1. CCC-BASE驱动逆向的核心挑战
逆向分析CCC-BASE驱动时,最令人头疼的就是它那套复合型保护机制。我曾在分析22-03-14版本时发现,这个驱动就像个洋葱,剥开一层还有一层。它的保护措施主要分为三个层级:
- 用户层反调试:通过DebugPort清零、PEB检查等常见手段
- 内核层监控:定时线程扫描关键数据结构
- 硬件级防护:Intel PT和NMI中断这类核武器
最棘手的是它的动态检测策略。驱动会创建三个不同间隔的系统线程:10秒检查进程冻结计数,20秒扫描调试端口和隐藏线程,30秒执行内核调试器分离。这种多频率交叉检测让静态分析很容易漏掉关键点。
2. 反调试机制的逆向实战
2.1 用户层检测手段
在分析通信模块时,我发现驱动会通过符号链接A接收加密指令。解密后的数据包包含多种反调试检查:
// 伪代码示例 if (g_AntiDebugEnabled) { if (PsGetProcessDebugPort() != NULL) { TerminateProcess(ProtectedProcess); } if (CheckPebBeingDebugged()) { TerminateProcess(ProtectedProcess); } if (NtQueryProcessInformation(0x1F) > 5000) { TerminateProcess(ProtectedProcess); } }特别要注意的是QueryProcessInformation 0x1F这个调用,它检查的是进程的未公开调试标志。我在WinDbg里用以下命令验证了这个行为:
bp nt!NtQueryProcessInformation "j (poi(esp+8)==0x1F) 'gc'; 'g'"2.2 内核调试器分离
驱动每隔30秒会调用KdRefreshDebuggerNotPresent,这个函数会强制分离内核调试器。更狠的是它还会检查SharedUserData区域:
if (SharedUserData->KdDebuggerEnabled) { KeBugCheckEx(0xDEADDEAD, 0, 0, 0, 0); }在逆向时,我建议用硬件断点监控这个内存区域:
ba r4 nt!KdDebuggerEnabled3. 内核线程监控策略解析
3.1 定时检测线程
驱动初始化时会创建三个关键线程:
- 10秒线程:枚举所有受保护进程的FreezeCount
- 20秒线程:扫描DebugPort、ThreadHideFromDebugger标志
- 30秒线程:执行内核调试器分离和VM检测
通过IDA的交叉引用,我定位到线程函数在sub_12345。关键是要注意它使用了KeDelayExecutionThread实现定时:
LARGE_INTEGER interval; interval.QuadPart = -10 * 1000 * 1000 * 10; // 10秒 while (1) { KeDelayExecutionThread(KernelMode, FALSE, &interval); // 检测逻辑... }3.2 线程栈检测
驱动还会检查线程的调用栈是否异常。它会遍历ETHREAD的StackBase和StackLimit,验证返回地址是否在合法模块内。这个检测可以用以下方法绕过:
mov rsp, [gs:0x1A8] // 恢复原始RSP4. 不常见检测手段剖析
4.1 Intel PT技术应用
驱动会利用Intel Processor Trace来监控执行流。当检测到RIP在受保护进程空间内异常跳转时,会触发记录机制。在IDA中可以看到这样的代码:
if (cpuid(0x14,0).eax & 0x1) { wrmsr(0x570, &TraceBuffer); wrmsr(0x571, TraceControlValue); }应对方法是关闭PTT功能位:
!msr 0x570 0 !msr 0x571 04.2 NMI中断陷阱
驱动注册了NMI回调函数,当检测到调试行为时会触发蓝屏。逆向时发现它修改了IDT表:
KeGetPcr()->IDT[2] = NewNmiHandler;安全的研究方式是在虚拟机中挂接NMI处理:
import vmm vmm.set_nmi_handler(my_handler)5. 内存与对象监控
5.1 MDL映射检测
驱动会监控MiDeadPteTrackerSListHead链表,这是MDL释放后的跟踪机制。逆向时发现这样的代码:
PMMPTE DeadPte = MiDeadPteTrackerSListHead; while (DeadPte) { if (DeadPte->u.Hard.Protection == PROTECTED_PAGE) { ReportViolation(); } DeadPte = DeadPte->NextEntry; }5.2 页表Hook技巧
驱动在非KPTI系统上会替换页表项来监控CR3访问。这个技术在Win10 17763上会引发蓝屏,代码逻辑如下:
if (!KptiEnabled) { NewCr3 = BuildFakePageTable(); __writecr3(NewCr3); MonitorCr3Access(); }6. 系统信息收集策略
驱动会枚举关键驱动模块如ataport.sys、storport.sys等,通过符号链接B返回采集的数据。逆向时发现它使用了ZwQuerySystemInformation的多个未公开类型:
ZwQuerySystemInformation(0xB, &DriverInfo, sizeof(DriverInfo), NULL);这种检测可以通过Hook系统调用或伪造驱动信息来绕过。
7. 符号链接B的隐藏功能
符号链接B提供了多个危险的操作接口,我发现了两个特别值得关注的:
取消APC:通过修改ETHREAD的SchedulerApc实现
mov qword ptr [rax+_ETHREAD.SchedulerApc], 0xC3 // ret指令VAD属性修改:可以绕过内存保护
Vad->Protection = PAGE_EXECUTE_READWRITE;
这些接口的存在说明驱动具有极强的系统控制能力,也暴露出潜在的安全风险。
