Quantcast
Channel: CodeSection,代码区,网络安全 - CodeSec
Viewing all articles
Browse latest Browse all 12749

【技术分享】Windows 键盘记录器 part2:检测

0
0
【技术分享】windows 键盘记录器 part2:检测

2017-07-10 15:22:44

阅读:835次
点赞(0)
收藏
来源: eyeofrablog.wordpress.com





【技术分享】Windows 键盘记录器 part2:检测

作者:myswsun





【技术分享】Windows 键盘记录器 part2:检测

译者:myswsun

预估稿费:100RMB

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿


传送门

【技术分享】Windows 键盘记录器 part1:应用层方法


0x00 前言

回顾第一部分,我们总结了4种Windows用户模式的键盘记录的方法,今天我们将分析每种技术的检测方式。

测试机器:


【技术分享】Windows 键盘记录器 part2:检测

0x01 SetWindowsHookEx

当我们使用SetWindowsHookEx注册消息钩子时,系统将我们的钩子处理函数保存在钩子链(是一个指针列表)中。因为我们能注册任何消息类型的钩子,因此,每种消息类型都有一个钩子链。因此我们的目标是:

系统内存中钩子链的位置(WH_KEYBOARD和WH_KEYBOARD_LL)

如何找到钩子的进程名

对于钩子链的位置,可以参考如下:

nt!_ETHREAD+0x0=>nt!_KTHREAD+0x088=>nt!_TEB+0x40=>win32k!tagTHREADINFO+0xCC=>win32k!tagDESKTOPINFO+0x10=>win32k!tagHOOK

每个结构都很清楚(感谢Windows符号)。Offset值是我的测试机器的,不同的Windows版本和构建版本会不同(ntoskrnl和win32k.sys)。

从nt!_ETHREAD看,它一定是一个GUI线程。我们能从explorer.exe中得到GUI线程,或者自己创建。

在上面,我们能得到系统所有的全局钩子链的位置。这个有16个tagHOOK的数组指针,数组索引是WH_*消息类型的值(实际上是index=WH_*+1)。如果条目是空,我们能找到一个全局钩子链。


【技术分享】Windows 键盘记录器 part2:检测

从tagHook中的_THRDESKHEAD看,我们能得到设置钩子的进程的tagTHREADINFO。因此我们能得到进程ID和进程名:

processIdOfHooker=PsGetProcessId(IoThreadToProcess((PETHREAD)(*pCurHook->head.pti)));

扫描结果:


【技术分享】Windows 键盘记录器 part2:检测

好了,查找Windows全局消息钩子可以了。那么本地钩子怎么办?

下面是本地钩子:

nt!_ETHREAD+0x0=>nt!_KTHREAD+0x088=>nt!_TEB+0x40=>win32k!tagTHREADINFO+0x198=>win32k!tagHOOK

和全局钩子很相似,但是你能看见本地钩子链的位置是在进程的tagTHREADINFO结构体中的,它是进程相关的。tagDESKTOPINFO中的钩子链是相同桌面下所有进程的。


0x02 轮询

我确实不知道怎么扫描这种方式。为什么?因为它直接从内部结构读取键的状态,似乎没有方式来检测。


【技术分享】Windows 键盘记录器 part2:检测

针对GetAsyncKeyState(), GetKeyboardState() API hook?可以,我们可以通过API来检测,但是我不想用它,因为针对系统所有进程全局APIhook不是个好方法。使用API HOOK,我们能检查频率和键盘记录键的范围。


0x03 Raw Input

我从分析user32.dll中的RegisterRawInputDevices函数开始。这个API将调用win32k.sys中的NtUserRegisterRawInputDevices。


【技术分享】Windows 键盘记录器 part2:检测

在一些检查之后,进入_RegisterRawInputDevices


【技术分享】Windows 键盘记录器 part2:检测

【技术分享】Windows 键盘记录器 part2:检测

这里非常清楚。PsGetCurrentProcessWin32Process返回win32k!tagPROCESSINFO结构体。使用WinDbg查看偏移0x1A4:


【技术分享】Windows 键盘记录器 part2:检测

有个指针指向win32k!tagPROCESS_HID_TABLE。

20-34行,验证注册的数据(HID请求)。

36-47行,如果不存在分配HID表。意味着,如果tagPROCESSINFO->pHidTable为空,进程中没有注册设备。

48-71行,设置HID请求到HID表中。

剩下的就是更新标志和重启HID设备。

让我们看下SetProcDeviceRequest函数:


【技术分享】Windows 键盘记录器 part2:检测

系统分配一个HID请求,将它插入到HID表中


【技术分享】Windows 键盘记录器 part2:检测

这里有2个HID请求的列表,分别是InclusionList, UsagePageList and ExclusionList。插入哪个列表取决于调用RegisterRawInputDevices的tagRAWINPUTDEVICE的dwFlags值。


【技术分享】Windows 键盘记录器 part2:检测

对于键盘记录,我使用RIDEV_NOLEGACY | RIDEV_INPUTSINK标志,因此是InclusionList。最后一个结构体是win32k!tagPROCESS_HID_REQUEST


【技术分享】Windows 键盘记录器 part2:检测

能看到usUsagePage, usUsage and spwndTarget是tagRAWINPUTDEVICE的参数。

对于原始输入的检测:

1. 枚举系统所有的进程

2. 针对每个进程,遍历pID -> PEPROCESS -> tagPROCESSINFO -> tagPROCESS_HID_TABLE -> tagPROCESS_HID_REQUEST

3. 如果我们找到usUsagePage = 1的条目(通常是桌面控制)和usUsage = 6(键盘),这个进程就是用来键盘记录的。

扫描结果:


【技术分享】Windows 键盘记录器 part2:检测

0x04 Direct Input

当检测direct input时,我发现了注册钩子进程中的一些有趣的特征。


【技术分享】Windows 键盘记录器 part2:检测

【技术分享】Windows 键盘记录器 part2:检测

针对MSIAfterburner.exe,我发现了一些与direct input(Mutant, Section, Key)相关的句柄。从运行的线程中,我们也能发现DINPUT8.dll(微软DirectInput库)。

对于direct input的检测:

1. 枚举系统所有进程

2. 对于每个进程,枚举所有的mutant、section、key,以匹配句柄特征

3. 如果所有的特征都匹配了,我们得到进程的所有的线程的起始地址。如果起始地址在DINPUT8.DLL的地址空间中,则找到了键盘记录。

扫描结果:


【技术分享】Windows 键盘记录器 part2:检测

0x05 总结

总结扫描方式如下:


【技术分享】Windows 键盘记录器 part2:检测

传送门

【技术分享】Windows 键盘记录器 part1:应用层方法




【技术分享】Windows 键盘记录器 part2:检测
【技术分享】Windows 键盘记录器 part2:检测
本文由 安全客 翻译,转载请注明“转自安全客”,并附上链接。
原文链接:https://eyeofrablog.wordpress.com/2017/06/27/windows-keylogger-part-2-defense-against-user-land/

Viewing all articles
Browse latest Browse all 12749