HIPS研究第一篇调试环境的搭建.doc

HIPS研究第一篇： 调试环境的搭建 学习360，调试360 本篇讲调试环境的搭建。本人菜鸟，一个调试环境都整了个一天多。 MJ牛的驱动代码有很多值得学习的地方，360是研究HIPS的最佳范例。Sudami牛曾指出360SelfProtection.sys是MJ精华之所在，研究360SelfProtection应该再好不过。 工具： Windbg + IDA 5.5 + DriverMonitor VMWare 6.5 + xp sp3 文件： 360SelfProtection.sys hookport.sys 搭建方法： 配置好驱动调试环境 （这个网上资料很多 不再赘述） 虚拟机中的xp sp3 ，不用安装360 将hookport.sys 和 360SelfProtection.sys 拷贝到system32的driver目录下 这步十分重要！！不然，360SelfProtection注册的回调函数都将没有效果 a. 将本机安装的360文件夹拷贝到虚拟机的相同目录下 此处注意，需要与本机的360全路径名一致（其实也可以不一致，如果你知道在哪儿下 断点的话） b.将本机HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\360SelfProtection整个键导出，导入到虚拟机的注册表中 c. 用Driver Monitor先加载hookport.sys 再加载360SelfProtection.sys 你IDA下应该就知道为啥要按这么做了。 调试方法： 怎样在无pdb环境下 下DriverEntry的断点？ 我是参考achillis牛的方法： /_achillis/blog/item/1a4605cf3b2fa631b700c8d6.html Sudami牛提供了另一个方法，参见此处：/showthread.php?t=128515. 写测试程序 最简单的，写个调用NtTerminateProcess的程序。为啥是这个api？因为360SelfProtection有hook该函数，你正好可以研究hookport.sys和360SelfProtection.sys的交互 假设该测试程序叫HIPSAttack.exe 实际调试 a. 先断点在ntdll!NtTerminateProcess上（避免以下就走进了KiFastCallEntry导致无法观察的情形） b. 在HIPSAttack.exe的进程中断点KiFastCallEntry 查看KiFastCallEntry的inline hook，逐步跟入，就能看到调用了 下面是360的inline部分 该函数的返回值eax就是360的代理函数。所以跟到返回值时，在返回值的位置下断点。 C. 断点命中后，进入的函数如下： 其中HookApiCall调用实际的代理函数。 通过该call,跟进，可以见到360SelfProtection.sys中的处理。由此验证整个hookport的架构。 使我们有可能通过调试仔细研究360SelfProtection.sys。 参考文章： /showthread.php?t=128515 1. /showthread.php?t=108378 2. /_achillis/blog/item/1a4605cf3b2fa631b700c8d6.html 3. /blog/292.html 4. /discussion/4301/windbg%E8%B0%83%E8%AF%95%E5%86%85%E6%A0%B8%E5%87%BD%E6%95%B0%E6%97%B6%E8%BF%9B%E7%A8%8B%E5%88%87%E6%8D%A2%E7%9A%84%E9%97%AE%E9%A2%98/p1