Microsoft MVP성태의 닷넷 이야기
글쓴 사람
정성태 (techsharer at outlook.com)
홈페이지
첨부 파일
 

C# - KernelMemoryIO 드라이버를 이용해 실행 프로그램을 숨기는 방법(DKOM: Direct Kernel Object Modification)

Patch Guard가 보호한다는,

Patch Guard로 인해 블루 스크린(BSOD)가 발생하는 사례
; https://www.sysnet.pe.kr/2/0/12110

ActiveProcessLinks를 변조해 실제로 프로세스를 숨겨보겠습니다. ^^ 사실 방법은 이미 대충 설명했습니다.

지난 글에서,

커널 메모리를 읽고 쓰는 NT Legacy driver와 C# 클라이언트 프로그램
; https://www.sysnet.pe.kr/2/0/12104

KernelMemoryIO 드라이버를 이용해 _ETHREAD와 _EPROCESS에 접근하는 방법을 다뤘습니다. 물론, _ETHREAD의 값을 알기 위해 Process Explorer로 Object Address를 구하긴 했지만, 사실 이것도 핸들을 열람하기만 하면 되므로,

C# - 프로세스의 모든 핸들을 열람
; https://www.sysnet.pe.kr/2/0/12080

위에서 만들어 둔 WindowsHandleInfo 타입을 이용해 다음과 같이 현재 프로세스의 스레드로부터 _ETHREAD 주소를 구할 수 있습니다.

// Install-Package KernelStructOffset

using (WindowsHandleInfo whi = new WindowsHandleInfo())
{
    for (int i = 0; i < whi.HandleCount; i++)
    {
        var she = whi[i];

        if (she.OwnerPid != processId)
        {
            continue;
        }

        string objName = she.GetName(out string handleTypeName);
        if (handleTypeName == "Thread")
        {
            // she.ObjectPointer
        }
    }
}

따라서, 이런 것들을 종합해 지난 "커널 메모리를 읽고 쓰는 NT Legacy driver와 C# 클라이언트 프로그램" 글의 예제를 다음과 같이 구현할 수 있습니다.

// Install-Package KernelStructOffset

using KernelStructOffset;
using System;
using System.Diagnostics;

namespace HideProcess
{
    class Program
    {
        // Prerequisite:
        //  Register and start "KernelMemoryIO" kernel driver
        //  https://github.com/stjeong/KernelMemoryIO/tree/master/KernelMemoryIO
        //
        // sc create "KernelMemoryIO" binPath= "D:\Debug\KernelMemoryIO.sys" type= kernel start= demand
        // sc delete "KernelMemoryIO"
        // net start KernelMemoryIO
        // net stop KernelMemoryIO

        static void Main(string[] args)
        {
            int processId = Process.GetCurrentProcess().Id;
            Console.WriteLine($"ThisPID: {processId}");

            IntPtr ethreadPtr = GetEThread();
            if (ethreadPtr == IntPtr.Zero)
            {
                Console.WriteLine("THREAD handle not found");
                return;
            }

            Console.WriteLine($"_ETHREAD address: {ethreadPtr.ToInt64():x}");
            Console.WriteLine();

            var ethreadOffset = DbgOffset.Get("_ETHREAD");

            using (KernelMemoryIO memoryIO = new KernelMemoryIO())
            {
                if (memoryIO.IsInitialized == false)
                {
                    Console.WriteLine("Failed to open device");
                    return;
                }

                {
                    /*
                        2.2.2.16.2.1 CLIENT_ID
                        ; https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-tsts/a11e7129-685b-4535-8d37-21d4596ac057

                         typedef struct _CLIENT_ID {
                           HANDLE UniqueProcess;
                           HANDLE UniqueThread;
                         } CLIENT_ID;
                    */

                    // +0x648 Cid : _CLIENT_ID
                    IntPtr clientIdPtr = ethreadOffset.GetPointer(ethreadPtr, "Cid"); // windows 10 1909 == 0x648;
                    _CLIENT_ID cid = memoryIO.ReadMemory<_CLIENT_ID>(clientIdPtr);

