PEB与EAT：Windows系统调用绕过技术详解<\/h1>

1. 核心概念<\/h2>

1.1 PEB（进程环境块）<\/h3>

定义<\/strong>：Windows为每个进程维护的核心数据结构，存储进程运行所需的环境信息<\/li>

功能<\/strong>：

记录已加载DLL模块列表<\/li>
堆内存使用情况<\/li>
进程启动参数<\/li>
调试信息<\/li> <\/ul> <\/li>
访问方式<\/strong>：

x86架构：通过fs:[0x30]<\/code>寄存器直接访问<\/li>
x64架构：通过gs:[0x60]<\/code>寄存器直接访问<\/li> <\/ul> <\/li> <\/ul> 1.2 EAT（导出地址表）<\/h3> 定义<\/strong>：DLL或EXE文件中的数据结构，记录模块对外提供的函数及其内存地址<\/li> 作用<\/strong>：充当"函数目录"，系统通过EAT定位DLL中的函数内存地址<\/li> 安全价值<\/strong>：绕过API钩子（避免使用被钩子的GetProcAddress<\/code>）<\/li> 动态函数解析<\/li> 增强代码隐蔽性<\/li> <\/ul> <\/li> <\/ul> 2. 技术原理<\/h2> 2.1 PEB与EAT组合使用<\/h3> 通过PEB定位目标DLL（如ntdll.dll<\/code>）基地址<\/li> 解析DLL的EAT，获取目标函数地址<\/li> 直接调用函数，绕过用户模式钩子<\/li> <\/ol> 2.2 间接系统调用机制<\/h3> 执行流程<\/strong>：避免直接查询ntdll.dll<\/code>中的系统调用存根<\/li> 运行时动态提取所需系统调用指令<\/li> 保持系统调用指令从ntdll.dll<\/code>内存空间执行<\/li> <\/ul> <\/li> 优势<\/strong>：调用堆栈显示ntdll.dll<\/code>位于顶部，增加合法性外观<\/li> <\/ul> 2.3 哈希值应用<\/h3> 目的<\/strong>：避免明文字符串检测，提高效率和隐蔽性<\/li> 哈希算法示例<\/strong>： DWORD hashString<\/span>(char<\/span>*<\/span> string) { <\/span><\/span> DWORD hash =<\/span> 0<\/span>; <\/span><\/span> while<\/span>(*<\/span>string) { <\/span><\/span> hash =<\/span> (hash >><\/span> 13<\/span>) |<\/span> (hash <<<\/span> 19<\/span>); \/\/ 循环移位 <\/span><\/span><\/span><\/span> hash +=<\/span> *<\/span>string; <\/span><\/span> string++<\/span>; <\/span><\/span> } <\/span><\/span> return<\/span> hash; <\/span><\/span>} <\/span><\/span><\/code><\/pre><\/li> <\/ul> 3. 实现细节<\/h2> 3.1 PEB模块遍历<\/h3> x64系统访问<\/strong>：GS寄存器指向TEB，TEB偏移0x60处存储PEB地址<\/li> 优势<\/strong>：避免使用GetCurrentProcess()<\/code>等可能被钩子的API<\/li> <\/ul> 3.2 字符串处理<\/h3> Unicode与ASCII转换<\/strong>： Windows内部使用Unicode字符串（宽字符）<\/li> 哈希算法需要ASCII字符串（窄字符）<\/li> <\/ul> <\/li> 转换函数关键点<\/strong>：边界安全检查<\/li> 宽字符到窄字符转换<\/li> 统一转换为小写保证哈希一致性<\/li> 正确添加字符串终止符<\/li> <\/ul> <\/li> <\/ul> 3.3 系统调用存根识别<\/h3> x64架构特征字节模式<\/strong>： 0x4c 0x8b 0xd1<\/code> = mov r10, rcx<\/code>（保存第一个参数）<\/li> 0xb8<\/code> = mov eax, [SSN]<\/code>（加载系统调用编号）<\/li> 0x00 0x00<\/code> = SSN高位（通常为0）<\/li> 0x0f 0x05<\/code> = syscall<\/code>指令<\/li> <\/ul> <\/li> <\/ul> 4. 