【ハードウェア仮想化】カーネルの理想郷からは程遠い

導入

このストーリーでは、ハードウェア仮想化 (HVM) を使用して、独自のフックコードの一部をカーネルから遠ざけ、他のカーネルフックの影響を受けにくくし、検出を困難にする方法について説明します。この記事のアイデアは、学校の動的な Linux カーネルアップデートから生まれたもので、多くのコードは bluepill からコピーされています。

[[251619]]

第1章（アヴァロン）アヴァロンの夜明け

システムのコントロールをめぐる駆動力間の競争が激化するにつれ、カーネル内にクリーンなスペースはほとんどなくなります。インラインフック、ssdt フックなどのさまざまなフックが若いカーネルを埋め尽くします。複雑な構造を持つもの、相互接続されたもの、検出と監視機能を備えたものなどがあります。これらのコントロールポイントの制御を取り戻したい場合は、それらのフックを研究するためにいくらかの労力を費やす必要があり、元々単純なフックがドミノ効果を引き起こすことになります。

今では、ハードウェア仮想化テクノロジーにより、考え方を変えてこれらの問題を解決できるようになりました...

1. (アバロン) アバロンの構成

(アバロン) アバロン本体は以下の部分で構成されています。

1. Avlboot.sys (初期化されたばかりでフックによって汚染されていないシステムカーネルを後で使用するために保存するために使用されます)

2. Avalon.sys (擬似カーネル情報の読み取り、ハードウェア仮想化の有効化、擬似カーネルのロードに使用)

3. XXX.sys (ユーザーが Avlboot.sys で提供される情報を使用して特定のフック操作を実行するプログラム)

2. (アバロン) アバロンの真実

この記事で紹介するAvalon（アバロン）は、仮想化をベースにしたカーネルローディングフレームワークです。ハードウェア仮想化 (HVM) とフックによって汚染されないカーネルメモリを使用して、PC 内で 2 つのカーネルを同時に実行できるようにします。そして、Avalon は、sysenter_eip と idt 内の疑似カーネルを指す対応するアドレスを制御することによって制御を獲得します。

つまり、(Avalon) Avalon はハードウェア仮想化 (HVM) を使用して独自のカーネルをロードし、元のカーネルを上書きすることで、検出されない環境でカーネルを制御できるようになります。

実装原理を下図に示します。

擬似カーネルのベースアドレスを取得したら、独自のフックプログラムで hookport を介して ssdt と shadow ssdt を処理できます (strongod はフックした ssdt をバックアップする必要があるため、少し面倒です。AGP はアドレスをオフセットするだけで使用できます)。

3. アバロンの応用

実際、Avalon は sysenter フック + idt フックを偽装したものと見なすことができます。

(Avalon) Avalon はハードウェア仮想化 (HVM) に基づいているため、カーネル全体をオーバーライドし、実行時にカーネルをリアルタイムで置き換え可能にすることができます。

擬似カーネルが配置されているメモリ範囲はメモリ監視の対象ではなく、他のプログラムが直接アクセスできないため、擬似カーネルは他の干渉問題を心配することなく自由にフックできる安全なユートピアになります。

このタイプのフックには、従来のフックに比べて次のような利点があります。

1. 従来のメモリ監視の範囲外であり、検出が困難です。

2. システム内のオリジナルフックコードに干渉せず、高い互換性を備えています。

しかし、いくつかの欠点もあります。

1. オブジェクトフック、irpフック、およびカーネルメモリに依存しないその他のフックコードに直接干渉できない

2. システム全体はハードウェア仮想化 (HVM) に依存しており、ハードウェアデバイスに対して特定の要件があります。

第2章: ビジョンは現実になる

1. 純粋な初期化

まず、Avalonの初期化を実装しましょう。初期化は、カーネル情報の取得、疑似カーネルの構築、IDT 情報の保存、元の SYSENTER_EIP の取得という 4 つの部分で構成されます。

実装コードは次のとおりです。

 NTSTATUS DriverEntry ( IN PDRIVER_OBJECT DriverObject、 IN PUNICODE_STRING RegistryPath)
 { 
 
 ... 
 