                    Console.WriteLine($"PID: {cid.Pid} ({cid.Pid:x})");
                    Console.WriteLine($"TID: {cid.Tid} ({cid.Tid:x})");
                }
            }
        }

        private static IntPtr GetEThread()
        {
            int processId = Process.GetCurrentProcess().Id;

            using (WindowsHandleInfo whi = new WindowsHandleInfo())
            {
                for (int i = 0; i < whi.HandleCount; i++)
                {
                    var she = whi[i];

                    if (she.OwnerPid != processId)
                    {
                        continue;
                    }

                    string objName = she.GetName(out string handleTypeName);
                    if (handleTypeName == "Thread")
                    {
                        return she.ObjectPointer;
                    }
                }
            }

            return IntPtr.Zero;
        }
    }
}




본론으로 돌아와서, 프로세스를 숨기는 것도 지난번에 소개한 DLL 숨기는 방법과 유사합니다.

C# - PEB를 조작해 로드된 DLL을 숨기는 방법
; https://www.sysnet.pe.kr/2/0/12105

윈도우는 현재 실행 중인 프로세스에 대한 목록을 내부적으로 커널 영역에서 이중 연결 리스트로 관리하고 있으며 따라서 이 연결을 끊어주면 프로세스는 숨게 되는 것입니다. 지난 글에 소개한 링크들이 바로 그와 관련해 설명하고 있습니다.

ActiveProcessLinks---hide/src/hide.cpp
; https://github.com/irp/ActiveProcessLinks---hide/blob/master/src/hide.cpp

AntiForensics techniques : Process hiding in Kernel Mod
; https://www.cert-devoteam.fr/en/antiforensics-techniques-process-hiding-in-kernel-mode/

여기서 우리가 다뤄야 할 연결 리스트는 _EPROCESS의 ActiveProcessLinks이므로,

0:007> dt _EPROCESS
ntdll!_EPROCESS
   +0x000 Pcb              : _KPROCESS
   +0x2e0 ProcessLock      : _EX_PUSH_LOCK
   +0x2e8 UniqueProcessId  : Ptr64 Void
   +0x2f0 ActiveProcessLinks : _LIST_ENTRY
    ...[생략]...

DbgOffset을 이용해 다음과 같이 제법 우아하게 ^^ 구할 수 있습니다.

{
    // +0x220 Process : Ptr64 _KPROCESS
    IntPtr processPtr = kthreadOffset.GetPointer(ethreadPtr, "Process");
    IntPtr eprocessPtr = memoryIO.ReadMemory(processPtr);
    IntPtr activeProcessLinksPtr = eprocessOffset.GetPointer(eprocessPtr, "ActiveProcessLinks");

    _LIST_ENTRY entry = memoryIO.ReadMemory<_LIST_ENTRY>(activeProcessLinksPtr);
    Console.WriteLine($"entry.Flink: {entry.Flink.ToInt64():x}");
    Console.WriteLine($"entry.Blink: {entry.Blink.ToInt64():x}");
}

/* 출력 결과
dll.Flink: ffff850956caa370
dll.Blink: ffff850953e46370
*/

여기까지 구했으면, 이제 남은 작업은 커널 메모리 공간에서의 연결 리스트를 끊고,

private unsafe static IntPtr Unlink(KernelMemoryIO memoryIO, IntPtr linkPtr)
{
    _LIST_ENTRY entry = memoryIO.ReadMemory<_LIST_ENTRY>(linkPtr);

    IntPtr pNext = entry.Flink;
    IntPtr pPrev = entry.Blink;

    memoryIO.WriteMemory<IntPtr>(pNext + sizeof(IntPtr) /* pNext.Blink */, pPrev);
    memoryIO.WriteMemory<IntPtr>(pPrev + 0              /* pPrev.Flink */, pNext);

    memoryIO.WriteMemory<IntPtr>(linkPtr + sizeof(IntPtr) /* linkPtr.Blink */, linkPtr);
    memoryIO.WriteMemory<IntPtr>(linkPtr + 0              /* linkPtr.Flink */, linkPtr);

    return linkPtr;
}

IntPtr deletedEntry = Unlink(memoryIO, activeProcessLinksPtr);

다시 이어붙이는 작업을 구현하면 됩니다.

