dt _DRIVER_OBJECT 81b7cf38
我们查看在0x034偏移DriverUnload(驱动程序卸载)的这个地方的值,这里有个DriverUnload的函数,这个偏移的地址是0xf8aae486
下面我们在这个地址这里设置一个断点,来查看这里发生了什么(这个断点用物理机上的WinDbg设置)
bp 81b7cf38
这里在和大家说明一下,系统为我们分配的地址每次都是不一样的,大家要根据自己的实际情况进行复现。
下一步,我们回到虚拟机中,F9运行OD。
这里我们的断点已经被命中,然后我们继续,这时候虚拟机也已经暂停了运行,下面我们执行单步调试,WinDbg的单步调试对话框输入p就可以了。
我们一直使用P指令,可以看到一个块领空的全部汇编语句,如下
push ecx push ebx push esi move esi, dword ptr [Lab10_01+0x780 f(f8aae780)] push edi xor edi, edi push offset Lab10_01+0x6bc(f8aae6bc) push edi mov dword ptr [ebp-4], edi call esi
这个时候我们需要指导call的这个esi究竟是什么函数
使用指令
u esi
RtlCreateRegistryKey调用,大家可以百度一下看看官方是如何定义这个函数的
有两个入参,第一个入参是edi,即RelativeTo=edi,第二个是offset Lab10_01+0x6bc(f8aae6bc),即Path=offset Lab10_01+0x6bc(f8aae6bc)
这里的RelativeTo的值为0,接下来我们看看Path的值,这里我们先用da命令
在地址f8aae6bc处的值的ASCII是\,当然,这样对查看单个地址上的数据比较有用,如果数据很多,要查看的话,我们用dc命令
这里的Path的值就是\Registry\Machine\SOFTWARE\Policies\Microsoft,然后后面就是全0的截断符了
然后下面又是一个相同的调用nt!RtlCreateRegistryKey,edi的值没有改变还是0,我们看看f7a54640的值
push offset Lab10_01+0x640(f7a54640) push edi call esi
注意这里下面被圈红的截断符(web渗透里面叫截断符’\00’,计算机里面叫文件结束符),这里我们得出的Path是\Registry\Machine\SOFTWARE\Policies\Microsoft\WindowsFirewall
从字面意思应该可以大概知道这个注册表是关于防火墙的
继续下面的汇编代码
还是一个nt!RtlCreateRegistryKey调用,和上面两个片段类似
edi至今未变,我们看看Path的值
这里还未出现文件结束符,说明这里还有数据没有显示出来,我们跳到最后显示这个地址继续显示
我们可以得出这次调用的Path的值是\Registry\Machine\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
这里的esi还是未变,我们看看Path的值,如上图
依旧是一次未能显示全,我们往下跳
可得出Path的值就是\Registry\Machine\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
所以应该是调用了四次nt!RtlCreateRegistryKey(书中有误),然后依次创建的键路径在如下所示
\Registry\Machine\SOFTWARE\Policies\Microsoft \Registry\Machine\SOFTWARE\Policies\Microsoft\WindowsFirewall \Registry\Machine\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile \Registry\Machine\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
然后我们继续往下分析,下面的代码如下
mov esi, dword ptr [Lab10_01+0x788(f8aae5a8)] push 4 lea eax,[ebp-4] push eax push 4 mov edi,offset Lab10_01+0x4ee(f8aae50c) push edi push offset Lab10_01+0x5a8(f8aae788) push 0 call esi
遇到一个call函数了,这里的第一句已经改变了esi,再也不是那个nt!RtlCreateRegistryKey
我们看看这个函数是什么
是nt!RtlWriteRegistryValue,向注册表里面写入值的内核函数
这里对我们来说有意义的参数,一个是Path,这个Path的值我们查查应该是\Registry\Machine\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
,然后ValueName的值是EnableFirewall
然后下一个是ValueData的值是,这里的eax的值是[ebp-4]的值,所以我们找ebp-4的值
所以这个eax的值是0,这里的意思就是将EnableFirewall这个的值设置为了0,意义就是从内核禁止了Windows的防火墙功能
我们看看Path的值应该是\Registry\Machine\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
然后ValueName的值是EnableFirewall
最后是ValueData的值是0
所以这里还是通过内核改变注册表\Registry\Machine\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile的键EnableFireawll为0来关闭防火墙
这个程序的整体思路:程序运行之后会启动一个服务,然后通过运行一个驱动创建修改注册表的值,来关闭防火墙。
注意:\Registry\Machine的开头很怪异,,并不是我们常见的HKEY的注册表。当从内核态王文注册表时,\Registry\Machine就等同于HKEY_LICAL_MACHINE。同时我们需要知道,EnableFirewall的值为0,表示禁用Windows XP的防火墙。
希望大家可以有所收获,windbg是一个非常强大但是入手很难的工具,共勉!
