针对进程行为的监控需求,以往很多安全软件都是采用的Hook技术拦截关键的系统调用,来实现对恶意软件进程创建的拦截。但在x64架构下,系统内核做了很多安全检测措施,特别是类似于KDP这样的技术,使得Hook方法不再有效。为此OS推出了基于回调实现的行为监控方案。本文借助IDA逆向分析该技术的实现原理并给出了关键数据结构及调用链,通过双机内核调试验证了该数据结构以及调用链的正确性。
涉及到的内容如下:
1、内核对象及内核对象管理;
2、进程回调;
3、内核调试;
4、Windbg双击调试;
近年来,各种恶意软件新变种层出不穷,攻击方法、手段多种多样,造成了巨大的经济损失。作为防守的第一个环节就是能够识别出恶意进程创建的动作,而进程创建监控技术是为了能够让安全软件有机会拦截到此动作的技术。安全软件根据匹配算法判断是否准许该进程创建,以此达到保护用户数据安全的目的。x86架构下的实现方案多为Hook技术,通过拦截内核中进程创建的关键API如nt!NtCreateProcess或nt!NtCreateProcessEx,通过堆栈来回溯到关键参数,如待创建进程的exe全路径、父进程信息,然后根据获取到的全路径检测exe磁盘文件,同时也可以分析进程链最终确定是否放行该动作。但这种技术方案存在一些缺陷,一方面其破坏了内核的完整性,导致系统的稳定性下降;另一方面,这些API很多都是未公开的,也就意味着需要通过逆向工程等技术手段来分析OS内核镜像文件,定位到关键的API。但如果系统升级了,该API可能就不存在了,这也导致安全软件的兼容性特别差;最重要的是各个安全厂家的实现方案不一样,挂钩的点也不同,很容易出现相互竞争的情况,极有可能会导致BSoD(BlueScreenofDeath)。另一种传统的基于特征码的拦截方式,也同样存在类似的问题。需要为每个子版本的系统关键API做逆向分析,取出特征码,当系统更新或者打补丁,则需要再次逆向分析取出特征码。工作量巨大,效率低下,适配性很低,如果没有及时更新特征码,很可能会使得监控失效,情况糟糕的时候会直接导致BSoD。为此,在x64架构下,内核一方面为了保护关键数据的完整性,另一方面也为了提高内核程序自身的稳定性,推出了诸如KDP(KernelDataProtection)、PG等安全措施,使得传统的Hook技术失效;同时OS为了规范化安全相关信息的获取,使得安全软件能够在内核可控的情况下提供安全服务,Windows系统层面提供了一种基于回调的方式来通知安全软件注册的内核回调例程。这种方式优点是方便高效,可移植性好,稳定性高,且各个安全厂商之间也不会出现竞争的关系。
本文基于逆向工程及内核调试技术,分析了该技术的具体实现及系统额外增加的数据检测机制。借助逆向工具IDA静态逆向分析了系统关键API的内部动作及具体的实现,相关的数据结构,得到该技术实际触发的调用源以及整个调用链。借助VMWare搭建双机调试环境,利用Windbg动态调试系统内核,查看系统中所涉及到的关键数据,并与PCHunter给出的数据做对比分析,验证了分析结论的正确性。此外还通过对调用链中的关键函数下断点,通过栈回溯技术,动态观察了整个调用链及触发时间。分析得到的关键数据结构和系统对数据做的检测校验算法可用于检测病毒木马等软件恶意构造的表项,且还可以应用到安全厂商对抗恶意代码时,自动构造表项来检测系统行为,完全脱离系统提供的注册卸载API。
1进程回调原理分析1.1安装与卸载逆向分析根据微软官方技术文档MSDN上的说明,通过PsSetCreateProcessNotifyRoutine、PsSetCreateProcessNotifyRoutineEx和PsSetCreateProcessNotifyRoutineEx2这三API来安装一个进程创建、退出通知回调例程,当有进程创建或者退出时,系统会回调参数中指定的函数。以PsSetCreateProcessNotifyRoutine为例子,基于IDA逆向分析该API的具体实现。如图1所示,由图可知,该API内部仅仅是简单的调用另一个函数,其自身仅仅是一个stub,具体的实现在PspSetCreateProcessNotifyRoutine中,此函数的安装回调例程的关键实现如图所示。
调用ExAllocateCallBack,创建出了一个回调对象,并将pNotifyRoutine和bRemovel作为参数传入,以初始化该回调对象,代码如图所示;其中pNotifyRoutine即是需要被回调的函数例程,此处的bRemovel为false,表示当前是安装回调例程。
紧接着调用ExCompareExchangeCallBack将初始化好的CallBack对象添加到PspCreateProcessNotifyRoutine所维护的全局数组中。值得注意的是,ExCompareExchangeCallBack中在安装回调例程时,对回调例程有一个特殊的操作如图所示。
与0x0F做了或操作,等价于将低4位全部置1;若ExCompareExchangeCallBack执行失败,则接着下一轮循环继续执行。由图2中第66行代码可知,循环的最大次数是0x40次。如果一直失败,可调用ExFreePoolWithTag释放掉pCallBack所占用的内存,且返回0xC000000D错误码。
