分析NtQueryInformationProcess

舒默哦 · 发表于 2021-4-3 15:30

本帖最后由舒默哦于 2021-4-3 15:30 编辑

应用层

NtQueryInformationProcess函数，微软给出的一些信息：
https://docs.microsoft.com/zh-cn/windows/win32/api/winternl/nf-winternl-ntqueryinformationprocess?redirectedfrom=MSDN
这个函数的功能是检索指定进程的信息(Retrieves information about the specified process.)。

[C] 纯文本查看 复制代码

1

2

3

4

5

6

7

__kernel_entry NTSTATUS NtQueryInformationProcess(
  HANDLE           ProcessHandle,
  PROCESSINFOCLASS ProcessInformationClass,
  PVOID            ProcessInformation,
  ULONG            ProcessInformationLength,
  PULONG           ReturnLength
);

PROCESSINFOCLASS 是一个枚举类型：

[C] 纯文本查看 复制代码

1

2

3

4

5

6

7

typedef enum _PROCESSINFOCLASS {
    ProcessBasicInformation = 0,
    ProcessDebugPort = 7,
    ProcessWow64Information = 26,
    ProcessImageFileName = 27,
    ProcessBreakOnTermination = 29
} PROCESSINFOCLASS;

与调试相关的只有ProcessDebugPort，微软列出了CheckRemoteDebuggerPresent()和 IsDebuggerPresent()与NtQueryInformationProcess相关。

clipboard(10).png

CheckRemoteDebuggerPresent最终会调用NtQueryInformationProcess:
clipboard(15).png

IsDebuggerPresent()并不会调用NtQueryInformationProcess，而是直接在PEB中取值返回。

clipboard(12).png

[C] 纯文本查看 复制代码

1

2

3

4

5

6

int main()
{
    IsDebuggerPresent();
    cout << "正常退出" << endl;
    system("pause");
}

在函数入口之前，NtQueryInformationProcess会被调用多次，rdx分别为 0x24、0x17 ，在打印函数之后会被调用一次，rdx为0x0。
中间没有调用NtQueryInformationProcess,表明在window10 64位系统中IsDebuggerPresent()的操作与NtQueryInformationProcess函数没有直接关系。

clipboard(4).png

内核

在逆向工程核心原理这本书中，NtQueryInformationProcess用于反调试的协议号有三个0x7、0x1E、0x1F，在微软提供的PROCESSINFOCLASS枚举类型中没有0x1E、0x1F，那作者怎么知道的呢？我也参考了一些帖子，好像没有分析内核中的NtQueryInformationProcess。作者肯定分析了内核中的NtQueryInformationProcess，并且还测试了其他的协议号，得出的结论是0x7、0x1E、0x1F三个协议号可以用于反调试。NtQueryInformationProcess这个函数非常长，
在IDA中按下F5后，代码也有2000多行，其中有很多协议号，照葫芦画瓢，接下来直接定位分析0x7、0x1E、0x1F这三个协议号。

内核中NtQueryInformationProcess开头部分：
clipboard(11).png

0x7

ProcessInformationClass为0x7时：

在CheckRemoteDebuggerPresent函数中，没有直接利用返回值，而是通过返回和0作比较，利用setne指令取反，得到的布尔值传回给输出参数。
clipboard(1).png

0x1E

ProcessInformationClass为0x1E：
clipboard(17).png

跟进DbgkOpenProcessDebugPort函数：
clipboard(5).png

跟进ObOpenObjectByPointer最中会调用ObpCreateHandle创建一个句柄：
clipboard(13).png

小结：没有调试时，输出参数是0，返回值为：0xffffffffc0000353(0xC0000353错误码STATUS_PORT_NOT_SET表示的是端口号未设置)。
clipboard(7).png

调试时，输出参数是一个句柄，返回值为0。
clipboard(2).png

[C] 纯文本查看 复制代码

01

02

03

04

05

06

07

08

09

10

11

12

13

14

15

16

17

18

19

20

21

22

23

参考代码：
#include <winternl.h>
 
typedef NTSTATUS(__stdcall* NTQUERYINFORMATIONPROCESS)(
    HANDLE           ProcessHandle,
    DWORD            ProcessInformationClass,
    PVOID            ProcessInformation,
    ULONG            ProcessInformationLength,
    PULONG_PTR           ReturnLength
    );
NTQUERYINFORMATIONPROCESS ntQueryInformationProcess;
int main()
{
   ULONG_PTR debugPort = 0;
    HMODULE hModule = LoadLibrary("ntdll.dll");
    ntQueryInformationProcess = 
        (NTQUERYINFORMATIONPROCESS)GetProcAddress(hModule, "NtQueryInformationProcess");
        //注意第四个参数的大小为8,在上面内核代码有个比较如果不为8，直接返回0xc0000004的错误。
    ULONG_PTR rets = ntQueryInformationProcess(GetCurrentProcess(), 0x1E, &debugPort, sizeof(debugPort), NULL);
    printf("debugPort:%d ntQueryInformationProcess返回值：%llx\n", debugPort, rets);
    cout << "正常退出" << endl;
    system("pause");
}