(1) Look about Native API

Size: px

Start display at page:

Download "(1) Look about Native API"

봉기 부
3 years ago
Views:

1 본컬럼에대한모든저작권은 DevGuru에있습니다. 컬럼을타사이트등에기재및링크또는컬럼내용을인용시반드시출처를밝히셔야합니다. 컬럼들을 CD나기타매체로배포하고자할경우 DevGuru에동의를얻으셔야합니다. c DevGuru Corporation. All rights reserved 기타자세한질문사항들은웹게시판이나 support@devguru.co.kr 으로 문의하기바랍니다

2 Attack Native API written by Kwak 1 부 Look around Native API 2 부 Hooking Native API System service API가무엇인가? System service API 의목적이무엇인가 System service API 중 ZwXXX 계열과 NtXXX 계열의함수의차이는무엇인가? User mode Application이 Kernel service를어떤경로에통해서접근하는가? 위의질문에대답할수있다면 System Programmer 로서어느정도의내공의소유자일것 이다. 위의질문에대하여답변을하나하나찾아가보자. 답을찾다보면우린최종목표인 Native API 를 Hooking 하여 System 을감시하는 Driver 의원리를파악할수있을것이다. What & Purpose 자.. 그럼첫번째와두번째질문에는무엇이라대답하겠는가? System service API에대해서잘모르는사람들은 Win32 API 의일부분또는비슷한기능을하는부분이라생각을많이할것이다. 그러나 System 쪽을공부했다면 Win32 API는 NT 계열 OS에서지원 Subsystem의중의하나인것과, 이러한 Subsystem 들이 NT Executive(Kernel) 의도움을받고자할때 System service API를이용하다는것을알것이다. 즉, system service는 user mode application(kernel mode application도일부포함 ) 들이 Kernel service를받고자할때사용되어지는함수들의모임이다. 이 API를 NT Native API 라부른다.( 이하 Native API) NT 계열 OS 에서는다른 Operation System 에서작성된 Application 의호환성을유지하기 위하여다양한 subsystem(win32, POSIX, OS/2, DOS/WoW) 들을제공해준다. 각각의 subsystem 은다른 OS 를에뮬레이션해주며 Kernel 의도움이필요할때는 Native API 를 - 2 -

이용한다. Native API 은모든 subsystem에게동일한 Interface와기능을제공하며, 이로인하여다른 OS의 Application들은 subsystem에의존하여 NT계열 OS에서실행이가능하다. 물론꼭 subsystem을이용하여 Native API를이용하라는규정은없다.

3 이용한다. Native API 은모든 subsystem에게동일한 Interface와기능을제공하며, 이로인하여다른 OS의 Application들은 subsystem에의존하여 NT계열 OS에서실행이가능하다. 물론꼭 subsystem을이용하여 Native API를이용하라는규정은없다. 그러나그것은여러가지문제 ( security, handle managing 등 ) 가발생할수있으며, 또한 Microsoft 사에는 Native API를 end-user를위하여디자인한것이아니어서약 10% 정도만이문서화되어공개되어있으며나머지는비공개로되어있기때문에접근하기가쉽지않다. 하지만많은 system programmer들은스킬을이용하여원하는기능의 Native API를찾아서사용하고들있다. <Environment Subsystem and Subsystem DLLs> 간단히 Native API 함수를보자. NtCreateFile의 Prototype은다음과같다. 이는 ZwCreateFile과같은 Parameters를가지고있으며, ZwCreateFile은 NT DDK안에서찾아볼수있다. Native API는두가지종류가있다는것인가? 맞다. Native API는 ZwXxxx 계열과 NtXxxx 계열두가지가있다. 이둘을자세히알아보자