 KrnlCopy();
 IDTコピー();
 ReadMsrSysenter(); 
 
 ... 
 
 } 
 
 /* 
 
  カーネルコピー
 
 */ 
 
 VOID KrnlCopy()
 {
 PVOID バッファ;
 ULONGサイズ;
 ULONG RetSize;
 PSYSTEM_MODULE_INFORMATION インフォバッファ;
 NTSTATUS ステータス;
 PVOID モジュールベース;
 ULONG モジュールサイズ; 
 
サイズ= 0x1000; 
 
 
する {
 バッファ=ExAllocatePool(NonPagedPool,サイズ);
 ステータス=ZwQuerySystemInformation(SystemModuleInformation、バッファ、サイズ、&RetSize);
 （ステータス == STATUS_INFO_LENGTH_MISMATCH）の場合
       {
           ExFreePool(バッファ);
サイズ= RetSize;
       }
 }while(ステータス == STATUS_INFO_LENGTH_MISMATCH); 
 
 InfoBuffer = (PSYSTEM_MODULE_INFORMATION) バッファ; 
 
 
 ModuleBase=(PVOID)(InfoBuffer->ModuleInfo[0].Base);
 Orig_krnl=(ULONG)ModuleBase; 
 
 DbgPrint( "AvlBoot:Orig_krnl Base=%x\n" ,ModuleBase);
 ModuleSize=InfoBuffer->ModuleInfo[0] .Size ;
 makeKernelCopy((ULONG)ModuleBase,ModuleSize);
 DbgPrint( "AvlBoot:Avl_krnl Base=%x\n" ,Avl_krnl);
 ExFreePool(バッファ);
 }

初期化後、他のコンポーネントは Avlboot.sys にアクセスして疑似カーネル情報とカーネルのオリジナル情報を取得できます。

2. コピーされた仮想化

ここでは、Intel VT ハードウェア仮想化の手順を簡単に紹介します。

1. vt環境を確認する

2. vt機能を有効にする

3. 仮想マシンのステータスを保存するためにvtを入力します。

4. 傍受する必要がある項目を設定する

5. 仮想マシンを終了するときの戻りアドレスを設定する

6. 仮想マシンを起動し、傍受プロジェクトがトリガーされるのを待ちます。

7. 傍受プロジェクトが起動され、関連プロジェクトの処理ルーチンに入る

8. 仮想マシンを復元して実行を継続する

ここに少しトリッキーなコードがあります:

 /*
  Vmx 初期化
*/
 NTSTATUS NTAPI VmxInitialize (
   PCPU CPU、
   PVOIDゲストEip、
   PVOIDゲストEsp
 ）
 {
   PHYSICAL_ADDRESS が調整された VmcsPA;
   ULONG VaDelta;
   NTSTATUS ステータス; 
 
 
   // VMXON領域にメモリスペースを割り当てる
   Cpu->Vmx.OriginaVmxonR = MmAllocateContiguousPages(
       VMX_VMXONR_SIZE_IN_PAGES、
       &Cpu->Vmx.OriginalVmxonRPA);
   (!Cpu->Vmx.OriginaVmxonR) の場合
   {
 DbgPrint( "VmxInitialize(): 元の VMCS にメモリを割り当てることができませんでした\n" );
 STATUS_INSUFFICIENT_RESOURCES を返します。
   } 
 
   DbgPrint( "VmxInitialize(): OriginaVmxonR VA: 0x%x\n" 、 Cpu->Vmx.OriginaVmxonR);
   DbgPrint( "VmxInitialize(): OriginaVmxonR PA: 0x%llx\n" 、 Cpu->Vmx.OriginalVmxonRPA.QuadPart); 
 
