CCC-BASE驱动逆向：从反调试到内核线程检测的深度剖析

1. CCC-BASE驱动逆向的核心挑战

逆向分析CCC-BASE驱动时，最令人头疼的就是它那套复合型保护机制。我曾在分析22-03-14版本时发现，这个驱动就像个洋葱，剥开一层还有一层。它的保护措施主要分为三个层级：

• 用户层反调试：通过DebugPort清零、PEB检查等常见手段
• 内核层监控：定时线程扫描关键数据结构
• 硬件级防护：Intel PT和NMI中断这类核武器

最棘手的是它的动态检测策略。驱动会创建三个不同间隔的系统线程：10秒检查进程冻结计数，20秒扫描调试端口和隐藏线程，30秒执行内核调试器分离。这种多频率交叉检测让静态分析很容易漏掉关键点。

2. 反调试机制的逆向实战

2.1 用户层检测手段

在分析通信模块时，我发现驱动会通过符号链接A接收加密指令。解密后的数据包包含多种反调试检查：

// 伪代码示例 if (g_AntiDebugEnabled) { if (PsGetProcessDebugPort() != NULL) { TerminateProcess(ProtectedProcess); } if (CheckPebBeingDebugged()) { TerminateProcess(ProtectedProcess); } if (NtQueryProcessInformation(0x1F) > 5000) { TerminateProcess(ProtectedProcess); } }

特别要注意的是QueryProcessInformation 0x1F这个调用，它检查的是进程的未公开调试标志。我在WinDbg里用以下命令验证了这个行为：

bp nt!NtQueryProcessInformation "j (poi(esp+8)==0x1F) 'gc'; 'g'"

2.2 内核调试器分离

驱动每隔30秒会调用KdRefreshDebuggerNotPresent，这个函数会强制分离内核调试器。更狠的是它还会检查SharedUserData区域：

if (SharedUserData->KdDebuggerEnabled) { KeBugCheckEx(0xDEADDEAD, 0, 0, 0, 0); }

在逆向时，我建议用硬件断点监控这个内存区域：

ba r4 nt!KdDebuggerEnabled

3. 内核线程监控策略解析

3.1 定时检测线程

驱动初始化时会创建三个关键线程：

1. 10秒线程：枚举所有受保护进程的FreezeCount
2. 20秒线程：扫描DebugPort、ThreadHideFromDebugger标志
3. 30秒线程：执行内核调试器分离和VM检测

通过IDA的交叉引用，我定位到线程函数在sub_12345。关键是要注意它使用了KeDelayExecutionThread实现定时：

LARGE_INTEGER interval; interval.QuadPart = -10 * 1000 * 1000 * 10; // 10秒 while (1) { KeDelayExecutionThread(KernelMode, FALSE, &interval); // 检测逻辑... }

3.2 线程栈检测

驱动还会检查线程的调用栈是否异常。它会遍历ETHREAD的StackBase和StackLimit，验证返回地址是否在合法模块内。这个检测可以用以下方法绕过：

mov rsp, [gs:0x1A8] // 恢复原始RSP

4. 不常见检测手段剖析

4.1 Intel PT技术应用

驱动会利用Intel Processor Trace来监控执行流。当检测到RIP在受保护进程空间内异常跳转时，会触发记录机制。在IDA中可以看到这样的代码：

if (cpuid(0x14,0).eax & 0x1) { wrmsr(0x570, &TraceBuffer); wrmsr(0x571, TraceControlValue); }

应对方法是关闭PTT功能位：

!msr 0x570 0 !msr 0x571 0

4.2 NMI中断陷阱

驱动注册了NMI回调函数，当检测到调试行为时会触发蓝屏。逆向时发现它修改了IDT表：

KeGetPcr()->IDT[2] = NewNmiHandler;

安全的研究方式是在虚拟机中挂接NMI处理：

import vmm vmm.set_nmi_handler(my_handler)

5. 内存与对象监控

5.1 MDL映射检测

驱动会监控MiDeadPteTrackerSListHead链表，这是MDL释放后的跟踪机制。逆向时发现这样的代码：

PMMPTE DeadPte = MiDeadPteTrackerSListHead; while (DeadPte) { if (DeadPte->u.Hard.Protection == PROTECTED_PAGE) { ReportViolation(); } DeadPte = DeadPte->NextEntry; }

5.2 页表Hook技巧

驱动在非KPTI系统上会替换页表项来监控CR3访问。这个技术在Win10 17763上会引发蓝屏，代码逻辑如下：

if (!KptiEnabled) { NewCr3 = BuildFakePageTable(); __writecr3(NewCr3); MonitorCr3Access(); }

6. 系统信息收集策略

驱动会枚举关键驱动模块如ataport.sys、storport.sys等，通过符号链接B返回采集的数据。逆向时发现它使用了ZwQuerySystemInformation的多个未公开类型：

ZwQuerySystemInformation(0xB, &DriverInfo, sizeof(DriverInfo), NULL);

这种检测可以通过Hook系统调用或伪造驱动信息来绕过。

7. 符号链接B的隐藏功能

符号链接B提供了多个危险的操作接口，我发现了两个特别值得关注的：

1. 取消APC：通过修改ETHREAD的SchedulerApc实现

   mov qword ptr [rax+_ETHREAD.SchedulerApc], 0xC3 // ret指令

2. VAD属性修改：可以绕过内存保护

   Vad->Protection = PAGE_EXECUTE_READWRITE;

这些接口的存在说明驱动具有极强的系统控制能力，也暴露出潜在的安全风险。