STATUS_INVALID_IMAGE_HASH (0xc0000428) auf gültige PE-Dateien

Question

Ich habe versucht, die DLL-Datei "bcryptprimitives.dll" (die in meinem Fall ursprünglich sitzt unter "C: \ Windows \ syswow64 \ bcryptprimitives.dll") von einem anderen Ort, mit diesem Code-snippet:

LoadLibraryW(L"<altered path>\\bcryptprimitives.dll"); 

jedoch direkt nach dieser Zeile Code ausführen bekomme ich folgende Fehlermeldung:

C: \ Program Files (x86) \ Notepad ++ \ bcryptprimitives.dll ist entweder nicht entworfen, um unter Windows zu laufen, oder es enthält einen Fehler. Versuchen Sie, das Programm erneut auf dem ursprünglichen Installationsmedium zu installieren, oder wenden Sie sich an den Systemadministrator oder den Softwarehersteller, um Unterstützung zu erhalten. Fehlerstatus 0xc0000428.

Ich suchte den 0xc0000428 NTSTATUS im folgenden Wörterbuch: https://msdn.microsoft.com/en-us/library/cc704588.aspx und anscheinend dieser Status bedeutet STATUS_INVALID_IMAGE_HASH.

Der Fehler zuerst macht Sinn, weil ich das "LoaderFlags" -Feld in der Image-PE-Header von 0x00000000 zu 0x00000001 geändert hat (was nichts zu beeinflussen hat, weil dieses Feld veraltet ist), aber obwohl ich geändert habe Feld, reparierte ich die PE-Prüfsumme.

Wie Sie sehen können:

jedoch Loadlibrary weigert sich immer noch die DLL zu laden. Tauchen tief in ntdll zeigt, dass der Fehler von Kernel zurückgegeben:

Es lässt mich denken, dass die DLL irgendwie unterzeichnet und die Kernel überprüft, ob die DLL geändert wurde. Also zu meinem Punkt, wie kann ich diese DLL sowieso von einem anderen Ort laden und die Zeichenprüfung entfernen?

Answer 1

Wenn eine DLL signiert ist, wird durch das Ändern eines einzelnen Bytes in der Datei die Signatur ungültig. Es scheint, dass Sie genau das tun, indem Sie den PE-Header ändern.

This blog post könnte für einen tieferen Einblick von Interesse sein, wie diese Technik funktioniert:

Code Integrity is a feature that improves the security of the operating system by validating the integrity of a driver or system file each time it is loaded into memory. Code Integrity detects whether an unsigned driver or system file is being loaded into the kernel, or whether a system file has been modified by malicious software that is being run by a user account with administrative permissions. On x64-based versions of the operating system, kernel-mode drivers must be digitally signed.

Answer 2

Gefunden eine schnelle Lösung:

DWORD dwIndex = 0; 

hFile = CreateFileW(L"C:\\Program Files (x86)\\Notepad++\\bcryptprimitives.dll", FILE_READ_DATA | FILE_WRITE_DATA, 0, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL); 

while (ImageRemoveCertificate(hFile, dwIndex)) 
{ 
    ++dwIndex; 
} 

LoadLibraryW(L"C:\\Program Files (x86)\\Notepad++\\bcryptprimitives.dll"); 

Es ist wie ein Zauber funktioniert :)

So funktioniert die API:

• 1. Berechnen Sie den Versatz des Endes des letzten Abschnitts.
• 2. Entfernen Sie alle Daten, die diesem Abschnitt folgen.
• 3. Entfernen Sie das Sicherheitsdatenverzeichnis.
• 4. Verkleinern Sie das Bild.
• 5. Berechnen einer aktualisierten Prüfsumme des PE.