS_SUCCESS; } |
@最后
其实很简单,奈何没人说啊,写个帖子也当是给自己做个笔记了吧。
最后鸣谢:论坛若干DPC科普贴 and PG_Disable.
Ps:其实还是愉快的做伸手党舒服啊。。。
jpg改rar
x64枚举DPC定时器的更多相关文章
- 驱动开发:内核枚举DpcTimer定时器
在笔者上一篇文章<驱动开发:内核枚举IoTimer定时器>中我们通过IoInitializeTimer这个API函数为跳板,向下扫描特征码获取到了IopTimerQueueHead也就是I ...
- 驱动开发:内核枚举IoTimer定时器
今天继续分享内核枚举系列知识,这次我们来学习如何通过代码的方式枚举内核IoTimer定时器,内核定时器其实就是在内核中实现的时钟,该定时器的枚举非常简单,因为在IoInitializeTimer初始化 ...
- Windows驱动开发-DPC定时器
DCP是一种使用更加灵活的定时器,可以对任意间隔时间进行定时.DPC定时器的内部使用了一个定时器对象KTIMER,当你设定了定时器之后,从设定开始起经过这个时间之后操作系统会将一个DPC定时器的例程插 ...
- Win64 驱动内核编程-25.X64枚举和隐藏内核模块
X64枚举和隐藏内核模块 在 WIN64 上枚举内核模块的人方法:使用 ZwQuerySystemInformation 的第 11 号功能和枚举 KLDR_DATA_TABLE_ENTRY 中的 I ...
- DPC定时器
KeInitializeTimer 初始化定时器 KeInitializeTimerEx 初始化定时器 KeSetTimer 开启定时器(只执行一次) KeSetTimerEx 开启定时器(可以设置循 ...
- R3 x64枚举进程句柄
转载:https://blog.csdn.net/zhuhuibeishadiao/article/details/51292608 需要注意的是:在R3使用ZwQueryObject很容易锁死,需要 ...
- 驱动开发:内核枚举PspCidTable句柄表
在上一篇文章<驱动开发:内核枚举DpcTimer定时器>中我们通过枚举特征码的方式找到了DPC定时器基址并输出了内核中存在的定时器列表,本章将学习如何通过特征码定位的方式寻找Windows ...
- [转载] 关于Win7 x64下过TP保护的一些思路,内核层过保护,驱动过保护
首先特别感谢梦老大,本人一直没搞懂异常处理机制,看了他的教程之后终于明白了.在他的教程里我学到了不少东西.第一次在论坛发帖,就说说Win7 x64位下怎么过TP保护.如果有讲错的地方,还望指出.说不定 ...
- 驱动开发:Win10内核枚举SSDT表基址
三年前面朝黄土背朝天的我,写了一篇如何在Windows 7系统下枚举内核SSDT表的文章<驱动开发:内核读取SSDT表基址>三年过去了我还是个单身狗,开个玩笑,微软的Windows 10系 ...
随机推荐
- 用OpenGL实现粒子的随机运动
一.目的: 掌握OpenGL中粒子的绘制.随机数的使用 二.代码: Github地址 #include "stdafx.h" #include <GL/glut.h> ...
- SpringMVC系列(一)SpringMVC概述和搭建SpringMVC的第一个helloWord入门程序
一.SpringMVC 概述 • Spring为展现层提供的基于MVC设计理念的优秀的Web框架,是目前最主流的MVC框架之一 • Spring3.0 后全面超越 Struts2,成为最优秀的 MVC ...
- Redis系列-php怎么通过redis扩展使用redis
From: http://blog.csdn.net/love__coder/article/details/8691679 通过前面几篇blog,我们应该对redis有个大致的认识,这里再讲解下,p ...
- 绝对震撼 10个实用的jQuery/HTML5插件
在HTML5的世界里,我们见证了无数的特效奇迹,但很多特效我们很难在网页中应用,今天我们要分享10款效果震撼但是又比较实用的jQuery/HTML5插件,希望这些项目在应用的过程中也能给你带来设计灵感 ...
- C++入门学习
使用cout和cin,需要包括C++提供的输入输出库.#include <iostream> 标准输入输出头文件 <string> using namesp ...
- 安卓开发笔记——Gallery组件+ImageSwitcher组件
什么是Gallery? Gallery是一个水平的列表选择框,它允许用户通过拖动来查看上一个.下一个列表选项. 下图是今天要实现的最终效果: 利用Gallery组件实现的一个横向显示图像列表,可以通过 ...
- 举例理解Hibernate的三种状态
初学Hibernate,了解到Hibernate有三种状态:transient(瞬时状态),persistent(持久化状态)以及detached(游离状态). 它们之间有如下转换图来说明: 1.tr ...
- Maven 与 IntelliJ IDEA 的完美结合
你是否正在学习Maven?是否因为Maven难用而又不得不用而苦恼?是否对Eclipse于Maven的冲突而困惑? 那么我告诉你一个更直接更简单的解决方案: IntelliJ IDEA! 1. 什么是 ...
- Java编程思想学习笔记——复用类
前言 复用代码是Java众多引人注目的功能之一. 达到复用代码的方法有: 组合:新的类由现有类的对象所组成.(复用现有代码的功能,而非它的形式) 继承:按照现有类的类型组建新类.(不改变现有类的形式, ...
- text/html和text/plain的区别
1.text/html的意思是将文件的content-type设置为text/html的形式,浏览器在获取到这种文件时会自动调用html的解析器对文件进行相应的处理. 2.text/plain的意思是 ...