然后根据v3的值判断是通过上述三个API中的哪个安装的回调,来更新相应的全局变量。其中PspCreateProcessNotifyRoutineExCount和PspCreateProcessNotifyRoutineCount分别记录当前通过PsSetCreateProcessNotifyRoutineEx和PsSetCreateProcessNotifyRoutine安装回调例程的个数。PspNotifyEnableMask用以表征当前数组中是否安装了回调例程,该值在系统遍历回调数组执行回调例程时,用以判断数组是否为空,加快程序的执行效率。
除了能够安装回调例程,这三个API也能卸载指定的回调例程。以PsSetCreateProcessNotifyRoutine为例,分析其实现的关键部分,如图所示。
通过一个while循环遍历PspCreateProcessNotifyRoutine数组,调用ExReferenceCallBackBlock取出数组中的每一项,该API内部会做一些检验动作且对返回的数据也做了特殊处理,如图所示。图6中*pCallBackObj即是取出回调对象中的回调例程的函数地址,通过判断其低4位是否为1来做一些数据的校验,如17行所示。系统做这个处理也是起到保护作用,防止恶意构造数据填入表中,劫持正常的系统调用流程。此外,图中第33行处的代码,在将回调例程返回给父调用时,也将回调例程的低4位全部清零,否则返回的地址是错误的,调用立马触发CPU异常。
ExReferenceCallBackBlock成功返回后,调用ExGetCallBackBlockRoutine从返回的回调对象中取出回调例程,并判断取出的是否为当前指定需要卸载的项,如果是则调用ExDereferenceCallBackBlock递减引用计数,接着调用ExFreePoolWithTag释放掉Callback所占用的内存。期间也会更新PspCreateProcessNotifyRoutineExCount或PspCreateProcessNotifyRoutineCount的值。根据源码还可以得知,该数组总计64项,也即只能安装64个回调例程。如果遍历完数组的64项依旧没有找到,则返回0xC000007A错误码。
1.2OS执行回调例程分析回调例程安装完之后,如果有新的进程创建或退出,内核则便会遍历该数组来执行其中安装的每一项回调例程。通过IDA的交叉引用功能,可分析出内核其他地方对PspCreateProcessNotifyRoutine的交叉引用,如图所示,
共计5个地方涉及到此变量。其中PspCallProcessNotifyRoutines是直接调用回调例程的函数,该函数的关键部分如图所示。
通过while循环,遍历PspCreateProcessNotifyRoutine数组中安装的所有回调例程,依次执行。PspNotifyEnableMask2的操作即为判断当前数组中是否安装有回调例程,加快程序的执行效率,这个变量的值在PsSetCreateProcessNotifyRoutine中安装回调例程时设置。bRemove2这个if分支,是用来判断当前的回调例程是通过PsSetCreateProcessNotifyRoutine还是PsSetCreateProcessNotifyRoutineEx安装,因为这两个API安装的回调例程的原型不同,在实际调用时传入的参数也不同。两者的回调例程原分别为:voidPcreateProcessNotifyRoutine(HANDLEParentId,HANDLEProcessId,BOOLEANCreate)和voidPcreateProcessNotifyRoutineEx(PEPROCESSProcess,HANDLEProcessId,PPS_CREATE_NOTIFY_INFOCreateInfo)。此外,图8中IDA给出的伪C代码RoutineFun((unsigned__int64)RoutineFun)明显不对,因为回调例程的参数个数是3个,而IDA分析出的参数只有1个,显然有问题。直接看下反汇编代码即可得知,如图所示,
根据x64下的调用约定可知,函数的前4个参数是通过rcx、rdx、r8和r9这四个寄存器传递,图给出的正是回调例程的前三个参数,_guard_dispatch_icall内部会直接取rax的值调用过去,而rax的值正是ExGetCallBackBlockRoutine调用返回的回调例程函数地址。
上图中的第二个涉及到PspCreateProcessNotifyRoutine数组的是PspEnumerateCallback函数,该函数是系统内部函数,没有导出,其具体实现如图所示。
该函数根据dwEnumType来判断想要枚举的是哪个数组,由代码分析可知,系统内核维护了三个回调相关的数组,分别为镜像加载回调数组,进程创建退出回调数组,线程创建退出数组。类似之前的函数校验,这里也检测了索引是否超过0x40,超过了则返回0,以示失败。
1.3触发调用的调用链分析上节分析了回调例程的直接调用上级函数,本节分析整个调用链,主要分析调用源及调用过程中涉及到的关键函数。根据IDA给出的交叉引用图如图所示。
涉及到的函数调用非常多,很多不相关的也被包含进来,不便于分析。经手动分析整理后的调用链,其链路中的关键API如图所示。