4 NTSTATUS NtCreateFile( OUT PHANDLE FileHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, OUT PIO_STATUS_BLOCK IoStatusBlock, IN PLARGE_INTEGER AllocationSize OPTIONAL, IN ULONG FileAttributes, IN ULONG ShareAccess, IN ULONG CreateDisposition, IN ULONG CreateOptions, N PVOID EaBuffer OPTIONAL, IN ULONG EaLength ); 위함수는우리가자주보는 CreateFile 과크게다르게보이지않을것이다. 다만, 전달해야할 parameters 의 type들이생소하게느껴지는것이몇가지있을것이다. 사용방법및인자 type은자세히설명을하지않겠다. DDK 및참고서적을보면자세일알수있을것이다. NtXxxx 함수와 ZwXxxx의차이는이렇게정의가되어있다. NtXxxx 계열함수는보안을위하여함수의 Parameter와 access mode 유효검사를한다. 그리고 ZwXxxx는이러한부가적인검사를하지않는다. 그렇기때문에 Kernel 자신은어떤한제약도없이 resource를접근하기위하여 ZwXxxx함수들을대부분이용하고 NtXxxx함수는 UserMode 에서 service 요청시에사용되어진다. NtXxxx vs ZwXxxxx 좀더자세히 Native API 를한번파해쳐보자. 파해치다보면원리를파악할테고그원리를 가지고우리는 Native API 를공격할수있을것이다. 다음과같은 4 가지의경우를생각할수있을것이다. User Mode Application에서 NtXxxxx 함수호출 User Mode Application에서 ZwXxxxx 함수호출 Kernel Mode Application에서 NtXxxxx 함수호출 User Mode Application에서 NtXxxxx 함수호출 - 4 -

5 User Mode 에서의호출 User Mode application 은 kernel 의도움을받기위하여 Native API 를호출한다. 호출경로 는아마도 Application 이 subsystem 의 Native API 를호출할것이다. Subsystem 은 NTDLL.LIB 을링크하므로우리는 Ntdll.dll 을이용하여그해당코드를볼수있다. Soft-ice를이용하여 NtReadFile의코드를확인해보자. :u ntdll!ntreadfile ntdll!ntreadfile 001B:77F889DC MOV EAX,000000A1 001B:77F889E1 LEA EDX,[ESP+04] 001B:77F889E5 INT 2E 001B:77F889E7 RET 0024 위와같은코드가나올것이다. Symbol Loader 의 Load exports 이용하여 Ntdll.dll 로드해야만볼수있을것이다. ZwReadFile도확인해보자. :u ntdll!zwreadfile ntdll!ntreadfile 001B:77F889DC MOV EAX,000000A1 001B:77F889E1 LEA EDX,[ESP+04] 001B:77F889E5 INT 2E 001B:77F889E7 RET 0024 ZwReadFile은바로 NtReadFile로포워딩되어있는것을확인해볼수있다. 결국 User mode에서는 NtXxxx 계열만을이용하는것이며, 아마도부가적인검사 (parameters, security 등의검사 ) 을하기위해서일것이다. 위의형식은 EAX(001B:77F889DC) 에는함수의 index(0xa1는 NtReadFile의 index일것이다.) 가들어가며, EDX(001B:77xxxxxx) 에는현재 User mode의 stack의주소가들어간다. 한마디로함수의인자들과스택을전달하는것이다. 그리고 INT 2E가실행되어질것이고제어권은 Kernel로넘어갈것이다. INT 2E는후반부에자세히살펴보기로하자

