) mxsafe.dll对网页木马的防护以及绕过-----------------------------------------------------------------------maxthon2启动的时刻装载mxsafe.dll对一些api进行了hook.在浏览器里运行程序,若是这些程序不在其信托列表内里,就会蹦个框,要求允许/克制.以是,大部分下载木马在启动的时刻就被检测到了. 要知道mxsafe hook了哪些api. od maxthon.exe, bp WriteProcessMemory, F9看改了哪些地址.或者启动maxthon.exe,用rooktit unhooker扫下code hooks就知道了. hook啥 (maxthon.exe v2.0.3., mxsafe.dll v1.0.0.)---------------------------修改ntdll.dll 导出表hook:[1] ZwCreateProcessEx/ZwCreateProcess // 检测winxp,/建立历程[2] ZwWriteVirtualMemory // 为检测代码注入 kernel32.dll iat hook:[3] ZwCreateProcessEx(xp )/ZwCreateProcess()// 检测winxp,/建立历程[4] ZwWriteVirtualMemory // 为检测代码注入 kernel32.dll inline hook:[5] LoadLibraryExW // 检测LoadLibraryA/W挪用[6] CreateProcessInternalW // 检测CreateProcessA/W挪用 咋绕过------------------------------要做到偷偷的进城,打枪的不要,就要在shellcode里unhook掉上述的[3],[4],[6].unhook掉[6]的inline好办,mxsafe.dll只修改了CreateProcessInternalW的头几个字节做relative jmp,改回原始的就行了.unhook掉[3],[4]在shellcode里要稍微贫苦点,由于内存ntdll.dll映像导出表内里的ZwCreateProcess (Ex),ZwWriteVirtualMemory已经被mxsafe改掉了,以是通过手工剖析导出表来获取原始的native api地址,进而恢复iat hook的路就堵上了.然则天无绝人之路嘛,照样有几种设施可以获得真实的地址:1. 读取原始的ntdll.dll文件,手工剖析导出表获得真实地址.2. 搜索内存ntdll.dll映像的.text段,用特征匹配找到native api的地址. 1方式实现起来贫苦.2方式简单点,需要注重的是一些细节问题:先看下ntdll.dll内里的ZwCreateProcess(Ex)代码. win sp1 ZwCreateProcessEx 0x32------------------------------------------7CA7 90 NOP7CA8 gt; B8 MOV EAX,32 // syscall id7CAD BA FE7F MOV EDX,7FFECB2 FF12 CALL DWORD PTR DS:[EDX]7CB4 C2 2 RETN 24 win xpsp2 ZwCreateProcessEx 0x30------------------------------------------7C92D74E 90 NOP7C92D74F 90 NOP7C92D 90 NOP7C92D 90 NOP7C92D 90 NOP7C92D 90 NOP7C92D gt; B8 MOV EAX,30 // syscall id7C92D BA FE7F MOV EDX,7FFEC92D75E FF12 CALL DWORD PTR DS:[EDX]7C92D C2 RETN 20 win ZwCreateProcess--------------------------------------------77F 8BFF MOV EDI,EDI77F gt;/ B8 MOV EAX,29 // syscall id77FD |. 8D 04 LEA EDX,DWORD PTR SS:[ESP+4]77F |. CD 2E INT 2E77F \. C2 RETN 20 发现什么了? 同一个ZwCreateProcessEx的syscall id在xp,是不一样的,而且只有ZwCreateProcess,以是想一个特征通杀/xp/是不行的.以是, 在xp要匹配0xB8,在要匹配0xB8,找到真实地址后,再到内存kernel32.dll映像的导入内外搜索 NtCreateProcessEx.(由于xp/的CreateProcessA/W不用NtCreateProcess建立历程),然后修复 iat hook.在要匹配0xB8,kernel32.dll搜索NtCreateProcess,修复.NtWriteVirtualMemory的类似,就不多说了.示例代码就不提供了,有兴趣的,折腾几下就出来了. 咋防护---------------ring3是靠不住的,既然shellcode都运行起来了,还不是你hook啥,我unhook啥的体力劳动.要深度防御,照样进ring0吧. 最后---------------对于win,若是CPU支持DEP,boot.ini内里又是/noexecute=optout,毋须mxsafe.dll劳神,heap spray就挂了.没测试vista,不外估量UAC也不是食斋的.