虚线以上部分为用户态程序,虚线以下为内核态程序,红色标注的都是标准导出的API。根据图12可知,当用户态进程调用RtlCreateUserProcess、RtlCreateUserProcesersEx或RtlExitUserProcess时,内核都会去遍历PspCreateProcessNotifyRoutine数组,依次执行回调例程,通知给驱动程序做相应的处理。驱动接管之后,可以做安全校验处理,分析进程的父进程或者进一步分析进程链,此外还可以对即将被拉起的子进程做特征码匹配,PE指纹识别,导入表检测等防御手段。这种方式不需要去Hook任何API,也无需做特征码定位等重复繁琐的工作,完全基于系统提供的回调机制,且在Windows系统中都可以无缝衔接。且各个安全厂家之间也不存在相互竞争,大大缩小了系统蓝屏的风险。图12中NtCreateUserProcess调用PspInsertThread的原因是创建进程的API内部会创建该进程的主线程。将遍历回调例程数组的工作统一到PspInsertThread中,由其去调用下层的PspCallProcessNotifyRoutines更为合理。
2实验2.1观察系统中已安装的回调例程实验环境如表1所示,借助于VMWare进行双机调试。
Windbg版本10.0.17134.1
在Windbg中观察PspCreateProcessNotifyRoutine数组,共计14项有效数据,如下所示;
1:kdddPspCreateProcessNotifyRoutineCountl1fffff802`151f4e7:kdddPspCreateProcessNotifyRoutineExCountl1fffff802`151f4e7c000000051:kddqPspCreateProcessNotifyRoutinel40fffff802`14da2a80ffffcc8b`d884b9bfffffcc8b`d8d9c96ffffff802`14da2a90ffffcc8b`d939975fffffcc8b`da00044ffffff802`14da2aa0ffffcc8b`d9bd382fffffcc8b`da41e8dffffff802`14da2ab0ffffcc8b`da53815fffffcc8b`da5ca8bffffff802`14da2ac0ffffcc8b`dac5178fffffcc8b`dbef624ffffff802`14da2ad0ffffcc8b`dce333afffffcc8b`dcec67dffffff802`14da2ae0ffffcc8b`dc735defffffcc8b`dcabd32f拆解第一项,寻找其所对应的回调例程,如下:1:kddqffffcc8b`d884b9b0l3ffffcc8b`d884b9b000000000`00000020fffff802`13fd6268ffffcc8b`d884b9c000000000`00000000由此可知,安装的回调例程起始地址为fffff802`13fd6268,且还可知道Remove为0,即这个是已经安装的。寻找该回调例程对应的驱动模块,如下:1:kdufffff802`13fd6268360qpesv64+0x26268:fffff802`13fd6268movqwordptr[rsp+08h],rbxfffff802`13fd626dmovqwordptr[rsp+10h],rbpfffff802`13fd6272movqwordptr[rsp+18h],rsifffff802`13fd6277pushrdi1:kdlmvm360qpesv64startmodulenamefffff802`13fb0000fffff802`qpesv64Loadedsymbolimagefile:360:360:360:WedMay2720:13:222020(5ECF2C52)CheckSum:00054A2AImageSize:00052000
可知该回调例程是360官方提供。借助PCHunter来对比下,其给出的数据如图所示,
2.2动态调试回调例程以表项的第14项为例,内容如下,
1:kddqffffcc8b`dcabd320l3ffffcc8b`dcabd32000000000`00000020fffff802`13d795b4ffffcc8b`dcabd33000000000`000000061:kdbpfffff802`13d795b41:kdg断点命中,查看父进程相关信息,如下,Breakpoint0hitfffff802`13d795b448895c2408movqwordptr[rsp+8],rbx1:kddt_EPROCESS@$proc-ynImageFileNament!_EPROCESS+0x450ImageFileName:[15]""由此可知,是这个父进程创建或者销毁了一个子进程,更具体的信息如下分析;查看下当前的上下文环境;1:kdrrax=fffff80213d795b4rbx=ffffcb8050526c80rcx=ffffcc8bdd67e080rdx=0000000000001f28rsi=000000000000000drdi=ffffcc8bdd67e080rip=fffff80213d795b4rsp=ffffcb8050526c38rbp=ffffcb8050526ca9r8=ffffcb8050526c80r9=ffffcc8bdc735de0r10=ffff9401cdcc2760r11=0000000000000000r12=0000000000000001r13=0000000000000000r14=ffffcc8bdcabd320r15=fffff80214da2ae8iopl=0nvupeiplzrnaponccs=0010ss=0018ds=002bes=002bfs=0053gs=002befl=00000246根据x64的调用约定可知,rcx寄存器中存储的是EPROCESS对象指针,该对象存储的是即将被创建的子进程的相关信息,可以获取到的作为身份识别或者安全检测的关键信息如下:1:kddt_EPROCESSffffcc8bdd67e080-ynImageFilentdll!