使用windbg搜索命令辅助逆向杀软穿透驱动注册表操作

我们这里以腾讯的逆向TSSysKit.sys驱动举例。金山的对应的驱动是kisapi.sys  。360对应的是bapidrv.sys

1 逆向相关的注册表底层操作相关的函数

                 (驱动的大小)
 1 s -d b21c4000 L2b000  nt!cmpcallbackcount;
s -d b21c4000 L2b000  nt!CmDeleteKey;
s -d b21c4000 L2b000  nt!CmDeleteValueKey;
s -d b21c4000 L2b000  nt!CmEnumerateKey;
s -d b21c4000 L2b000  nt!CmEnumerateValueKey;
s -d b21c4000 L2b000  nt!CmQueryValueKey;
s -d b21c4000 L2b000  nt!CmSetValueKey
    (驱动加载的基地址)    
kd> s -d b21c4000 L2b000  nt!cmpcallbackcount;
b21e7520  8067d000 80635556 80632514 8063213a  ..g.VUc..%c.:!c.
kd> s -d b21c4000 L2b000  nt!CmDeleteKey;
b21e7524  80635556 80632514 8063213a 00000000  VUc..%c.:!c.....
b21e75a4  80635556 e1bed7f0 8063213a 00000000  VUc.....:!c.....
b21e75cc  80635556 825da2d0 00000000 000000bc  VUc...].........
kd> s -d b21c4000 L2b000  nt!CmDeleteValueKey;
b21e75c0  80631f60 80633aac 00000000 80635556  `.c..:c.....VUc.
kd> s -d b21c4000 L2b000  nt!CmEnumerateKey;
b21e752c  8063213a 00000000 00000000 00000000  :!c.............
b21e75ac  8063213a 00000000 80638392 8001003b  :!c.......c.;...
kd> s -d b21c4000 L2b000  nt!CmEnumerateValueKey;
b21e75e0  80632212 00000001 805ea292 0000020c  ."c.......^.....
kd> s -d b21c4000 L2b000  nt!CmQueryValueKey;
b21e7528  80632514 8063213a 00000000 00000000  .%c.:!c.........
b21e75bc  80632514 80631f60 80633aac 00000000  .%c.`.c..:c.....
kd> s -d b21c4000 L2b000  nt!CmSetValueKey
b21e75c4  80633aac 00000000 80635556 825da2d0  .:c.....VUc...].
或者使用这样的命令更简洁
s -d driver_module_name L2b000  nt!cmpcallbackcount;
比如说这样的。
s -d bapidrv L2b000  nt!cmpcallbackcount;

当然我们也可以把一些相关的nt函数放进去比方说这样的。

s -d bapidrv L2b000  nt!NtDeleteKey;
s -d bapidrv L2b000  nt!NtDeleteValueKey;
s -d bapidrv L2b000  nt!NtEnumerateKey;
s -d bapidrv L2b000  nt!NtEnumerateValueKey;
s -d bapidrv L2b000  nt!NtQueryValueKey;
s -d bapidrv L2b000  nt!NtSetValueKey;
s -d bapidrv L2b000  nt!NtCreateKey;
s -d bapidrv L2b000  nt!NtOpenKey

kd> s -d bapidrv L2b000  nt!NtDeleteKey;
b179f500  80624c16 80624de6 00000000 00000001  .Lb..Mb.........
kd> s -d bapidrv L2b000  nt!NtDeleteValueKey;
b179f504  80624de6 00000000 00000001 00000000  .Mb.............
kd> s -d bapidrv L2b000  nt!NtEnumerateKey;
b179f4f8  80624fc6 80625230 80624c16 80624de6  .Ob.0Rb..Lb..Mb.
kd> s -d bapidrv L2b000  nt!NtEnumerateValueKey;
b179f4fc  80625230 80624c16 80624de6 00000000  0Rb..Lb..Mb.....
kd> s -d bapidrv L2b000  nt!NtQueryValueKey;
b179f4f4  806229be 80624fc6 80625230 80624c16  .)b..Ob.0Rb..Lb.
kd> s -d bapidrv L2b000  nt!NtSetValueKey
b179f4f0  80622d0c 806229be 80624fc6 80625230  .-b..)b..Ob.0Rb.
kd> s -d bapidrv L2b000  nt!NtCreateKey;
b179f4e8  80624786 80625b58 80622d0c 806229be  .Gb.X[b..-b..)b.
kd> s -d bapidrv L2b000  nt!NtOpenKey
b179f4ec  80625b58 80622d0c 806229be 80624fc6  X[b..-b..)b..Ob.

得到了一些dword之后我们就完全可以通过IDA进行栈回溯定位相关的IOCTL_CODE了。变得特别简单了。

我们比较容易的就得到了下面的对应关系 以及相应的对应的ioctl_code

1 BRegCloseKey
2 BRegCreateKey    BRegCreateKeyEx     BRegCreateKeyW     BRegCreateKeyExW    ---?ObOpenObjectByName---?ObReferenceObjectByHandle---?TempHandle = (HANDLE)LongToHandle(KeyBody->Type);
3 BregDeleteKey    BregDeleteKeyEx      BregDeleteKeyW     BregDeleteKeyExW
---? CmDeleteKey                        
4 BRegDeleteValue  BRegDeleteValueW                                （0X889928a4）
---?CmDeleteValueKey
5 BRegEnumKey     BRegEnumKeyEx     BRegEnumKeyW   BRegEnumKeyExW
---?CmEnumerateKey
6 BRegEnumValue   BRegEnumValueW
---?CmEnumerateValueKey
7 BRegOpenKey    BRegOpenKeyEx     BRegOpenKeyW   BRegOpenKeyExW        (0x8899288c)
---? ObOpenObjectByName---?ObReferenceObjectByHandle---? TempHandle = (HANDLE)LongToHandle(KeyBody->Type);
8 BRegQueryValueEx   BRegQueryValueExW                            （0x88992890）
---? CmQueryValueKey
9 BRegSetValueEx     BRegSetValueExW
---? CmSetValueKey

我们可以使用windbg的条件断点命令来验证我们逆向得到的ioctl_code对不对

bp nt!NtDeviceIoControlFile+0x5  ".if (poi(@ebp+0x1c)=0x8899288c) {} .else {gc}"
bp nt!NtDeviceIoControlFile+0x5  ".if (poi(@ebp+0x1c)=0x88992890) {} .else {gc}"
bp nt!NtDeviceIoControlFile+0x5  ".if (poi(@ebp+0x1c)=0x889928a4) {} .else {gc}"
bp nt!NtDeviceIoControlFile+0x5  ".if (poi(@ebp+0x1c)=0x88992888) {} .else {gc}"
bp nt!NtDeviceIoControlFile+0x5  ".if (poi(@ebp+0x1c)=0x88992894) {} .else {gc}"

比方说我们逆向得到了 管家的删除注册表的ctl_code。 我们直接用管家删除一个文件 ，用上面的条件断点命令就可以验证我们逆向的对不对了。

我们同时可以使用下面的简单的条件断点的命令观察完整的底层注册表操纵接口栈回溯

bp /t @$thread nt!CmDeleteValueKey
bp /t @$proc     nt!CmDeleteValueKey