【硬件虛擬化】遠離kernel的理想鄉
簡介
這個故事描述了如何使用硬件虛擬化(HVM)使得自己的一些hook代碼遠離內核不容易被其他內核hook所影響并且較難被檢測。本文的思路來源于某學校的動態linux內核更新的玩意,代碼大量抄自bluepill。
第一章 (Avalon) 阿瓦隆的黎明
由于驅動牛人越來越多系統控制權的爭奪愈演愈烈,內核之中幾乎無一塊凈土。inline hook、ssdt hook等等各種hook充斥著我們幼小的內核。他們有些結構復雜,有些相互關聯,有些檢測監視,想要重新獲得那些控制點的控制權必須花些力氣研究那些hook,使得原來很簡單的hook變得牽一發而動全身。
現在有硬件虛擬化技術,我們可以換個思路來解決那些問題了…
一、(Avalon)阿瓦隆的構成
(Avalon) 阿瓦隆的本體為以下幾個部分:
1、Avlboot.sys(用于保存剛初始化后還沒被hook污染的系統內核方便之后使用)
2、Avalon.sys(用于讀取偽內核信息,開啟硬件虛擬化加載偽內核)
3、XXX.sys(用戶利用Avlboot.sys中所提供的信息進行具體hook操作的程序)
二、(Avalon)阿瓦隆的真相
本文所介紹的(Avalon) 阿瓦隆是一個基于虛擬化的內核加載框架。其利用硬件虛擬化(HVM)和一塊沒有被hook污染的內核內存,使得PC中同時運行著兩個內核。并且Avalon通過控制sysenter_eip和idt中指向偽內核的相應地址來獲得控制權。
簡而言之,(Avalon)阿瓦隆就是利用硬件虛擬化(HVM)加載自己的內核架空原內核,使得自己能在不被檢測的環境下獲得內核的控制權。
實現原理如下圖所示:
自己的hook程序在獲得偽內核的基地址后,可以通過hookport來處理ssdt,shadow ssdt(strongod需要備份其所hook的ssdt稍微麻煩點,agp什么的只要把地址偏移一下就能用了)。
三、(Avalon)阿瓦隆的應用
其實我們可以把(Avalon)阿瓦隆看成是一種變相的sysenter hook+idt hook。
由于(Avalon)阿瓦隆基于硬件虛擬化(HVM)使得我們可以架空整個內核,使得內核可以在運行時可以實時的替換。
因為偽內核的所在內存范圍不受內存監控,別的程序也無法直接訪問,使得我們的偽內核就成了不用考慮其他干擾問題,可以隨意hook的安全的理想鄉。
這種方式的hook和傳統的一些hook相比有著以下優點:
1、不在傳統的內存監控的范圍,較難檢測。
2、不干擾系統中原有的hook代碼,兼容性較高。
但是同樣有一些缺點:
1、無法直接干涉object hook,irp hook等不依賴于內核內存的hook代碼
2、整個系統依賴于硬件虛擬化(HVM),對硬件設備有一定要求。
第二章 空想具現化
一、純潔的初始化
首先我們來實現(Avalon)阿瓦隆的初始化,初始化由4個部分組成:內核信息獲取、偽內核構造、IDT信息保存、原始SYSENTER_EIP獲取。
實現代碼如下:
- NTSTATUS DriverEntry (IN PDRIVER_OBJECT DriverObject,IN PUNICODE_STRING RegistryPath)
- {
- ...
- KrnlCopy();
- IDTCopy();
- ReadMsrSysenter();
- ...