_EPROCESS+0x448ImageFilePointer:0xffffcc8b`dc97c5c0_FILE_OBJECT+0x450ImageFileName:[15]"UpdateAssistan"1:kddt0xffffcc8b`dc97c5c0_FILE_OBJECT-ynFileNamentdll!_FILE_OBJECT+0x058FileName:_UNICODE_STRING"\Windows\UpdateAssistant\"1:/pffffcc8bdd67e080;!peb186ef07000Implicitprocessisnowffffcc8b`:'C:\Windows\system32\'WindowTitle:'C:\Windows\UpdateAssistant\'ImageFile:'C:\Windows\UpdateAssistant\'CommandLine:'C:\Windows\UpdateAssistant\/ClientIDWin10Upgrade:VNL:NHV19:{}/CalarRun'可以获取到该进程的EXE路径,创建时的命令行参数,父进程的PID等信息,这些足以用于安全软件的检测。父进程的完整调用栈如下,1:kdk#Child-SPRetAddrCallSite00ffffcb80`50526c38fffff802`14ef4ae50xfffff802`13d795b401ffffcb80`50526c40fffff802`14ef752cnt!PspCallProcessNotifyRoutines+0x24902ffffcb80`50526d10fffff802`14f2797bnt!PspInsertThread+0x5a403ffffcb80`50526dd0fffff802`14b79553nt!NtCreateUserProcess+0x9c704ffffcb80`50527a1000007ffe`547d1654nt!KiSystemServiceCopy+0xf`4b67d25800007ffe`50b406dfntdll!NtCreateUserProcess+0xf`4b67d26000007ffe`50b3d013KERNELBASE!CreateProcessInternalW+0x1b3f070000002f`4b67dec000007ffe`5216ee0fKERNELBASE!CreateProcessAsUserW+0x63080000002f`4b67df3000007ffe`4ce0a136KERNEL32!CreateProcessAsUserWStub+0x5f090000002f`4b67dfa000007ffe`4ce0bdd9UBPM!UbpmpLaunchAction+0xb360a0000002f`4b67e28000007ffe`4ce08ee0UBPM!UbpmLaunchTaskExe+0x2790b0000002f`4b67e49000007ffe`4ce10a86UBPM!UbpmpLaunchOneTask+0x6c00c0000002f`4b67e8f000007ffe`4ce0b8bcUBPM!UbpmpHandleGroupSid+0x2360d0000002f`4b67ea1000007ffe`4ce0b78bUBPM!UbpmpLaunchExeAction+0xec0e0000002f`4b67eaf000007ffe`4ce0b5a3UBPM!UbpmpTakeAction+0xeb0f0000002f`4b67eb5000007ffe`4ce0b193UBPM!UbpmpPerformTriggerActions+0x293100000002f`4b67eca000007ffe`4ce1316cUBPM!UbpmpHandleTriggerArrived+0x563110000002f`4b67ef5000007ffe`508c32d0UBPM!UbpmpRepetitionArrived+0x1c120000002f`4b67ef9000007ffe`508c3033EventAggregation!EaiSignalAggregateEvent+0x16c130000002f`4b67f06000007ffe`508c27aaEventAggregation!EaiSignalCallback+0xe7140000002f`4b67f14000007ffe`508c253eEventAggregation!EaiProcessNotification