ETW HOOK是一个经久不衰的话题了,本质上是微软的漏洞,在微软进行记录ETW时候系统调用的时候,被ETW相关组件拦截跑到记录的代码,因为涉及到的代码量实在太大,微软这里面老是会有一些函数指针的使用,从而可以把他替换成我们自己函数回调,而不会触发PG拦截系统调用(无法拦截直接内核NtXXX)。
早期的ETW HOOK实现概要
早期的ETW HOOK替换的一些HalPxx指针已经被PG监控。
https://github.com/everdox/InfinityHook
到后来第二个版本的ETW,原理和EAC接管系统异常差不多,这一版本的也是再ETW HOOK的必经之路上面修改函数指针:
原理是EAC通过修改HalpStallCounter[0xE]的这个位置,以及NtGlobalFlags这个标志位。
HalpStallCounter[0xE] 函数原本是HalpTscQueryCounterOrdered,修改这个之后,一些异常(包括kernel mode)就会走到这从而被EAC接管。
下图是发生异常时候的调用栈从windg可以看到,EAC修改了HalpStallCounter来进行接管异常:
可以兼容最新版 windows 的ETW HOOK
第二版的ETW Hook现在还可以用,但是用起来非常复杂,光是不同系统兼容、修栈就要耗费巨大精力。
因此这里参考国外的一个大佬文章,他提出了更新版本的ETW-HOOK,具体原理如下:
WINDOWS的.data节一般是存放可以变的全局变量的,所谓的偷指针就是修改.data节区的指针。
而在这里,最好玩的是HalPrivateDispatchTable,这个是windows 的ntoskenl.exe为了方便使用HAL的导出函数,把他们存放在统一的地方。而HAL,用到的地方肯定很多,ETW 正是如此。
我们来看一下系统调用ETW的调用路径。
这里其实可以看到,call rax其实就是正常的系统调用,而再进入ETW系统调用之前,他把原始的系统调用存放在了栈上,这就导致我们拦截到ETW的时候,可以修改栈上的位置,来进行HOOK Syscall。
进入这个函数:
如果说之前无法定位,现在可以通过这个栈上面的magic number来定位syscall的地址,从而替换了。
继续跟到EtwTraceSiloKernelEvent里面,可以发现,无论参数怎么样,这个函数调用了EtwpLogKernelEvent。
void __fastcall EtwTraceSiloKernelEvent( __int64 a1, __int64 a2, unsigned int a3, unsigned int a4, unsigned __int16 a5, int a6){ unsigned __int64 v9; // rsi unsigned int v10; // ebx bool v11; // zf unsigned int v12; // ecx __int64 v13; // r8 __int64 v14; // rcx __int64 v15; // rbx unsigned int v16; // edi __int64 v17; // rdx __int64 v18; // rcx unsigned int v19; // ecx v9 = a4; v10 = *(_DWORD *)(EtwpHostSiloState + 4224); while ( 1 ) { v11 = !_BitScanForward(&v12, v10); if ( v11 ) break; v10 &= v10 - 1; v13 = v12; v14 = 32i64 * v12 + EtwpHostSiloState + 4260; if ( v14 ) { if ( ((unsigned int)v9 & *(_DWORD *)(v14 + 4 * (v9 >> 29)) & 0x1FFFFFFF) != 0 ) EtwpLogKernelEvent(a2, EtwpHostSiloState, *(unsigned __int8 *)(EtwpHostSiloState + 2 * v13 + 4208), a3, a5, a6); } } if ( a1 ) { v15 = *(_QWORD *)(*(_QWORD *)(a1 + 1272) + 864i64); if ( v15 ) { v16 = *(_DWORD *)(v15 + 4224); while ( 1 ) { v11 = !_BitScanForward(&v19, v16); if ( v11 ) break; v17 = v19; v16 &= v16 - 1; v18 = 32i64 * v19 + v15 + 4260; if ( v18 && ((unsigned int)v9 & *(_DWORD *)(v18 + 4 * (v9 >> 29)) & 0x1FFFFFFF) != 0 ) EtwpLogKernelEvent(a2, v15, *(unsigned __int8 *)(v15 + 2 * v17 + 4208), a3, a5, a6); } } }}
而EtwpLogKernelEvent就是这次事件的主角,关键部分代码为:
else { if ( (v32 & 0x800) == 0 ) goto LABEL_17; v50 = 0; if ( !*(_DWORD *)(*(_QWORD *)(v14 + 1000) + 8i64) ) goto LABEL_17; while ( 1 ) { v51 = *(_QWORD *)(v14 + 1000); if ( *(_WORD *)(v51 + 2i64 * v50 + 12) == a5 ) break; if ( ++v50 >= *(_DWORD *)(v51 + 8) ) goto LABEL_17; } LODWORD(Flags) = a6; TimeStamp = &v58; v34 = (char *)EtwpReserveWithPmcCounters(v14, a5);// 正常设置Etw trace kernel 并不会走到这个地方!!要进行ETW配置
