pg3 bypass源码阅读 —— 学习x64内核hook跳板技术

pg3 bypass源码阅读 —— 学习x64内核hook跳板技术
如之前描述的 pg3复杂了许多

先来看看都要hook哪些点

1、hook dpc和定时器分发器，防止seh路线触发pg

KiTimerListExpire，KiRetireDpcList

看一下hook点

hook的就是call的位置。

这里有两种方案：一种是直接jmp + 64bit addr，显然有同步问题，需要暂停所有cpu然后把irql提升到HIGH_LEVEL去操作。

另一种是 call 32bit 跳板 addr，如下图，操作8byte符合原子操作

e8 xxxxxxxx是32位转移，我们需要一个nt范围内的跳板，作者是这样处理的。把KiCustomAccessRoutine4跳转到KiCustomAccessRoutine0，那么KiCustomAccessRoutine4后面的代码就可以随便改了，不需要原子操作，这是一个技巧。

void VistaAll_DpcInterceptor(

PKDPC InDpc,

PVOID InDeferredContext,

PVOID InSystemArgument1,

PVOID InSystemArgument2)

{

ULONGLONG Routine = (ULONGLONG)InDpc->DeferredRoutine;

__try

{

if((Routine >= 0xFFFFFA8000000000) && (Routine <= 0xFFFFFAA000000000))

{

}

else

if(KeContainsSymbol((void*)Routine))

{

if(!PgIsPatchGuardContext(InDeferredContext))

InDpc->DeferredRoutine(InDpc, InDeferredContext, InSystemArgument1, InSystemArgument2);

}

else

InDpc->DeferredRoutine(InDpc, InDeferredContext, InSystemArgument1, InSystemArgument2);

}

__except(EXCEPTION_EXECUTE_HANDLER)

{

}

}

fake dpc的处理非常简单，判断dpc context即可
2.hook ExpWorkerThread 工作线程也有可能触发pg,hook方法同上，fake函数如下

VOID VistaAll_ExpWorkerThreadInterceptor(PWORKER_THREAD_ROUTINE InRoutine, VOID* InContext, VOID* InRSP)

{

ULONGLONG Val = (ULONGLONG)InRoutine;

if((Val >= 0xfffffa8000000000) && (Val <= 0xfffffaa000000000))

return;

__try

{

InRoutine(InContext);

}

__except(EXCEPTION_EXECUTE_HANDLER)

{

}

}

过滤了所有内核的work thread，工作线程是non-seh mode，无法过滤非传统地址，所以过滤了所有的nt工作线程。。总是系统跑起来之后也不会再排新的工作线程就是了。
3.这样还不够，hook KeBugcheckEx作为补充，KeBugcheckEx是被PG循环恢复的，但是分析代码KeBugcheckEx一开始就调用到RtlCaptureContext，所以转去hook RtlCaptureContext，还是用跳板函数，用到了栈回溯

RtlCaptureContext_Hook PROC

; call high level handler without messing up the context structure...

push rcx

push rdx

push r8

push r9

push r10

push r11

mov rcx, qword ptr[rsp + 128]

mov rdx, qword ptr[rsp + 7 * 8]

sub rsp, 32

call KeBugCheck_Hook

mov qword ptr [rsp], rax

add rsp, 32

pop r11

pop r10

pop r9

pop r8

pop rdx

pop rcx

pop rax

; recover destroyed bytes of RtlCaptureContext

pushfq

mov word ptr [rcx+38h],cs

mov word ptr [rcx+3Ah],ds

mov word ptr [rcx+3Ch],es

mov word ptr [rcx+42h],ss

; jump behind destroyed bytes... (RetVal of RtlCaptureContext_HookEx)

jmp qword ptr[rsp - 32 - 8 * 7 + 8]

RtlCaptureContext_Hook ENDP

fake函数将pg进入死循环

ULONGLONG KeBugCheck_Hook(ULONGLONG InBugCode, ULONGLONG InCaller)

{

FAST_MUTEX WaitAlways;

//判断调用者

if((InCaller >= KeBugCheckEx_Sym) && (InCaller <= KeBugCheckEx_Sym + 100))

{

if(InBugCode == CRITICAL_STRUCTURE_CORRUPTION)

{

// KeBugCheckEx disables interrupts before calling RtlCaptureContext()

EnableInterrupts();

//进入死循环

ExInitializeFastMutex(&WaitAlways);

ExAcquireFastMutex(&WaitAlways);

ExAcquireFastMutex(&WaitAlways);

}

}

//返回跳转地址

return RtlCaptureContext_Sym + 14;

}

jpg 改 rar
相关阅读:
VC开发，引用win8.1配置
 RabbitMQ——常见的函数介绍
 OpenLayer4——面（多边形）
OpenLayer4——图形组合
 OpenLayer4——GeoJSON简介
 RabbitMQ——交换机
 RabbitMQ——helloworld
OpenLayer4——添加Geojson
RabbitMQ——消息头
 OpenLayer4——圆形
原文地址：https://www.cnblogs.com/kuangke/p/9397533.html