RestoreLink(memoryIO, deletedEntry);

private unsafe static void RestoreLink(KernelMemoryIO memoryIO, IntPtr deletedLink)
{
    if (deletedLink == IntPtr.Zero)
    {
        return;
    }

    // WindowsHandleInfo를 이용해 다른 프로세스의 ethreadPtr을 찾아 ActiveProcessLinks를 반환
    IntPtr baseLink = GetActiveProcessLinksFromAnotherProcess(memoryIO);
    if (baseLink == IntPtr.Zero)
    {
        Console.WriteLine("Can't find an appropriate ActiveProcessLinks");
        return;
    }

    Console.WriteLine($"Restore {deletedLink.ToInt64():x} to {baseLink.ToInt64():x}");
    _LIST_ENTRY baseEntry = memoryIO.ReadMemory<_LIST_ENTRY>(baseLink);

    // 다른 프로세스의 ActiveProcessLinks에 숨겨두었던 프로세스의 ActiveProcessLinks를 연결
    IntPtr nextItem = baseEntry.Flink;

    memoryIO.WriteMemory<IntPtr>(deletedLink + 0              /* deletedLink.Flink */, nextItem);
    memoryIO.WriteMemory<IntPtr>(deletedLink + sizeof(IntPtr) /* deletedLink.Blink */, baseLink);

    memoryIO.WriteMemory<IntPtr>(baseLink + 0               /* baseLink.Flink */, deletedLink);
    memoryIO.WriteMemory<IntPtr>(nextItem + sizeof(IntPtr)  /* nextItem.Blink */, deletedLink);
}

와~~~ ^^ 이제 Unlink 호출 후 Console.ReadLine()을 찍어 프로세스가 없어진 것을 (작업 관리자에서) 확인하고,

hide_process_2.png

다시 RestoreLink를 호출해 복원할 수 있습니다.

참고로, 이 글의 완전한 소스 코드는 다음의 github에 올려 두었습니다.

DotNetSamples/WinConsole/Debugger/HideProcess/
; https://github.com/stjeong/DotNetSamples/tree/master/WinConsole/Debugger/HideProcess




Process Explorer로 HideProcess.exe를 테스트해 보면 재미있는 사실을 하나 알 수 있습니다. 이 프로그램을 cmd.exe를 통해 실행하는 경우, 자식 프로세스인 conhost.exe에는 HideProcess.exe에 대해 Process 핸들을 하나 열게 됩니다. 그렇다면 그 Process 핸들은 해당 프로세스가 사라진 다음 어떻게 되는 걸까요?

hide_process_1.png

보는 바와 같이 "<Non-existent Process>"로 나옵니다.

하지만, Object Address도 있고 Pid도 구해 오는 걸로 봐서 EPROCESS 자료 구조에 대한 접근은 여전히 할 수 있는 걸로 나옵니다. 사실 EPROCESS에도 파일명을 구할 수 있는 필드가 있는데,

lkd> dt _EPROCESS
...[생략]...
+0x448 ImageFilePointer : Ptr64 _FILE_OBJECT
+0x450 ImageFileName    : [15] UChar
...[생략]...

Process Explorer는 저 필드를 사용해 프로세스 이름을 보여주지는 않는 것입니다.

그리고 프로세스를 숨겨 둔 상태를 일정 시간 지속하면 "Patch Guard로 인해 블루 스크린(BSOD)가 발생하는 사례" 글에 설명한 대로 BSOD가 발생하게 됩니다. 반면, 숨겨두었다가 다시 복원을 하는 경우 ActiveProcessLinks의 순서가 바뀌었지만 BSOD는 발생하지 않는 걸로 봐서 순서까지는 체크하지 않는 것으로 보입니다.




[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[연관 글]


donaricano-btn



[최초 등록일: ]
[최종 수정일: 3/23/2020 ]

Creative Commons License
이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.
by SeongTae Jeong, mailto:techsharer@outlook.com

비밀번호

댓글 쓴 사람
 



2020-02-20 11시39분
정성태
2020-08-13 07시06분
[윈공부] 안녕하세요. 좋은 글 잘 읽고 있습니다.
다름이 아니라 아래 부분에서 무조건 FALSE 로 반환이 되는데요.
if (memoryIO.IsInitialized == false)