事实上,如果正常设置了ETW Logger syscall,就会走到这。这个函数的关键部分如下:
mcData = LoggerContext->PmcData; v8 = *(_DWORD *)(PmcData + 20); v9 = 8 * (unsigned __int8)v8 + 16; v10 = v9 + AuxSize; CurrentIrql = KeGetCurrentIrql(); if ( CurrentIrql < 2u ) { v12 = KeGetCurrentIrql(); __writecr8(2ui64); if ( KiIrqlFlags ) { if ( (KiIrqlFlags & 1) != 0 && v12 <= 0xFu ) { SchedulerAssist = KeGetCurrentPrcb()->SchedulerAssist; *(_DWORD *)(SchedulerAssist + 20) |= (-1 << (v12 + 1)) & 4; } } } v14 = EtwpReserveTraceBuffer((unsigned int *)LoggerContext, v10, (__int64)BufferHandle, TimeStamp, Flags); v15 = v14; if ( v14 ) { *(LARGE_INTEGER *)(v14 + 8) = *TimeStamp; *(_WORD *)(v14 + 4) = v10; *(_WORD *)(v14 + 6) = HookId; *(_DWORD *)v14 = (unsigned __int8)Flags | ((unsigned __int8)v8 << 8) | 0xC0110000; v21 = *(struct _HAL_PMC_COUNTERS **)(PmcData + 8i64 * (unsigned int)KeGetPcr()->Prcb.Number + 24); if ( v21 ) HalPrivateDispatchTable.HalCollectPmcCounters(v21, (unsigned __int64 *)(v14 + 16)); else memset((void *)(v14 + 16), 0, 8i64 * (unsigned __int8)v8);
这个地方HalPrivateDispatchTable.HalCollectPmcCounters(v21, (unsigned __int64 *)(v14 + 16));就是可以替换的,也就是我们要替换HalPrivateDispatchTable的HalCollectPmcCounters.从而可以正常地接管syscall而不触发PG。
具体实现上其实很简单,就是调用ZwTraceControl开启配置NT Kernel Logger,这些代码都很简单,大概步骤是:
上述所有步骤基本再第一版的etw hook里面都有代码,除了第三步。
而参考文章[1]中,对于这部分的描述是the code has been omitted from this article.,因此只能根据他给的寥寥信息逆向。好在最终逆出来了。
如果正常开启ETW,可以发现,EtwpReserveWithPmcCounters无法进入。我们可以看一下相关的判断:
因此需要设置的是相关的位。这个位设置需要用到NtSetSystemInfomation(需要自己逆向)。
具体需要逆向的是部分在EtwSetPerformanceTraceInformation函数中的如下部分:
EtwpUpdatePmcCounters这个函数是分配PmcData同时开启flag;
EtwpUpdatePmcEvents是设置开启哪些hookid,比如syscall就是0xf33。最后可以用如下代码设置PmcCounter。
/*其实这个要调用ZwSetSystemInfomation,但是没有找到合适的文档化和文章,故只能手动逆向windows,最终得出结果*/NTSTATUS EtwInitilizer::open_pmc_counter(){ auto status = STATUS_SUCCESS; auto pmc_count_info = (PEVENT_TRACE_PROFILE_COUNTER_INFORMATION)(nullptr); auto pmc_event_info=(PEVENT_TRACE_SYSTEM_EVENT_INFORMATION)(nullptr); constexpr auto syscall_hookid = 0xf33ul; if (!__is_open) return STATUS_FLT_NOT_INITIALIZED; do { /*获取ckcl_context的loggerid*/ auto EtwpDebuggerData=reinterpret_cast<ULONG***>( \ kstd::SysInfoManager::getInstance()->getSysInfo()->EtwpDebuggerData); if (!EtwpDebuggerData) { status = STATUS_NOT_SUPPORTED; LOG_ERROR("failed to get EtwpDebuggerData!\r\n"); } /*这个可以参考第一版的ETW HOOK,这里简写了*/ auto logger_id = EtwpDebuggerData[2][2][0]; pmc_count_info = kalloc<EVENT_TRACE_PROFILE_COUNTER_INFORMATION>(NonPagedPool); if (!pmc_count_info) { LOG_ERROR("failed to alloc memory for pmc_count!