Safengine Shielden v2.3.7.0 驱动脱壳
前言:
? ?之前找工作的時(shí)候,注意到有個(gè)公司找windows驅(qū)動(dòng)開(kāi)發(fā)/逆向工程師,所以他們公司產(chǎn)品里面應(yīng)該包含有驅(qū)動(dòng)程序(吶,必須的學(xué)習(xí)一波)。首先,安裝他們公司的相關(guān)產(chǎn)品,然后找到里面的驅(qū)動(dòng)文件;一看驅(qū)動(dòng)文件幾百k,應(yīng)該是加殼了(Safengine Shielden v2.3.7.0)。如下圖:
脫殼過(guò)程:
? ?文件丟進(jìn)ida里面發(fā)現(xiàn)沒(méi)法看,脫殼當(dāng)然是不會(huì)脫殼的。嗯,先把驅(qū)動(dòng)跑起來(lái)吧。創(chuàng)建服務(wù),啟動(dòng)服務(wù);驅(qū)動(dòng)成功跑起來(lái)了。驅(qū)動(dòng)程序運(yùn)行之后,對(duì)應(yīng)的會(huì)有一些數(shù)據(jù)產(chǎn)生:1,通過(guò)winObj類似工具,可以發(fā)現(xiàn)在driver目錄下面有一個(gè)以服務(wù)名為名稱的驅(qū)動(dòng)項(xiàng)(一個(gè)DriverObject)?2,?寫過(guò)驅(qū)動(dòng)程序的應(yīng)該了解,DriverObject數(shù)據(jù)結(jié)構(gòu)里面包含有很多數(shù)據(jù),例如驅(qū)動(dòng)名稱,驅(qū)動(dòng)模塊地址,MajorFunction數(shù)組等;直接通過(guò)winObj查看DriverObject的資源,定位MajorFunction函數(shù)數(shù)組,驚人的發(fā)現(xiàn),相關(guān)函數(shù)已經(jīng)被還原了(大喜).
? ? 既然代碼已經(jīng)被還原了,直接通過(guò)winDbg把相應(yīng)的代碼段給dump出來(lái)(.writemem 文件路徑 內(nèi)存起始地址 長(zhǎng)度)。dump 文件的大小一般是原驅(qū)動(dòng)文件大小的10分之一左右,如果原加殼驅(qū)動(dòng)文件大小640k,實(shí)際加殼之前應(yīng)該不會(huì)超過(guò)64k。
修復(fù)文件:
?dump出來(lái)的代碼片段中,調(diào)用系統(tǒng)api的地方是加殼程序修改的,變?yōu)閏all 立即數(shù)等形式。不過(guò),dump出來(lái)的文件中立即數(shù)里面保存了當(dāng)前系統(tǒng)api的地址,然后,直接在winDbg中,輸入"u api地址“,winDbg會(huì)自動(dòng)識(shí)別對(duì)應(yīng)的api函數(shù)名稱。以上相當(dāng)于修復(fù)了pe文件的導(dǎo)入表。
驅(qū)動(dòng)利用:
?這個(gè)驅(qū)動(dòng)寫的就行一個(gè)馬一樣,太邪惡了。已知可以進(jìn)行提權(quán)利用:替換進(jìn)程token.如下圖,在win 10 1909中:
?
?總結(jié):
網(wǎng)上傳聞,SE 不是強(qiáng)殼嗎?怎么這么容易就被干了。不知道是不是加殼的人沒(méi)有設(shè)置好,導(dǎo)致SE沒(méi)有發(fā)揮應(yīng)有的效果(不應(yīng)該啊)。哈哈,后面分析發(fā)現(xiàn)該驅(qū)動(dòng)邏輯寫的還是可以的。
***********************************************************************************************************
后續(xù)分析發(fā)現(xiàn),這個(gè)驅(qū)動(dòng)應(yīng)該是這樣設(shè)計(jì)的,因?yàn)槔锩娴慕涌诙际沁@種模式。
在vt上的結(jié)果:
在win11 (22000.?318)上驅(qū)動(dòng)無(wú)法加載,錯(cuò)誤如下圖:
2022.02.16
經(jīng)測(cè)試發(fā)現(xiàn),在win11上無(wú)法加載該驅(qū)動(dòng)是因?yàn)殚_(kāi)啟了secure boot;如果關(guān)掉secure boot,該驅(qū)動(dòng)可以被加載。(在18363,22000上測(cè)試過(guò))
總結(jié)
以上是生活随笔為你收集整理的Safengine Shielden v2.3.7.0 驱动脱壳的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