6 Kernel Mode 에서호출 Kernel Mode에서는 Ntoskrnl.lib를이용하므로 Native API는 NTOSKRNL에있을것이다. Soft-Ice를이용하여 ZwReadFile의코드를보자. :u ntoskrnl!zwreadfile ntoskrnl!zwreadfile 0008:8042EAE4 MOV EAX,000000A1 0008:8042EAE9 LEA EDX,[ESP+04] 0008:8042EAED INT 2E 0008:8042EAEF RET 0024 앗 ~!! User Mode의 Native API들과같은코드가존재하고있다. 그럼 NtReadFile 도봐야할것같다. :u ntoskrnl!ntreadfile ntoskrnl!ntreadfile 0008:804A86BA PUSH 0008:804A86BB MOV 0008:804A86BD PUSH 0008:804A86BF PUSH 0008:804A86C4 PUSH 0008:804A86C9 MOV 0008:804A86CF PUSH EBP EBP,ESP FF C0 ntoskrnl!_except_handler3 EAX,FS:[ ] EAX 다행인지불행인지 ntoskrnl 에있는 NtReadFile 은무슨일은하는코드인지는모르지만실 제코드가있는것을볼수있다. 우린아무래도 INT 2E 라는놈의정체를밝혀야지만될것같다. 그럼 INT 2E 가무엇인가? 보호모드에서는 ( 모른다면컬럼중 What s ring을보면알것이다.) Interrupt을위하여 Interrupt Gate(Dos 시절의 Vector와비슷한기능 ) 를이용하며, Gate는 Interrupt에대한정보를가지고있는 Descriptor로이루어져있다. OS는모든인터럽트에대한 Descriptor 를 Table 형식으로가지고있다. 그것을 Interrupt Descriptor Table(IDT) 이라한다. Soft-ICE 에서 IDT를보게되면 INT 2E Handler의시작주소를알수있다. ( 명령 : IDT) - 6 -

7 002B IntG : DPL=3 P ntoskrnl!kireleasespinlock+0ff0 002C IntG : DPL=3 P ntoskrnl!kireleasespinlock D IntG :BB6D3CB4 DPL=3 P DbgMsg!.text+09B4 002E IntG :80462E50 DPL=3 P ntoskrnl!kireleasespinlock+0a20 002F IntG :804664FC DPL=0 P ntoskrnl!kei386eoihelper+2bd IntG : DPL=0 P ntoskrnl!kireleasespinlock+0060 생각해보자. User Mode에서 Kernel Mode로제어권을이양하는방법에는무엇이있을까? 아마 Fault, Interrupt, cpu 지원명령인 SYSENTER 3가지정도가 Mode 변환을일을켜주는 (ring transition) 명령일것이다. 이중에 Window2000에서는 Interrupt를선택한것같다. (XP에서는 SYSENTER를이용한다.) INT 2E 에서는 Ntdll!NtReadFile의실제수행할코드를호출해주는일을할것이다. 실제코드를함보자. 코드중에서중요부분만을거론하겠다. 실제 INT 2E 의코드 { PUSH all state 0008:80462E70 MOV ESI,[FFDFF124] ETHREAD curthread = gcurrentthread; // 0xFFDFF :80462E76 PUSH DWORD PTR [ESI ] int previousmode = curtherad->previousmode; // offset 0x :80462EB3 ADD EDI,[ESI DC] 0008:80462EB9 MOV EBX,EAX 0008:80462EBB AND EAX,00000FFF 0008:80462EC0 CMP EAX,[EDI+08] SYSTEM_SERVICE_TABLE sst = curthread->servicetable; // offset 0xDC - if( eax/* 함수인덱스 */ > sst->servicelimit ). 0008:80462EE8 INC DWORD PTR [FFDFF5DC] 0008:80462EEE MOV ESI,EDX 0008:80462EF0 MOV EBX,[EDI+0C] - 7 -