   // VMCS のメモリ空間を申請する
   Cpu->Vmx.OriginalVmcs = MmAllocateContiguousPages(
       VMX_VMCS_SIZE_IN_PAGES、
       &Cpu->Vmx.OriginalVmcsPA);
   (!Cpu->Vmx.OriginalVmcs) の場合
   {
 DbgPrint( "VmxInitialize(): 元の VMCS にメモリを割り当てることができませんでした\n" );
 STATUS_INSUFFICIENT_RESOURCES を返します。
   } 
 
   DbgPrint( "VmxInitialize(): Vmcs VA: 0x%x\n" 、 Cpu->Vmx.OriginalVmcs);
   DbgPrint( "VmxInitialize(): Vmcs PA: 0x%llx\n" 、 Cpu->Vmx.OriginalVmcsPA.QuadPart); 
 
   // vmx を有効にする
   if (!NT_SUCCESS (VmxEnable (Cpu->Vmx.OriginaVmxonR)))
   {
       DbgPrint( "VmxInitialize(): Vmx の有効化に失敗しました\n" );
 STATUS_UNSUCCESSFULを返します。
   } 
 
   *((ULONG64 *)(Cpu->Vmx.OriginalVmcs)) =
       (MsrRead (MSR_IA32_VMX_BASIC) & 0xffffffff); // vmcs_revision_id を設定する
 
   // VMCS構造体に記入する
ステータス = VmxSetupVMCS (Cpu、GuestEip、GuestEsp);
   if (!NT_SUCCESS (ステータス))
   {
       DbgPrint( "VmxSetupVMCS() がステータス 0x%08hX\n で失敗しました" , Status);
       VmxDisable();
ステータスを返します。
   } 
 
   DbgPrint( "VmxInitialize(): Vmxが有効\n" ); 
 
  // EFER を保存
   Cpu->Vmx.GuestEFER = MsrRead (MSR_EFER);
   DbgPrint( "ゲスト MSR_EFER 読み取り 0x%llx \n" 、 Cpu->Vmx.GuestEFER); 
 
  // 制御レジスタを保存する
   Cpu->Vmx.GuestCR0 = RegGetCr0();
   Cpu->Vmx.GuestCR3 = RegGetCr3();
   Cpu->Vmx.GuestCR4 = RegGetCr4(); 
 
   CmCli();
 STATUS_SUCCESS を返します。
 } 
 
 
 
 /*
  vmxを有効にする
*/
 NTSTATUS NTAPI VmxEnable (
   PVOID VmxonVA
 ）
 {
   ウロンcr4;
   ULONG64 vmxmsr;
   ULONG フラグ;
   物理アドレス VmxonPA; 
 
 // VM モードを有効にするために cr4 ビットを設定します
   set_in_cr4 (X86_CR4_VMXE);
   cr4 = get_cr4();
   DbgPrint( "VmxEnable(): VmxEnable の後の CR4: 0x%llx\n" , cr4);
   もし (!(cr4 & X86_CR4_VMXE))
 STATUS_NOT_SUPPORTED を返します。 
 
 // vmx がサポートされているかどうかを確認します
   vmxmsr = MsrRead (MSR_IA32_FEATURE_CONTROL);
   (!(vmxmsr & 4) の場合)
   {
       DbgPrint( "VmxEnable(): VMX はサポートされていません: IA32_FEATURE_CONTROL は 0x%llx\n です" , vmxmsr);
 STATUS_NOT_SUPPORTED を返します。
   } 
 
 //bochs のバグ、IA32_FEATURE_CONTROL のロックを 1 に変更
#if ボックデバッグ
MSR_IA32_FEATURE_CONTROL 関数をオーバーライドします。
   #終了
 
   MSR_IA32_VMX_BASIC の呼び出し。
   *((ULONG64 *) VmxonVA) = (vmxmsr & 0xffffffff); // vmcs_revision_id を設定する
   VmxonPA = MmGetPhysicalAddress (VmxonVA); 
 
   DbgPrint( "VmxEnable(): VmxonPA: 0x%llx\n" , VmxonPA.QuadPart); 
 