이 부분에 대해서 제가 놓친 부분이나 참고할만한 내용이 있으면 힌트 부탁드립니다^^
감사합니다.
[손님]
2020-08-13 10시32분
위의 소스 코드에 정리해 둔 "KernelMemoryIO" 디바이스 드라이버를 등록하셨나요?
정성태
2020-08-14 09시54분
[윈공부] https://www.sysnet.pe.kr/2/0/12104
위 글을 참고하면 될까요? 저는 단순히 이 예제의 HideProcess 코드만 따와서 실행만 해봤습니다^^;;

아래 소스를 다운로드 받아서 컴파일 후 실행해볼께요.
https://github.com/stjeong/KernelMemoryIO


답변 감사합니다~!!!
[손님]
2020-08-14 10시12분
넵, 그 device driver가 필요합니다. ^^
정성태
2020-08-14 12시25분
[윈공부] 죄송한데요... 질문 하나만 더 드릴께요ㅠㅠ;
Device driver does not install on any devices, use primitive driver if this is intended.

이렇게 에러가 나오는데.. inf 파일을 어떻게 수정해야 할까요?
사실 일반 개발잔데 이쪽 분야는 지식이 전무하다보니 하나하나 물어보게 되네요.
감사합니다.
[손님]
2020-08-14 01시11분
해당 드라이버는 INF를 이용한 등록이 아니기 때문에 그걸 수정해야 할 필요는 없습니다. 빌드만 잘 돼서 .sys 파일이 나왔다면 sc를 이용해 등록/시작만 하면 됩니다. 이 글의 C# 소스 코드에서 "// Prerequisite:" 주석을 참고하세요.
정성태
2020-08-14 02시02분
[윈공부] Windows 10 Pro, Visual Studio 2019 Community 환경입니다.
컴파일을 하면... 아래와 같은 출력 메시지가 나와요...
1>------ 빌드 시작: 프로젝트: KernelMemoryIO, 구성: Debug x64 ------
1>Building 'KernelMemoryIO' with toolset 'WindowsKernelModeDriver10.0' and the 'Desktop' target platform.
1>Stamping x64\Debug\KernelMemoryIO.inf
1>Stamping [Version] section with DriverVer=08/14/2020,13.59.25.778
1>C:\Users\ngmas\Desktop\KernelMemoryIO-master\KernelMemoryIO-master\KernelMemoryIO\KernelMemoryIO.inf : error 1297: Device driver does not install on any devices, use primitive driver if this is intended.
1>C:\Users\ngmas\Desktop\KernelMemoryIO-master\KernelMemoryIO-master\KernelMemoryIO\KernelMemoryIO.inf(5-5): warning 1324: [Version] section should specify PnpLockdown=1.
1>"KernelMemoryIO.vcxproj" 프로젝트를 빌드했습니다. - 실패
========== 빌드: 성공 0, 실패 1, 최신 0, 생략 0 ==========

어디가 문제인지를 구글 검색해봐도... 잘 모르겠습니다.
도움 부탁드립니다.
계속 시간 뺏게 되어 죄송합니다.
[손님]
2020-08-14 02시51분
아래의 글을 참고하세요. (아무래도 최근 WDK부터 바뀐 듯합니다.)

Error 1297 #2067
; https://github.com/MicrosoftDocs/windows-driver-docs/issues/2067
정성태
2020-08-14 03시12분
[윈공부] 감사합니다. 관련 내용들을 검색하다가 찾게 되었습니다.
;[Manufacturer]
;%ManufacturerName%=Standard,NT$ARCH$

;[Standard.NT$ARCH$]
[DefaultInstall.NT(ARCH)]

이렇게 변경 후 빌드가 되었습니다.
이제 좀 더 공부해보도록 하겠습니다!!
감사드립니다^^
[손님]
2020-09-28 01시17분
[질문자] 안녕하세요 혹시 패치가드 끄고 1607버전에서 드라이버컴파일후 로드시키는거까진 성공했습니다
hide process실행하면 thispid와 ethpead address 잘나오는데 pid,tid가 둘다 0 (0)으로 뜹니다
혹시 버전이 달라 offset이 달라서 그런건가요??
[손님]
2020-09-28 11시58분
아래의 글에 덧글과 같은 문제인지 확인해 보세요