8 0008:80462EF3 XOR ECX,ECX 0008:80462EF5 MOV CL,[EBX+EAX] 0008:80462EF8 MOV EDI,[EDI] 0008:80462EFA MOV EBX,[EAX*4+EDI] 0008:80462EFD SUB ESP,ECX 0008:80462EFF SHR ECX, :80462F02 MOV EDI,ESP 0008:80462F04 CMP ESI,[ntoskrnl!MmUserProbeAddress] 0008:80462F0A JAE F3 0008:80462F10 REPZ MOVSD 0008:80462F12 CALL EBX If( previousmode!= MmUserProbeAddress) - 2 //Vaild check call sst->kiservicetable[eax] : D IRETD return; } 1 현재함수의 caller thread의 ETHREAD structure(teb) 의주소를가져와몇가지의정보를가져온다. TEB 에는현재 Thread에대한모든정보들을가지고있다. ( 자세한사항은 Inside2000 5장의 322 page에 structure 구조가나와있다.) 그중 servicetable을얻어온다이곳에는 system service 함수주소의배열이있다. 2 previousmode Native API를호출한이전의 Mode를말하며 OS 전역변수인 MmUserProbeAddress와비교하여검사한다. 만약 UserMode 라면 system service를처리할때반듯이 parameter 들에대해서유효검사를해야한다. 그이유는 arbitrary thread context 상에서실행되어질수도있기때문일것이다. 또한 security를위한 Access mode 권한을검사조건 ( 이조건은실제 system service에서사용되어질것이다.) 을만들것이다. 4 이곳에서 ServiceTable에서 EAX의함수 Index를이용하여실제처리코드가있는주소를찾아서, 그루틴을호출한다. 한번해당주소의코드를 Soft Ice를이용하여보자. ntoskrnl!ntreadfile 0008:804A86BA PUSH EBP 0008:804A86BB MOV EBP,ESP - 8 -

9 0008:804A86BD PUSH FF 0008:804A86BF PUSH C0 0008:804A86C4 PUSH ntoskrnl!_except_handler3 0008:804A86C9 MOV EAX,FS:[ ] 0008:804A86CF PUSH EAX 오 ~! ntoskrnl 안에있는 Native 함수를호출해준다. 결국 User Mode에서 Native API와 Kernel mode의 ZwXxxx 계열모두결국 NtXxxx을호출하게된다. 그러나두가지의경우는행하여지는결과는똑같겠지만 ( 당연히사용자입장에서는같은함수호출이므로 ), 몇가지차이가있다. User mode 에서 Native AP 호출 ZwXxxx 와 NtXxxxx 모두 NtXxxx 를호출한다. Previous mode 가 user 이며, valid check 가이루어진다. Kernel mode에서 NtXxxx 경우 Kernel Mode 에서 NtXxxx 호출. 직접 system service 호출한다 ( 실제 service code). Previous mode를바꾸지않는다. 그러므로 valid check 유무는 caller에의해서결정되어져온다. 그리고 previous mode 로의복구가이루어지지않는다. Kernel mode에서 ZwXxxx 경우 Kernel Mode 에서 ZwXxx 호출. INT 2E를통하여호출하기때문에여러가지처리 (INT 2E에서하는일 ) 코드가실행되며 Parameters 를 EDX를통하여받고, EAX를 index로이용하여 ServiceTable[EAX] 해당 system service를호출한다. Previous mode를 Kernel mode로두고처리한다. Kernel mode이기때문에여러유효성검사를하지않을것이다. 여기에서 attack Native API 의 looking around native API 1 부를마칠것이다. 다음 Attack Native API 2 부에서는 XP 와의차이점과지금까지우리가찾아낸내용들을 이용하여 Native API 를 Hooking 하여 OS 에서접근하는 file 들을모니터링해볼예정이다. 이컬럼을읽고 Native API 의개념과 ZwXxxx 와 NtXxxx 의차이점을이해했으면하는 바람이며조금이라도 system programmer 로서의내공이업되었으면좋겠다

10 기타질문사항은이메일을이용해주기바란다. 참고서적및사이트 Inside Windows 2000, Microsoft Press Undocumented Windows 2000 Secrets, Addison-wesley Windows NT/2000 NATIVE API REFERENCE, MTP

SSDT(System Service Descriptor Table) Hooking Written by 백구 Contack Me : 목차 가. 이문서의목적... 2 나. 유저모드와커널모드... 2 다. Windows API 흐름..

SSDT(System Service Descriptor Table) Hooking Written by 백구 Contack Me : whiteexplod@naver.com 목차 가. 이문서의목적... 2 나. 유저모드와커널모드... 2 다. Windows API 흐름... 2 1. User Level... 2 2-1. 소프트웨어인터럽트 0x2E에의한커널모드짂입방식...