 // VMXを有効にする
VmxTurnOn(VmxonPA);
   フラグ = RegGetEflags();
   DbgPrint( "VmxEnable(): vmcs_revision_id: 0x%x Eflags: 0x%x \n" , vmxmsr, flags); 
 
 STATUS_SUCCESS を返します。
 } 
 
 
 
 /*
  仮想マシンに入る
*/
 NTSTATUS NTAPI VmxVirtualize (
 PCPU CPU
 ）
 { 
 
   ULONG、特に;
   (!CPU)の場合
STATUS_INVALID_PARAMETER を返します。 
 
 *((PULONG) (g_HostStackBaseAddress + 0x0C00)) = (ULONG) CPU; 
           
   VmxLaunch(); 
 
   // 決して返らない  
 
 STATUS_UNSUCCESSFULを返します。
 }

3. 面倒な傍受処理

sysenterの扱い方:

ハードウェア仮想化 (HVM) は sysenter 命令を直接インターセプトできないため、制御を取得するには他の方法しか使用できません。

これを行うには、次の 3 つの方法があります。

1. 割り込みまたは特権命令を使用して VM に入るには、kifastcallentery のヘッダーに cpuid、int3 などを書き込みます。

2. デバッグレジスタを使用してkifastcallenteryでハードウェア割り込みを実行し、その割り込みを使用してVMに入ります。

3. VMM に入った後、ゲストの sysenter_eip アドレスを直接変更し、msr の読み取りと書き込みを制御することで、msr にアクセスする他のプログラムを欺きます。

メモリ検出を回避し、デバッグレジスタを最大限に活用するために、sysenter を実行した後、プロセスの実行方向を制御するために Avalon のソリューション 3 を選択しました。

コードの一部:

静的ブール型 NTAPI VmxDispatchMsrRead (
 PCPU CPU、
 PGUEST_REGS ゲスト登録、
 PNBP_TRAP トラップ、
 ブール型 WillBeAlsoHandledByGuestHv
 ）
 { 
 
 ... 
 
スイッチ (ecx) {
 MSR_IA32_SYSENTER_CSの場合:
   MsrValue.QuadPart = VmxRead (GUEST_SYSENTER_CS);
   壊す; 
 
 MSR_IA32_SYSENTER_ESPの場合:
   MsrValue.QuadPart = VmxRead (GUEST_SYSENTER_ESP);
   壊す;
 MSR_IA32_SYSENTER_EIPの場合:
   MsrValue.QuadPart = Avlkrnlinfo->SysenterAddr; 
 
 ... 
 
 }

IDTリダイレクト処理方法:

1. IDTアドレスのなりすまし

2. IDTシミュレーション配信

最初のものは、sidt を傍受するスキームを指し、lidt 命令は偽造された idt アドレスを入力して訪問者を誤解させます (システムによる配信は比較的安定しています)。

2 番目の方法は、IDT の処理をシミュレートし、IDT を配信する独自のプログラムを作成することです。

最初のソリューションでは、特定のストレージアドレスを分析するために逆アセンブリエンジンを使用する必要があり、これが大きすぎるため、このバージョンの Avalon では 2 番目のソリューション、つまり idt シミュレーション配信を使用します。

コードの一部:

静的ブール型 NTAPI VmxDispatchException (
 PCPU CPU、
 PGUEST_REGS ゲスト登録、
 PNBP_TRAP トラップ、
 ブール型 WillBeAlsoHandledByGuestHv
 ） 
 
 { 
 
 ... 
 
 //SETP 7. EIPを設定する
 
 if((uIntrInfo & 0xff) == 1){
  ComPrint( "VmxDispatchException():#BD ヒット /n" );
  VmxWrite(GUEST_RIP、Avlkrnlinfo->Fake_IDTMap[0]);
 }
そうでない場合 ((uIntrInfo & 0xff) == 3){
  ComPrint( "VmxDispatchException():#BP ヒット /n" );
  VmxWrite(GUEST_RIP、Avlkrnlinfo->Fake_IDTMap[1]);} 
 
 ... 
 
 }