“飞地”躲避追踪及绕过ASLR

1、“飞地”躲避追踪及绕过ASLRziseguizuhacknews fatpigstreamtosec目录“飞地”-KUSER_SHARED_DATA应用实例1-R0与R3通信应用实例2-绕过ASLR由GetTickcount说起可以发现GetTickCount是从某个结构中获取值并且比较这个结构就是KUSER_SHARED_DATA在WRK中，也可以发现关于它的蛛丝马迹#define MM_SHARED_USER_DATA_VA 0 x7FFE0000#define USER_SHARED_DATA (KUSER_SHARED_DATA * const)MM_SHARED_USER_DATA_

2、VA) KUSER_SHARED_DATA结构lkd dt _KUSER_SHARED_DATAnt!_KUSER_SHARED_DATA +0 x000 TickCountLowDeprecated : Uint4B +0 x004 TickCountMultiplier : Uint4B +0 x008 InterruptTime : _KSYSTEM_TIME +0 x014 SystemTime : _KSYSTEM_TIME +0 x020 TimeZoneBias : _KSYSTEM_TIME +0 x02c ImageNumberLow : Uint2B +0 x02e Ima

3、geNumberHigh : Uint2B +0 x030 NtSystemRoot : 260 Uint2B +0 x238 MaxStackTraceDepth : Uint4B +0 x23c CryptoExponent : Uint4B +0 x240 TimeZoneId : Uint4B +0 x244 LargePageMinimum : Uint4B +0 x248 Reserved2 : 7 Uint4B +0 x264 NtProductType : _NT_PRODUCT_TYPE +0 x268 ProductTypeIsValid : UChar +0 x26c N

4、tMajorVersion : Uint4B +0 x270 NtMinorVersion : Uint4B +0 x274 ProcessorFeatures : 64 UChar +0 x2b4 Reserved1 : Uint4B +0 x2b8 Reserved3 : Uint4B +0 x2bc TimeSlip : Uint4B +0 x2c0 AlternativeArchitecture : _ALTERNATIVE_ARCHITECTURE_TYPE +0 x2c8 SystemExpirationDate : _LARGE_INTEGER +0 x2d0 SuiteMask

5、 : Uint4B +0 x2d4 KdDebuggerEnabled : UChar +0 x2d5 NXSupportPolicy : UChar +0 x2d8 ActiveConsoleId : Uint4B +0 x2dc DismountCount : Uint4B +0 x2e0 ComPlusPackage : Uint4B +0 x2e4 LastSystemRITEventTickCount : Uint4B +0 x2e8 NumberOfPhysicalPages : Uint4B +0 x2ec SafeBootMode : UChar +0 x2f0 TraceLo

6、gging : Uint4B +0 x2f8 TestRetInstruction : Uint8B +0 x300 SystemCall : Uint4B +0 x304 SystemCallReturn : Uint4B +0 x308 SystemCallPad : 3 Uint8B +0 x320 TickCount : _KSYSTEM_TIME +0 x320 TickCountQuad : Uint8B +0 x330 Cookie : Uint4B +0 x334 Wow64SharedInformation : 16 Uint4BKUSER_SHARED_DATA的特殊性地址

7、 0 x7FFE0000从XP至WIN7一直未改变内核地址0 xFFDF0000和用户地址0 x7FFE0000都指向同一物理页面。 内核地址是可写的，但用户地址则不能。一般内核态与用户态的通信过程方法1用户态：CreateFile 打开驱动设备ReadFile 读取内核数据/WriteFile 传入用户数据内核态：IRP_MJ_READ与IRP_MJ_WRITE例程方法2用户态：CreateFile 打开驱动设备DeviceIoControl 与驱动通信，或读或写内核态：IRP_MJ_DEVICE_CONTROL例程以上方法的实质都是，在用户态构造请求，然后向内核态传递，在内核态中完成实际I

8、RP的建立，并向对应驱动发送，当驱动程序收到IRP时，转到相关层处理，并将结果返回，简单的流程图如下用户层发送请求等待结果内核层构造IRP并发送相关驱动程序处理请求返回结果正常的通信方式固然合理合法，但是也容易被发现，比如IRPTRACE，这个工具可以截获到内核态与用户态的通信KUSER_SHARED_DATA的应用KUSER_SHARED_DATA?0 x10000 x34a0 x0CB6使用KUSER_SHARED_DATA的所占空间的冗余部分进行通信，只能单向通信，也就是只有内核态向用户态传递信息，因此只适用于通信协议简单的情况，但是相对常规通信方法而言，可以躲避类似IRPTRACE工具

9、的IRP跟踪，比较隐蔽。这段冗余空间还可以用于存放全局标识EAT HOOK 代码什么是ASLRASLR（Address space layout randomization）对栈、共享库映射等线性区布局的随机化ASLR如何达到防止溢出push 0 x401540ret mov esp,0 x7c93d113 /jmp eax硬编码不可能ASLR的原理CreateProcessA流程 CreateProcessW流程PspCreateProcess流程进程基址随机绕过ASLR的可行性不绕过，直接将ASLR关闭：添加键HKLMSYSTEMCurrentControlSetControlSessio

10、n ManagerMemory Management “MoveImages” (DWORD) 0或者我们需要一个固定的值，这个地址不受ASLR的影响这样固定的地址存在么？看看KUSER_SHARED_DATA地址 0 x7FFE0000从XP至WIN7一直未改变内核地址0 xFFDF0000和用户地址0 x7FFE0000都指向同一物理页面。KUSER_SHARED_DATA+0 x300=SystemCall存在固定地址，并且有系统调用的指针！lkd u NtCreateProcessntdll!ZwCreateProcess:77f04b00 b84f000000 mov eax,4Fh

11、77f04b05 ba0003fe7f mov edx,offset SharedUserData!SystemCallStub (7ffe0300)77f04b0a ff12 call dword ptr edx77f04b0c c22000 ret 20hDS:7ffe0300=0 x77f064f0lkd u 0 x77f064f0ntdll!KiFastSystemCall:77f064f0 8bd4 mov edx,esp77f064f2 0f34 sysenterntdll!KiFastSystemCallRet:77f064f4 c3 retNative API由用户层转入内核层的过程：向EAX传入SSDT或SHADOWSSDT中函数序号，在堆栈中保存函数所需的参数即可调用一个不需要参数的Native