|
|
51CTO旗下网站
|
|
移动端

【硬件虚拟化】远离kernel的理想乡

这个故事描述了如何使用硬件虚拟化(HVM)使得自己的一些hook代码远离内核不容易被其他内核hook所影响并且较难被检测。本文的思路来源于某学校的动态linux内核更新的玩意,代码大量抄自bluepill。

作者:三寸法师来源:看雪学院|2018-12-05 15:55

 简介

这个故事描述了如何使用硬件虚拟化(HVM)使得自己的一些hook代码远离内核不容易被其他内核hook所影响并且较难被检测。本文的思路来源于某学校的动态linux内核更新的玩意,代码大量抄自bluepill。

第一章 (Avalon) 阿瓦隆的黎明

由于驱动牛人越来越多系统控制权的争夺愈演愈烈,内核之中几乎无一块净土。inline hook、ssdt hook等等各种hook充斥着我们幼小的内核。他们有些结构复杂,有些相互关联,有些检测监视,想要重新获得那些控制点的控制权必须花些力气研究那些hook,使得原来很简单的hook变得牵一发而动全身。

现在有硬件虚拟化技术,我们可以换个思路来解决那些问题了…

一、(Avalon)阿瓦隆的构成

(Avalon) 阿瓦隆的本体为以下几个部分:

1、Avlboot.sys(用于保存刚初始化后还没被hook污染的系统内核方便之后使用)

2、Avalon.sys(用于读取伪内核信息,开启硬件虚拟化加载伪内核)

3、XXX.sys(用户利用Avlboot.sys中所提供的信息进行具体hook操作的程序)

二、(Avalon)阿瓦隆的真相

本文所介绍的(Avalon) 阿瓦隆是一个基于虚拟化的内核加载框架。其利用硬件虚拟化(HVM)和一块没有被hook污染的内核内存,使得PC中同时运行着两个内核。并且Avalon通过控制sysenter_eip和idt中指向伪内核的相应地址来获得控制权。

简而言之,(Avalon)阿瓦隆就是利用硬件虚拟化(HVM)加载自己的内核架空原内核,使得自己能在不被检测的环境下获得内核的控制权。

实现原理如下图所示:


自己的hook程序在获得伪内核的基地址后,可以通过hookport来处理ssdt,shadow ssdt(strongod需要备份其所hook的ssdt稍微麻烦点,agp什么的只要把地址偏移一下就能用了)。

三、(Avalon)阿瓦隆的应用

其实我们可以把(Avalon)阿瓦隆看成是一种变相的sysenter hook+idt hook。

由于(Avalon)阿瓦隆基于硬件虚拟化(HVM)使得我们可以架空整个内核,使得内核可以在运行时可以实时的替换。

因为伪内核的所在内存范围不受内存监控,别的程序也无法直接访问,使得我们的伪内核就成了不用考虑其他干扰问题,可以随意hook的安全的理想乡。

这种方式的hook和传统的一些hook相比有着以下优点:

1、不在传统的内存监控的范围,较难检测。

2、不干扰系统中原有的hook代码,兼容性较高。

但是同样有一些缺点:

1、无法直接干涉object hook,irp hook等不依赖于内核内存的hook代码

2、整个系统依赖于硬件虚拟化(HVM),对硬件设备有一定要求。

第二章 空想具现化

一、纯洁的初始化

首先我们来实现(Avalon)阿瓦隆的初始化,初始化由4个部分组成:内核信息获取、伪内核构造、IDT信息保存、原始SYSENTER_EIP获取。

实现代码如下:

  1. NTSTATUS DriverEntry (IN PDRIVER_OBJECT DriverObject,IN PUNICODE_STRING RegistryPath)  
  2. {  
  3.  
  4. ... 
  5.  
  6. KrnlCopy(); 
  7. IDTCopy(); 
  8. ReadMsrSysenter(); 
  9.  
  10. ... 
  11.  
  12.  
  13. /* 
  14.  
  15.   内核拷贝 
  16.  
  17. */ 
  18.  
  19. VOID KrnlCopy() 
  20. PVOID Buffer; 
  21. ULONG Size
  22. ULONG RetSize; 
  23. PSYSTEM_MODULE_INFORMATION InfoBuffer; 
  24. NTSTATUS Status; 
  25. PVOID ModuleBase; 
  26. ULONG ModuleSize; 
  27.  
  28. Size=0x1000; 
  29.  
  30.  
  31. do { 
  32.  Buffer=ExAllocatePool(NonPagedPool,Size); 
  33.  Status=ZwQuerySystemInformation(SystemModuleInformation,Buffer,Size,&RetSize); 
  34.  if (Status == STATUS_INFO_LENGTH_MISMATCH) 
  35.        { 
  36.            ExFreePool(Buffer); 
  37.            Size = RetSize; 
  38.        }   
  39. }while(Status == STATUS_INFO_LENGTH_MISMATCH); 
  40.  
  41. InfoBuffer = (PSYSTEM_MODULE_INFORMATION)Buffer; 
  42.  
  43.  
  44. ModuleBase=(PVOID)(InfoBuffer->ModuleInfo[0].Base); 
  45. Orig_krnl=(ULONG)ModuleBase; 
  46.  
  47. DbgPrint("AvlBoot:Orig_krnl Base=%x\n",ModuleBase); 
  48. ModuleSize=InfoBuffer->ModuleInfo[0].Size
  49. makeKernelCopy((ULONG)ModuleBase,ModuleSize); 
  50. DbgPrint("AvlBoot:Avl_krnl Base=%x\n",Avl_krnl); 
  51. ExFreePool(Buffer); 

等初始化之后,其他部件就可以通过访问Avlboot.sys来获得伪内核的信息和内核原始信息。

二、抄来的虚拟化

这里先简单的向大家介绍下,Intel vt硬件虚拟化的步骤:

1、检查vt环境

2、开启vt功能

3、填充vt,存储虚拟机状态

4、设定需要拦截项目

5、设定从虚拟机中退出时返回的地址

6、启动虚拟机,等待拦截项目触发

7、拦截项目被触发,进入相关项目的处理例程

8、恢复虚拟机继续运行

接下来是一些坑爹的代码:

  1. /* 
  2.   Vmx初始化 
  3. */ 
  4. NTSTATUS NTAPI VmxInitialize ( 
  5.    PCPU Cpu, 
  6.    PVOID GuestEip, 
  7.    PVOID GuestEsp 
  8.    PHYSICAL_ADDRESS AlignedVmcsPA; 
  9.    ULONG VaDelta; 
  10.    NTSTATUS Status; 
  11.  
  12.  
  13.    // 为 VMXON region 申请内存空间 
  14.    Cpu->Vmx.OriginaVmxonR = MmAllocateContiguousPages( 
  15.        VMX_VMXONR_SIZE_IN_PAGES,  
  16.        &Cpu->Vmx.OriginalVmxonRPA); 
  17.    if (!Cpu->Vmx.OriginaVmxonR)  
  18.    { 
  19.  DbgPrint("VmxInitialize(): Failed to allocate memory for original VMCS\n"); 
  20.        return STATUS_INSUFFICIENT_RESOURCES; 
  21.    } 
  22.  
  23.    DbgPrint("VmxInitialize(): OriginaVmxonR VA: 0x%x\n", Cpu->Vmx.OriginaVmxonR); 
  24.    DbgPrint("VmxInitialize(): OriginaVmxonR PA: 0x%llx\n", Cpu->Vmx.OriginalVmxonRPA.QuadPart); 
  25.  
  26.    // 为 VMCS 申请内存空间  
  27.    Cpu->Vmx.OriginalVmcs = MmAllocateContiguousPages( 
  28.        VMX_VMCS_SIZE_IN_PAGES,  
  29.        &Cpu->Vmx.OriginalVmcsPA); 
  30.    if (!Cpu->Vmx.OriginalVmcs)  
  31.    { 
  32.  DbgPrint("VmxInitialize(): Failed to allocate memory for original VMCS\n"); 
  33.        return STATUS_INSUFFICIENT_RESOURCES; 
  34.    } 
  35.  
  36.    DbgPrint("VmxInitialize(): Vmcs VA: 0x%x\n", Cpu->Vmx.OriginalVmcs); 
  37.    DbgPrint("VmxInitialize(): Vmcs PA: 0x%llx\n", Cpu->Vmx.OriginalVmcsPA.QuadPart); 
  38.  
  39.    // 开启vmx 
  40.    if (!NT_SUCCESS (VmxEnable (Cpu->Vmx.OriginaVmxonR))) 
  41.    { 
  42.        DbgPrint("VmxInitialize(): Failed to enable Vmx\n"); 
  43.        return STATUS_UNSUCCESSFUL; 
  44.    } 
  45.  
  46.    *((ULONG64 *)(Cpu->Vmx.OriginalVmcs)) =  
  47.        (MsrRead (MSR_IA32_VMX_BASIC) & 0xffffffff); //set up vmcs_revision_id       
  48.  
  49.    // 填充VMCS结构 
  50. Status = VmxSetupVMCS (Cpu, GuestEip, GuestEsp); 
  51.    if (!NT_SUCCESS (Status))  
  52.    { 
  53.        DbgPrint("VmxSetupVMCS() failed with status 0x%08hX\n", Status); 
  54.        VmxDisable(); 
  55.        return Status; 
  56.    } 
  57.  
  58.    DbgPrint("VmxInitialize(): Vmx enabled\n"); 
  59.  
  60.   // 保存EFER 
  61.    Cpu->Vmx.GuestEFER = MsrRead (MSR_EFER); 
  62.    DbgPrint("Guest MSR_EFER Read 0x%llx \n", Cpu->Vmx.GuestEFER); 
  63.  
  64.   // 保存控制寄存器 
  65.    Cpu->Vmx.GuestCR0 = RegGetCr0 (); 
  66.    Cpu->Vmx.GuestCR3 = RegGetCr3 (); 
  67.    Cpu->Vmx.GuestCR4 = RegGetCr4 (); 
  68.  
  69.    CmCli (); 
  70.    return STATUS_SUCCESS; 
  71.  
  72.  
  73.  
  74. /* 
  75.   开启vmx 
  76. */ 
  77. NTSTATUS NTAPI VmxEnable ( 
  78.    PVOID VmxonVA 
  79.    ULONG cr4; 
  80.    ULONG64 vmxmsr; 
  81.    ULONG flags; 
  82.    PHYSICAL_ADDRESS VmxonPA; 
  83.  
  84. // 设置cr4位,为启用VM模式做准备 
  85.    set_in_cr4 (X86_CR4_VMXE); 
  86.    cr4 = get_cr4 (); 
  87.    DbgPrint("VmxEnable(): CR4 after VmxEnable: 0x%llx\n", cr4); 
  88.    if (!(cr4 & X86_CR4_VMXE)) 
  89.        return STATUS_NOT_SUPPORTED; 
  90.  
  91. // 检测是否支持vmx 
  92.    vmxmsr = MsrRead (MSR_IA32_FEATURE_CONTROL); 
  93.    if (!(vmxmsr & 4))  
  94.    { 
  95.        DbgPrint("VmxEnable(): VMX is not supported: IA32_FEATURE_CONTROL is 0x%llx\n", vmxmsr); 
  96.        return STATUS_NOT_SUPPORTED; 
  97.    } 
  98.  
  99. //bochs的bug,要改IA32_FEATURE_CONTROL的Lock为1 
  100. #if bochsdebug 
  101. MsrWrite(MSR_IA32_FEATURE_CONTROL,5); 
  102.    #endif 
  103.  
  104.    vmxmsr = MsrRead (MSR_IA32_VMX_BASIC); 
  105.    *((ULONG64 *) VmxonVA) = (vmxmsr & 0xffffffff);       //set up vmcs_revision_id 
  106.    VmxonPA = MmGetPhysicalAddress (VmxonVA); 
  107.  
  108.    DbgPrint("VmxEnable(): VmxonPA:  0x%llx\n", VmxonPA.QuadPart); 
  109.  
  110. //开启VMX 
  111. VmxTurnOn(VmxonPA); 
  112.    flags = RegGetEflags (); 
  113.    DbgPrint("VmxEnable(): vmcs_revision_id: 0x%x  Eflags: 0x%x \n", vmxmsr, flags); 
  114.  
  115.    return STATUS_SUCCESS; 
  116.  
  117.  
  118.  
  119. /* 
  120.   进入虚拟机 
  121. */ 
  122. NTSTATUS NTAPI VmxVirtualize ( 
  123.  PCPU Cpu 
  124.  
  125.    ULONG esp; 
  126.    if (!Cpu) 
  127.        return STATUS_INVALID_PARAMETER; 
  128.  
  129. *((PULONG) (g_HostStackBaseAddress + 0x0C00)) = (ULONG) Cpu; 
  130.            
  131.    VmxLaunch (); 
  132.  
  133.    // never returns 
  134.  
  135.    return STATUS_UNSUCCESSFUL; 

三、蛋疼的拦截处理

sysenter的处理方法:

由于硬件虚拟化(HVM)无法直接拦截sysenter指令,所以只能使用其他方法来获得控制权。

这里有三种方法:

1、在kifastcallentery的头部写入cpuid,int3等利用中断或特权指令进入vm。

2、使用调试寄存器在kifastcallentery下硬件执行中断,利用中断进入vm

3、进入VMM后直接修改guest的sysenter_eip地址,通过控制msr的读写来欺骗其他访问msr的程序。

为了不被内存检测和充分利用调试寄存器,Avalon中我选用了方案3来控制进程执行sysenter后的运行流向。

部分代码:

  1. static BOOLEAN NTAPI VmxDispatchMsrRead ( 
  2.  PCPU Cpu, 
  3.  PGUEST_REGS GuestRegs, 
  4.  PNBP_TRAP Trap, 
  5.  BOOLEAN WillBeAlsoHandledByGuestHv 
  6.  
  7. ... 
  8.  
  9. switch (ecx) { 
  10.  case MSR_IA32_SYSENTER_CS: 
  11.    MsrValue.QuadPart = VmxRead (GUEST_SYSENTER_CS); 
  12.    break; 
  13.  
  14.  case MSR_IA32_SYSENTER_ESP: 
  15.    MsrValue.QuadPart = VmxRead (GUEST_SYSENTER_ESP); 
  16.    break; 
  17.  case MSR_IA32_SYSENTER_EIP: 
  18.    MsrValue.QuadPart = Avlkrnlinfo->SysenterAddr; 
  19.  
  20. ... 
  21.  

idt重定向处理方法:

1、idt地址欺骗

2、idt模拟投递

第一种是指方案拦截sidt,lidt指令填充一份伪造的idt地址误导访问者(由系统投递相对稳定)。

第二种是指方案模拟idt的处理过程自己写程序投递idt。

因为方案一需要使用反汇编引擎分析具体的保存地址体积过大,所以本版的Avalon使用第二种方案即idt模拟投递。

部分代码:

  1. static BOOLEAN NTAPI VmxDispatchException ( 
  2.  PCPU Cpu, 
  3.  PGUEST_REGS GuestRegs, 
  4.  PNBP_TRAP Trap, 
  5.  BOOLEAN WillBeAlsoHandledByGuestHv 
  6.  
  7.  
  8. ... 
  9.  
  10.  //SETP 7. SET EIP 
  11.  
  12.  if((uIntrInfo & 0xff) == 1){ 
  13.   ComPrint("VmxDispatchException():#BD hit  /n"); 
  14.   VmxWrite(GUEST_RIP,Avlkrnlinfo->Fake_IDTMap[0]); 
  15.  } 
  16.  else if ((uIntrInfo & 0xff) == 3){ 
  17.   ComPrint("VmxDispatchException():#BP hit /n"); 
  18.   VmxWrite(GUEST_RIP,Avlkrnlinfo->Fake_IDTMap[1]);} 
  19.  
  20. ... 
  21.  

第三章 理想乡的黄昏

一、(Avalon)阿瓦隆的检测

对于基于硬件虚拟化(HVM)的程序,首先想到的方法必然就是直接检测和对抗硬件虚拟化。

对硬件虚拟化的检测主要有:efer的检测,vme的检测。

对于处理了中断的vmm还能通过计算中断前后的时间差来判断自身是否在虚拟机中。

当然针对Avalon还有其他的检测方法(此处省略xx字)

二、未来的更新

Avalon才刚刚开始功能并不完善,还有好多功能想加进去:

1、将内核移入EPT(NPT)让你完全看不到

2、 和ring3程序交互…

3、其他隐藏功能

总结

Avalon只是硬件虚拟化应用的冰山一角,还有更多的应用等待着我们去探索,小弟的水平有限以后还要向各位高手多多请教继续努力学习。

该bin测试环境如下:

bochs2.4.5

windows xp sp3

注意:这个bin只是个简单的样品,真机上运行必蓝,且只针对ring0的中断,ring3有3处bug未修复。

【编辑推荐】

  1. 云应用的左膀右臂:虚拟化和安全
  2. 桌面虚拟化中的3D虚拟化解决方案经验总结
  3. 各种虚拟化技术,你知道几个?
  4. 虚拟化核心网大区部署探讨
  5. 趋势 | 虚拟化败北,云、SDN、SD-WAN勇夺C位!
【责任编辑:武晓燕 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

网管员成长手记——网络组建、配置与应用

本书主要以“网管员的成长经历”为线索展开,虚拟出一个“新手”网管员的工作和学习环境,将网管员的成长分为4个阶段,以“网管入职充电→...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