C# - 커널 구조체의 Offset 값을 하드 코딩하지 않고 사용하는 방법
; https://www.sysnet.pe.kr/2/0/12098

정성태

[1]  2  3  4  5  6  7  8  9  10  11  12  13  14  15  ...
NoWriterDateCnt.TitleFile(s)
12505정성태1/23/202149.NET Framework: 1018. .NET Core Kestrel 호스팅 - Web API 추가파일 다운로드1
12504정성태1/23/2021121.NET Framework: 1017. .NET 5에서의 네트워크 라이브러리 개선 (2) - HTTP/2, HTTP/3 관련
12503정성태1/21/202131오류 유형: 696. C# - HttpClient: Requesting HTTP version 2.0 with version policy RequestVersionExact while HTTP/2 is not enabled.
12502정성태1/21/2021100.NET Framework: 1016. .NET Core HttpClient의 HTTP/2 지원파일 다운로드1
12501정성태1/21/202171.NET Framework: 1015. .NET 5부터 HTTP/1.1, 2.0 선택을 위한 HttpVersionPolicy 동작 방식파일 다운로드1
12500정성태1/21/202159.NET Framework: 1014. ASP.NET Core(Kestrel)의 HTTP/2 지원 여부파일 다운로드1
12499정성태1/23/202162.NET Framework: 1013. .NET Core Kestrel 호스팅 - 포트 변경, non-localhost 접속 지원 및 https 등의 설정 변경파일 다운로드1
12498정성태1/23/202153.NET Framework: 1012. .NET Core Kestrel 호스팅 - 비주얼 스튜디오의 Kestrel/IIS Express 프로파일 설정
12497정성태1/20/202144.NET Framework: 1011. C# - OWIN Web API 예제 프로젝트파일 다운로드1
12496정성태1/19/202188.NET Framework: 1010. .NET Core 콘솔 프로젝트에서 Kestrel 호스팅 방법
12495정성태1/20/202182웹: 40. IIS의 HTTP/2 지원 여부 - h2, h2c [1]
12494정성태1/19/2021138개발 환경 구성: 522. WSL2 인스턴스와 호스트 측의 Hyper-V에 운영 중인 VM과 네트워크 연결을 하는 방법 [1]
12493정성태1/18/2021146.NET Framework: 1009. .NET 5에서의 네트워크 라이브러리 개선 (1) - HTTP 관련 [1]파일 다운로드1
12492정성태1/17/202134오류 유형: 695. ASP.NET 0x80131620 Failed to bind to address
12491정성태1/18/2021140.NET Framework: 1008. 배열을 반환하는 C# COM 개체의 메서드를 C++에서 사용 시 메모리 누수 현상 [1]파일 다운로드1
12490정성태1/15/2021151.NET Framework: 1007. C# - foreach에서 열거 변수의 타입을 var로 쓰면 object로 추론하는 문제 [1]파일 다운로드1
12489정성태1/13/202188.NET Framework: 1006. C# - DB에 저장한 텍스트의 (이모티콘을 비롯해) 유니코드 문자가 '?'로 보인다면?
12488정성태1/13/2021126.NET Framework: 1005. C# - string 타입은 shallow copy일까요? deep copy일까요?파일 다운로드1
12487정성태1/13/2021109.NET Framework: 1004. C# - GC Heap에 위치한 참조 개체의 주소를 알아내는 방법파일 다운로드1
12486정성태1/12/2021205.NET Framework: 1003. x64 환경에서 참조형의 기본 메모리 소비는 얼마나 될까요?
12485정성태1/11/2021144Graphics: 38. C# - OpenCvSharp.VideoWriter에 BMP 파일을 1초씩 출력하는 예제파일 다운로드1
12484정성태1/9/2021120.NET Framework: 1002. C# - ReadOnlySequence<T> 소개파일 다운로드1
12483정성태1/8/2021160개발 환경 구성: 521. dotPeek - 훌륭한 역어셈블 소스 코드 생성 도구
12482정성태1/8/202162.NET Framework: 1001. C# - 제네릭 타입/메서드에서 사용 시 경우에 따라 CS8377 컴파일 에러
12481정성태1/7/202183.NET Framework: 1000. C# - CS8344 컴파일 에러: ref struct 타입의 사용 제한 메서드파일 다운로드1
[1]  2  3  4  5  6  7  8  9  10  11  12  13  14  15  ...