高级绕过技术：Halos Gate<\/h2> 4.1 技术背景<\/h3> 问题<\/strong>：EDR不仅钩子GetModuleHandleA<\/code>和GetProcAddress<\/code>，还直接钩子Native API函数（如NtAllocateVirtualMemory<\/code>）<\/li> 解决方案<\/strong>：检测EDR钩子并通过扫描相邻syscall stubs找到干净系统调用指令<\/li> <\/ul> 4.2 实现原理<\/h3> 核心观察<\/strong>： ntdll.dll<\/code>中系统调用函数按顺序排列<\/li> 系统调用编号（SSN）连续<\/li> <\/ul> <\/li> 执行流程<\/strong>：检测目标函数是否被钩子（通过JMP指令识别）<\/li> 向上和向下扫描相邻函数（最多500个函数范围）<\/li> 通过字节模式匹配识别真正系统调用存根<\/li> 根据相邻函数的SSN推断被钩子函数的正确SSN<\/li> <\/ol> <\/li> <\/ul> 4.3 钩子检测方法<\/h3> \/\/ 检查函数开头是否包含JMP指令（常见钩子标志） <\/span><\/span><\/span><\/span>if<\/span>(memcmp(functionAddress, "<\/span>\xE9<\/span>"<\/span>, 1<\/span>) ==<\/span> 0<\/span> ||<\/span> <\/span><\/span> memcmp(functionAddress, "<\/span>\xFF\x25<\/span>"<\/span>, 2<\/span>) ==<\/span> 0<\/span>) { <\/span><\/span> \/\/ 检测到钩子，启动相邻扫描 <\/span><\/span><\/span><\/span>} <\/span><\/span><\/code><\/pre>5. 关键数据结构<\/h2> 5.1 PEB结构关键字段<\/h3> Ldr<\/strong>：指向PEB_LDR_DATA结构，包含已加载模块信息<\/li> ProcessHeap<\/strong>：进程堆信息<\/li> ProcessParameters<\/strong>：进程启动参数<\/li> <\/ul> 5.2 LDR_DATA结构<\/h3> InLoadOrderModuleList<\/strong>：按加载顺序排列的模块链表<\/li> InMemoryOrderModuleList<\/strong>：按内存顺序排列的模块链表<\/li> InInitializationOrderModuleList<\/strong>：按初始化顺序排列的模块链表<\/li> <\/ul> 5.3 LDR_MODULE结构<\/h3> BaseAddress<\/strong>：模块基地址<\/li> EntryPoint<\/strong>：模块入口点<\/li> SizeOfImage<\/strong>：模块映像大小<\/li> FullDllName<\/strong>：完整DLL路径（UNICODE_STRING）<\/li> BaseDllName<\/strong>：DLL基础名称（UNICODE_STRING）<\/li> <\/ul> 6. 对抗技术<\/h2> 6.1 检测规避<\/h3> API钩子检测<\/strong>：直接内存访问绕过用户模式钩子<\/li> 内存保护检测<\/strong>：动态解析函数地址，避免静态特征<\/li> <\/ul> 6.2 反分析技术<\/h3> 代码混淆<\/strong>：增加逆向工程难度<\/li> 哈希值应用<\/strong>：替代明文字符串，避免静态检测<\/li> 动态计算<\/strong>：运行时计算函数地址，避免硬编码<\/li> 随机化执行流程<\/strong>：增加行为分析难度<\/li> <\/ul> 6.3 反调试技术<\/h3> PEB调试标志检查<\/strong>：检测调试器附加状态<\/li> 时间检测<\/strong>：识别调试导致的执行延迟<\/li> <\/ul> 7. 工具与脚本<\/h2> 7.1 哈希计算工具<\/h3> 实现前述哈希算法<\/li> 支持Unicode\/ASCII字符串输入<\/li> <\/ul> 7.2 PEB分析工具<\/h3> 遍历并显示当前进程加载的所有模块<\/li> 提取模块基地址、大小和路径信息<\/li> <\/ul> 7.3 系统调用检测工具<\/h3> 识别系统调用存根特征字节模式<\/li> 提取系统调用编号（SSN）<\/li> <\/ul> 7.4 内存操作工具<\/h3> 安全的内存读写操作<\/li> 内存属性检测与修改<\/li> <\/ul> 8. 技术局限性<\/h2> EDR进阶检测<\/strong>：现代EDR可能钩子Native API函数本身，而不仅仅是加载函数<\/li> 性能开销<\/strong>：相邻函数扫描可能带来性能损耗<\/li> 版本兼容性<\/strong>：不同Windows版本函数排列可能变化<\/li> 误判风险<\/strong>：模式匹配可能错误识别非系统调用存根<\/li> <\/ol> 9. 总结<\/h2> PEB和EAT技术提供了绕过Windows用户模式安全检测的有效方法，通过直接内存访问和底层系统结构操作，实现了高级的API调用隐蔽性。Halos Gate技术进一步解决了Native API被钩子时的绕过问题，体现了在安全对抗中不断演进的技术思维。<\/p> 这些技术既可用于安全研究，也可能被恶意利用，因此理解其原理对于防御方同样重要。掌握这些底层机制有助于深入理解Windows系统内部工作原理，并开发更有效的安全防护方案。<\/p>