- }
- /*
- 內核拷貝
- */
- VOID KrnlCopy()
- {
- PVOID Buffer;
- ULONG Size;
- ULONG RetSize;
- PSYSTEM_MODULE_INFORMATION InfoBuffer;
- NTSTATUS Status;
- PVOID ModuleBase;
- ULONG ModuleSize;
- Size=0x1000;
- do {
- Buffer=ExAllocatePool(NonPagedPool,Size);
- Status=ZwQuerySystemInformation(SystemModuleInformation,Buffer,Size,&RetSize);
- if (Status == STATUS_INFO_LENGTH_MISMATCH)
- {
- ExFreePool(Buffer);
- Size = RetSize;
- }
- }while(Status == STATUS_INFO_LENGTH_MISMATCH);
- InfoBuffer = (PSYSTEM_MODULE_INFORMATION)Buffer;
- ModuleBase=(PVOID)(InfoBuffer->ModuleInfo[0].Base);
- Orig_krnl=(ULONG)ModuleBase;
- DbgPrint("AvlBoot:Orig_krnl Base=%x\n",ModuleBase);
- ModuleSize=InfoBuffer->ModuleInfo[0].Size;
- makeKernelCopy((ULONG)ModuleBase,ModuleSize);
- DbgPrint("AvlBoot:Avl_krnl Base=%x\n",Avl_krnl);
- ExFreePool(Buffer);
- }
等初始化之后,其他部件就可以通過訪問Avlboot.sys來獲得偽內核的信息和內核原始信息。
二、抄來的虛擬化
這里先簡單的向大家介紹下,Intel vt硬件虛擬化的步驟:
1、檢查vt環境
2、開啟vt功能
3、填充vt,存儲虛擬機狀態
4、設定需要攔截項目
5、設定從虛擬機中退出時返回的地址
6、啟動虛擬機,等待攔截項目觸發
7、攔截項目被觸發,進入相關項目的處理例程
8、恢復虛擬機繼續運行
接下來是一些坑爹的代碼:
- /*
- Vmx初始化
- */
- NTSTATUS NTAPI VmxInitialize (
- PCPU Cpu,
- PVOID GuestEip,
- PVOID GuestEsp
- )
- {
- PHYSICAL_ADDRESS AlignedVmcsPA;
- ULONG VaDelta;
- NTSTATUS Status;
- // 為 VMXON region 申請內存空間
- Cpu->Vmx.OriginaVmxonR = MmAllocateContiguousPages(
- VMX_VMXONR_SIZE_IN_PAGES,
- &Cpu->Vmx.OriginalVmxonRPA);
- if (!Cpu->Vmx.OriginaVmxonR)
- {
- DbgPrint("VmxInitialize(): Failed to allocate memory for original VMCS\n");
- return STATUS_INSUFFICIENT_RESOURCES;
- }
- DbgPrint("VmxInitialize(): OriginaVmxonR VA: 0x%x\n", Cpu->Vmx.OriginaVmxonR);
- DbgPrint("VmxInitialize(): OriginaVmxonR PA: 0x%llx\n", Cpu->Vmx.OriginalVmxonRPA.QuadPart);
- // 為 VMCS 申請內存空間
- Cpu->Vmx.OriginalVmcs = MmAllocateContiguousPages(
- VMX_VMCS_SIZE_IN_PAGES,
- &Cpu->Vmx.OriginalVmcsPA);
- if (!Cpu->Vmx.OriginalVmcs)
- {
- DbgPrint("VmxInitialize(): Failed to allocate memory for original VMCS\n");
- return STATUS_INSUFFICIENT_RESOURCES;
- }
- DbgPrint("VmxInitialize(): Vmcs VA: 0x%x\n", Cpu->Vmx.OriginalVmcs);
- DbgPrint("VmxInitialize(): Vmcs PA: 0x%llx\n", Cpu->Vmx.OriginalVmcsPA.QuadPart);
- // 開啟vmx
- if (!NT_SUCCESS (VmxEnable (Cpu->Vmx.OriginaVmxonR)))
- {
- DbgPrint("VmxInitialize(): Failed to enable Vmx\n");
- return STATUS_UNSUCCESSFUL;
- }
- *((ULONG64 *)(Cpu->Vmx.OriginalVmcs)) =
- (MsrRead (MSR_IA32_VMX_BASIC) & 0xffffffff); //set up vmcs_revision_id
- // 填充VMCS結構
- Status = VmxSetupVMCS (Cpu, GuestEip, GuestEsp);
- if (!NT_SUCCESS (Status))
- {
- DbgPrint("VmxSetupVMCS() failed with status 0x%08hX\n", Status);
- VmxDisable();
- return Status;
- }
- DbgPrint("VmxInitialize(): Vmx enabled\n");
- // 保存EFER
- Cpu->Vmx.GuestEFER = MsrRead (MSR_EFER);
- DbgPrint("Guest MSR_EFER Read 0x%llx \n", Cpu->Vmx.GuestEFER);
- // 保存控制寄存器
- Cpu->Vmx.GuestCR0 = RegGetCr0 ();
- Cpu->Vmx.GuestCR3 = RegGetCr3 ();
- Cpu->Vmx.GuestCR4 = RegGetCr4 ();
- CmCli ();
- return STATUS_SUCCESS;
- }
- /*
- 開啟vmx
- */
- NTSTATUS NTAPI VmxEnable (
- PVOID VmxonVA
- )
- {