\r\n"); status = STATUS_MEMORY_NOT_ALLOCATED; break; } //先设置PMC Count 我们只关心一个hookid 那就是syscall的hookid 0xf33 profile source 随便设置 pmc_count_info->EventTraceInformationClass = EventTraceProfileCounterListInformation; pmc_count_info->TraceHandle = ULongToHandle(logger_id)/*这个其实就是loggerid*/; pmc_count_info->ProfileSource[0] = 1;/*随便填写*/ status=ZwSetSystemInformation(SystemPerformanceTraceInformation, pmc_count_info, sizeof EVENT_TRACE_PROFILE_COUNTER_INFORMATION); if (!NT_SUCCESS(status)) { LOG_ERROR("failed to configure pmc counter,errcode=%x\r\n", status); break; } //然后设置PMC Event hookid只需要一个就行 pmc_event_info = kalloc<EVENT_TRACE_SYSTEM_EVENT_INFORMATION>(NonPagedPool); if (!pmc_event_info) { LOG_ERROR("failed to alloc memory for pmc_event_info!\r\n"); status = STATUS_MEMORY_NOT_ALLOCATED; break; } pmc_event_info->EventTraceInformationClass = EventTraceProfileEventListInformation; pmc_event_info->TraceHandle = ULongToHandle(logger_id); pmc_event_info->HookId[0] = syscall_hookid;/*必须0xf33*/ status = ZwSetSystemInformation(SystemPerformanceTraceInformation, pmc_event_info, sizeof EVENT_TRACE_SYSTEM_EVENT_INFORMATION); if (!NT_SUCCESS(status)) { LOG_ERROR("failed to configure pmc event,errcode=%x\r\n", status); break; } } while (false); //clean up if (pmc_count_info) ExFreePool(pmc_count_info); if (pmc_event_info) ExFreePool(pmc_event_info); return status;}
这里还有个坑,就是EtwpUpdatePmcCounters这个部分的代码如下:
__int64 __fastcall EtwpUpdatePmcCounters( _WMI_LOGGER_CONTEXT *wmi_context, _KPROFILE_SOURCE *profile_array, unsigned int count){ unsigned int v6; // r12d __int64 result; // rax _ETW_PMC_SUPPORT *PmcData; // r14 __int64 i; // r8 unsigned int v10; // r15d unsigned int cpu_idx; // edi __int64 j; // rsi signed __int32 unk_struct[22]; // [rsp+0h] [rbp-58h] BYREF v6 = KeNumberProcessors_0; if ( !count || count > EtwpMaxPmcCounter || wmi_context->PoolType == 1 )// 不能是PagedPool return 0xC000000Di64; if ( wmi_context->PmcData || (result = EtwpAllocatePmcData((__int64)wmi_context), !(_DWORD)result) )// 分配成功 {
count > EtwpMaxPmcCounter这一个必须成立,我的虚拟机这个是1,也就是必须得强制改动这个值。
但是观察,我的物理机又是>1,这个全局变量比较难定位。我是通过特征码进行定位的。
效果
最后效果如下(笔者测试了19041 1903 win11最新版(笔者的物理机)):
[1] Fun With Another PG-Compliant Hookhttps://revers.engineering/fun-with-pg-compliant-hook/
[2] 仿照EAC的全局异常Hookhttps://bbs.kanxue.com/thread-278475.htm
看雪ID:Oxygen1a1
https://bbs.kanxue.com/user-home-935881.htm
# 往期推荐
3、阿里云CTF2024-暴力ENOTYOURWORLD题解
球分享
球点赞
球在看
点击阅读原文查看更多
如有侵权请联系:admin#unsafe.sh