+0x1aa150000002f`4b67f27000007ffe`508caef8EventAggregation!WnfEventCallback+0x506160000002f`4b67f3a000007ffe`5476769fEventAggregation!AggregateEventWnfCallback+0x38170000002f`4b67f3f000007ffe`54767a51ntdll!RtlpWnfWalkUserSubscriptionList+0x29b180000002f`4b67f4e000007ffe`5476b510ntdll!RtlpWnfProcessCurrentDescriptor+0x105190000002f`4b67f56000007ffe`54766b59ntdll!RtlpWnfNotificationThread+0x801a0000002f`4b67f5c000007ffe`54764b70ntdll!TppExecuteWaitCallback+0xe11b0000002f`4b67f60000007ffe`52171fe4ntdll!TppWorkerThread+0x8d01c0000002f`4b67f99000007ffe`5479ef91KERNEL32!BaseThreadInitThunk+0x141d0000002f`4b67f9c000000000`00000000ntdll!RtlUserThreadStart+0x21由于前四个参数是通过的寄存器传递的,所以无法直接通过栈来回溯到参数,但可以通过手动方式分析得到。分析ntdll!NtCreateUserProcess的调用父函数,其返回地址处的汇编代码如下所示:1:kdub00007ffe`50b406dfKERNELBASE!CreateProcessInternalW+0x1b11:00007ffe`50b406b1488b842440040000movrax,qwordptr[rsp+440h]00007ffe`50b406b94889442420movqwordptr[rsp+20h],rax00007ffe`50b406beb800000002moveax,2000000h00007ffe`50b406c3448bc8movr9d,eax00007ffe`50b406c6448bc0movr8d,eax00007ffe`50b406c9488d942448010000leardx,[rsp+148h]00007ffe`50b406d1488d8c24e0000000learcx,[rsp+0E0h]00007ffe`50b406d9ff1521901600callqwordptr[KERNELBASE!_imp_NtCreateUserProcess(00007ffe`50ca9700)]可知,NtCreateUserProcess第一个参数和第二个参数再rsp+0xE0和rsp+0x148处;查看该处的数据如下:1:kddpu0000002f`4b67d260+E00000002f`4b67d260+1480000002f`4b67d3`000000000000002f`4b67d34800000000`000000040000002f`4b67d35000000100`000000000000002f`4b67d35800000000`000000200000002f`4b67d360000001f2`d9b87cc0"C:\Windows\UpdateAssistant\"0000002f`4b67d36800000000`000000000000002f`4b67d37000000000`000000000000002f`4b67d3780000002f`000000000000002f`4b67d380000001f2`d8d43580"C:\Windows\UpdateAssistant\/ClientI"0000002f`4b67d38800000000`000000000000002f`4b67d39000000000`000086640000002f`4b67d398000001f2`d9d73c40"ALLUSERSPROFILE=C:\ProgramData"0000002f`4b67d3a000000000`000000000000002f`4b67d3a800000000`00000000由此可知,svchost拉起的子进程为,与之前分析得到的参数也相吻合。从调用栈可知,是在svchost创建子进程时遍历的回调例程,通知给驱动软件做相应的处理。
3结束语本文详细地分析了系统实现进程回调安全机制的内部原理,借助IDA工具逆向系统镜像文件,分析了实现的关键代码部分,得到了关键数据结构及系统额外做的数据检测校验算法。对关键全局变量的作用也做了详细解释。此外,通过逆向分析,给出了整个机制的调用源与调用链。最后基于双机调试环境,动态查看内核中维护的进程回调例程表,并且下断点实际动态调试了整个过程。对于驱动开发,内核安全相关方面的研究工作者提供了该技术实现原理与机制。基于得到的关键数据结构和系统数据检验保护算法,可以解密关键字段后检测表项中的恶意代码,也可以用于安全厂商在对抗过程中,完全脱离系统提供的API手工构建表项,达到监控系统行为的目的。