- ULONG cr4;
- ULONG64 vmxmsr;
- ULONG flags;
- PHYSICAL_ADDRESS VmxonPA;
- // 設置cr4位,為啟用VM模式做準備
- set_in_cr4 (X86_CR4_VMXE);
- cr4 = get_cr4 ();
- DbgPrint("VmxEnable(): CR4 after VmxEnable: 0x%llx\n", cr4);
- if (!(cr4 & X86_CR4_VMXE))
- return STATUS_NOT_SUPPORTED;
- // 檢測是否支持vmx
- vmxmsr = MsrRead (MSR_IA32_FEATURE_CONTROL);
- if (!(vmxmsr & 4))
- {
- DbgPrint("VmxEnable(): VMX is not supported: IA32_FEATURE_CONTROL is 0x%llx\n", vmxmsr);
- return STATUS_NOT_SUPPORTED;
- }
- //bochs的bug,要改IA32_FEATURE_CONTROL的Lock為1
- #if bochsdebug
- MsrWrite(MSR_IA32_FEATURE_CONTROL,5);
- #endif
- vmxmsr = MsrRead (MSR_IA32_VMX_BASIC);
- *((ULONG64 *) VmxonVA) = (vmxmsr & 0xffffffff); //set up vmcs_revision_id
- VmxonPA = MmGetPhysicalAddress (VmxonVA);
- DbgPrint("VmxEnable(): VmxonPA: 0x%llx\n", VmxonPA.QuadPart);
- //開啟VMX
- VmxTurnOn(VmxonPA);
- flags = RegGetEflags ();
- DbgPrint("VmxEnable(): vmcs_revision_id: 0x%x Eflags: 0x%x \n", vmxmsr, flags);
- return STATUS_SUCCESS;
- }
- /*
- 進入虛擬機
- */
- NTSTATUS NTAPI VmxVirtualize (
- PCPU Cpu
- )
- {
- ULONG esp;
- if (!Cpu)
- return STATUS_INVALID_PARAMETER;
- *((PULONG) (g_HostStackBaseAddress + 0x0C00)) = (ULONG) Cpu;
- VmxLaunch ();
- // never returns
- return STATUS_UNSUCCESSFUL;
- }
三、蛋疼的攔截處理
sysenter的處理方法:
由于硬件虛擬化(HVM)無法直接攔截sysenter指令,所以只能使用其他方法來獲得控制權。
這里有三種方法:
1、在kifastcallentery的頭部寫入cpuid,int3等利用中斷或特權指令進入vm。
2、使用調試寄存器在kifastcallentery下硬件執行中斷,利用中斷進入vm
3、進入VMM后直接修改guest的sysenter_eip地址,通過控制msr的讀寫來欺騙其他訪問msr的程序。
為了不被內存檢測和充分利用調試寄存器,Avalon中我選用了方案3來控制進程執行sysenter后的運行流向。
部分代碼:
- static BOOLEAN NTAPI VmxDispatchMsrRead (
- PCPU Cpu,
- PGUEST_REGS GuestRegs,
- PNBP_TRAP Trap,
- BOOLEAN WillBeAlsoHandledByGuestHv
- )
- {
- ...
- switch (ecx) {
- case MSR_IA32_SYSENTER_CS:
- MsrValue.QuadPart = VmxRead (GUEST_SYSENTER_CS);
- break;
- case MSR_IA32_SYSENTER_ESP:
- MsrValue.QuadPart = VmxRead (GUEST_SYSENTER_ESP);
- break;
- case MSR_IA32_SYSENTER_EIP:
- MsrValue.QuadPart = Avlkrnlinfo->SysenterAddr;
- ...
- }
idt重定向處理方法:
1、idt地址欺騙
2、idt模擬投遞
第一種是指方案攔截sidt,lidt指令填充一份偽造的idt地址誤導訪問者(由系統投遞相對穩定)。
第二種是指方案模擬idt的處理過程自己寫程序投遞idt。
因為方案一需要使用反匯編引擎分析具體的保存地址體積過大,所以本版的Avalon使用第二種方案即idt模擬投遞。
部分代碼:
- static BOOLEAN NTAPI VmxDispatchException (
- PCPU Cpu,
- PGUEST_REGS GuestRegs,
- PNBP_TRAP Trap,
- BOOLEAN WillBeAlsoHandledByGuestHv
- )
- {
- ...
- //SETP 7. SET EIP
- if((uIntrInfo & 0xff) == 1){
- ComPrint("VmxDispatchException():#BD hit /n");
- VmxWrite(GUEST_RIP,Avlkrnlinfo->Fake_IDTMap[0]);
- }
- else if ((uIntrInfo & 0xff) == 3){
- ComPrint("VmxDispatchException():#BP hit /n");
- VmxWrite(GUEST_RIP,Avlkrnlinfo->Fake_IDTMap[1]);}
- ...
- }
第三章 理想鄉的黃昏
一、(Avalon)阿瓦隆的檢測
對于基于硬件虛擬化(HVM)的程序,首先想到的方法必然就是直接檢測和對抗硬件虛擬化。
對硬件虛擬化的檢測主要有:efer的檢測,vme的檢測。
對于處理了中斷的vmm還能通過計算中斷前后的時間差來判斷自身是否在虛擬機中。
當然針對Avalon還有其他的檢測方法(此處省略xx字)
二、未來的更新
Avalon才剛剛開始功能并不完善,還有好多功能想加進去:
1、將內核移入EPT(NPT)讓你完全看不到
2、 和ring3程序交互…
3、其他隱藏功能
總結
Avalon只是硬件虛擬化應用的冰山一角,還有更多的應用等待著我們去探索,小弟的水平有限以后還要向各位高手多多請教繼續努力學習。
該bin測試環境如下:
bochs2.4.5
windows xp sp3
注意:這個bin只是個簡單的樣品,真機上運行必藍,且只針對ring0的中斷,ring3有3處bug未修復。
