网络黑客信息平台网:根据对Windows API开展Unhooking绕开Cylance以及他AV/EDR
全文详细地址:
假如您试着从运作CylancePROTECT的设备上转储lsass.exe过程运行内存得话,您便会发觉,它是一件十分艰难的事儿。
在本试验中,大家将为阅读者演试怎样成功转储过程的运行内存并绕开Cylance(或一切别的病毒防护/节点检验和回应解决方法),后面一种应用客户态API hooking来明确程序在实行全过程中是不是有故意个人行为。
事实上,Hooking是一种历史悠久的技术性,我以前早有了解,但从来没有机遇使用过,直至我偶然发现Hoang Bui的一篇文章——该文章内容详细介绍了EDR的unhooking解决,详细地址为
尽管本试验演试的API Unhooking技术性是在MiniDumpWriteDump API前后文中开展的,可是该技术性一样适用别的一切已hooked的API。
事实上,我们可以将API hooking与代理服务器开展对比:您的运用程序开展的全部API调用(包含其主要参数),比如CreateFile、ReadFile、OpenProcess等均会被AV/EDR阻拦并开展相对的查验,随后由AV/EDR判决程序的实际操作/用意是不是故意的。
针对EDR生产商而言,她们对客户态API的hook方式是:被劫持/改动Windows DLL(如kernel32/kernelbase和ntdll)中的函数界定(API)。
一般来说,函数界定是根据在其开始插进一个jmp命令来开展改动的。这种jmp命令将更改程序的实行步骤——程序将被跳转到EDR的查验控制模块,该控制模块将分辨程序是不是主要表现出一切异常的个人行为,从总体上,他们是根据剖析传送给EDR已经hooking/监控的函数的主要参数来开展评定的。这类跳转有时候被称作绕道/蹦蹦床。
期待下边的数据图表有利于进一步表明这一个全过程:
特别注意的是,并不是全部的函数都是会被AV/EDR被劫持。一般仅有这些在已经知道恶意程序中被常常乱用的函数才会被hooked,这种函数包含CreareRemoteThread、NtQueueApcThread等。
一定要注意,这一试验事实上是创建在另一个试验的基本以上的。在那一个试验中,我撰写了一个中小型的C 程序,应用MiniDumpWriteDump Windows API转储lsass.exe过程运行内存,敬请浏览
如今,使我们试着在一个被CylancePROTECT监管的系统软件上运作这一段编码(在上面的试验中撰写的程序)。这时候,该程序会因为违反规定而被停止,有关信息为LsassReadstraight away:
如同您猜中的那般,Cylance hook了MiniDumpWriteDump的API调用。更精确地说,它事实上是hook了一个NtReadVirtualMemory函数,该函数来源于ntdll.dll,而它是由MiniDumpWriteDump函数在背后开展调用的。
用程序调试实行该程序,我们可以观查到,在过程运行时,Cylance的内存保护控制模块,即CyMemDef64.dll被引入到Invok-CreateMemoryDump.exe(大家的程序,它会调用MiniDumpWriteDump函数)过程中。这一控制模块将对Invok-CreateMemoryDump.exe中的API调用开展相对的查验。
即然我们知道MiniDumpWriteDump调用了NtReadVirtualMemory,那麼何不检查一下NtReadVirtualMemory的函数界定,看一下是不是有异常之处。
@WinDBG
u NtReadVirtualMemory
大家马上见到,该函数的第一条命令是偏向某一怪异内存地址的JMP命令,该详细地址超过了ntdll控制模块的内存地址范畴:
下边,使我们反编译一下该详细地址:
@WinDBG
u 0000000047980084
我们可以马上注意到,也有好几个偏向Cylance内存保护控制模块CyMemDef64.dll的jmp命令——这确认了函数NtReadVirtualMemory已被hooked:
为了更好地确定大家的程序最后将调用NtReadVirtualMemory,我们可以在其上置放一个中断点并执行程序。如下列屏幕截屏所显示,这儿击中了该中断点:
如果我们执行程序,它将被跳转(jmp命令)到Cylance的内存保护控制模块,而且该程序将伴随着Violation:LsassRead信息的来临而奔溃。
为了更好地开展unhook,也就是说,将被hooked的函数复原到其最初的状态,大家必须了解它在被Cylance改动以前是什么样子的。
根据查验函数NtReadVirtualMemory的前五个字节数,能够非常容易保证这一点;在载入到运行内存以前,该函数坐落于c:\\windows\\system32
tdll.dll库文件。我们可以在ntdll的DLL导出来表格中见到该函数的相对性虚拟注册地址(RVA)——在大家的试验中,该详细地址为00069C70(在您的系统软件上,该详细地址很有可能会各有不同):
假如将RVA变换为物理学文档部位(因为文档并未载入到运行内存中,因而与RVA同样),我们可以见到该函数的前五个字节数为4c 9a d1 b8 c3:
上边的意思是,如果我们将Cylance引入的NtReadVirtualMemory函数的前五个字节数(e9 0f 64 f8 cf)更换为4c 9a d1 b8 3c,那麼,Cylance可能“双目失明”,进而没法监控MiniDumpWriteDump API调用。
拥有这种信息内容,我们可以升级程序,并让它寻找函数NtReadVirtualMemory的详细地址,并根据将字节数4c 9a d1 b8 3c载入该函数的开始一部分来完成unhook,实际如下边的第17行编码所显示:
再次编译程序并再度运作该程序将取得成功转储lsass.exe过程运行内存,而不容易遭受Cylance的影响:
大家现在可以令转储文档offline并将其载入到mimikatz中……。
在这儿,大家只对一个函数开展了unhook解决;针对别的函数,根据较为硬盘上的DLL文件中的函数界定和运行内存中的函数界定,假如跟运行内存中的函数界定不一样,则代表着它被“勾住”了,这时候,我们可以用硬盘上的界定中寻找的命令开展遮盖就可以。
下边是非常好的参考文献,在其中包含Cylance对unhooking技术性的叙述:
(请在这里插进演试视頻)
