普及文NT內(nèi)核簡(jiǎn)介HIPS與現(xiàn)代木馬

實(shí)用標(biāo)準(zhǔn)文案[普及文NT內(nèi)核簡(jiǎn)介——HIPS與現(xiàn)代木馬序言--------------------------------------------------------------------很多年前，安全軟件不像現(xiàn)在這樣復(fù)雜。在3打。著T內(nèi)核的大范圍普及(2000/XP......)一種新興的木馬——Rootkit型木馬誕生了。Rootkit的本義并不指木馬，其意義與其本義相比有所引申，但是大量的木馬使用了Rootkit技術(shù)）是akrDfnrhxe10來(lái)。，，，這些木馬一度讓當(dāng)時(shí)的殺軟束手無(wú)策，用戶更是摸不著頭腦，因?yàn)槌Ｒ?guī)檢測(cè)方法已經(jīng)無(wú)法發(fā)現(xiàn)它們了。于是，一類叫作RK的工發(fā)，ARK——AntiRoit，反Rokt工具時(shí)內(nèi)是cwodDrSy等在則是Rotr些RK工具同樣使用了Rootkit技術(shù)，于是能夠發(fā)現(xiàn)Rootkit木馬的蹤跡而一些殺軟為了遏制Rootkit木馬也在自己的殺軟中應(yīng)用了Rootkit技術(shù)。同時(shí)越來(lái)越復(fù)雜的文件加殼技術(shù)使傳統(tǒng)特征碼殺毒引擎捉襟見(jiàn)肘許多殺軟一的HS表的HIS工具也開始逐漸應(yīng)用Rootkit技術(shù)，如WinPatrol、SSM。精彩文檔實(shí)用標(biāo)準(zhǔn)文案時(shí)至今日Rootkit木是t了t昭某"XX上"中也應(yīng)了ookt術(shù)。以的"現(xiàn)代馬"均指ootit木馬.-------------------------------------------------------------正文現(xiàn)代馬如隱藏身？HIS如何監(jiān)視系統(tǒng)動(dòng)作?：接口。：電任。板要要其處理這的話會(huì)影機(jī)人就有個(gè)。另一例個(gè)主任領(lǐng)個(gè)想知誰(shuí)有作業(yè)并需一一本的翻他需要學(xué)委這“接”訴:“要作業(yè)。后，學(xué)習(xí)員不自己自本去他只告各課代這“口告訴他你去計(jì)一各作科課表去訴一層口—報(bào)。精彩文檔實(shí)用標(biāo)準(zhǔn)文案這樣班主任不費(fèi)力氣的就統(tǒng)計(jì)完了作業(yè)整個(gè)過(guò)程每個(gè)人都只負(fù)責(zé)解釋上一層的命令給下一層，直到最底層去執(zhí)行命令。那么現(xiàn)在開始簡(jiǎn)介T核:拿我常用下載具迅來(lái)說(shuō).如果沒(méi)有口,當(dāng)迅雷存文的時(shí)，就先把文轉(zhuǎn)成2進(jìn)制然后算當(dāng)可用空開始磁盤第幾面...第幾扇區(qū)之類詳細(xì)息，后檢分區(qū)文件統(tǒng)是么,檢查完以后,針對(duì)相應(yīng)文件系統(tǒng)用不的記方式,甚至需要檢硬盤品牌,然后使用應(yīng)控制流來(lái)讓硬將指區(qū)域小磁磁化成"1"或"0"現(xiàn)在來(lái)看一幅WindowsNT內(nèi)核的示意圖：（細(xì)節(jié)部分并沒(méi)有詳細(xì)畫出，這幅圖畫出了WindowsNT內(nèi)核操作系統(tǒng)中，應(yīng)用程序執(zhí)行某些操作時(shí)的基本流程圖）。當(dāng)有了接,迅雷只需要調(diào)用相應(yīng)的Win32API,告訴系統(tǒng),文件的位置和內(nèi)容,然后Win32API被Windows系續(xù)釋成NativeAP,經(jīng)過(guò)用KStmrie序,在ST到tWiFle置,然續(xù)調(diào)用,一指令,傳給動(dòng)FD,在這之前,如果有精彩文檔實(shí)用標(biāo)準(zhǔn)文案過(guò)濾驅(qū)動(dòng),那么先通過(guò)過(guò)濾驅(qū)動(dòng),由過(guò)濾驅(qū)動(dòng)一層層解釋給下一層,最后達(dá)到FSD層,之后被進(jìn)一步解釋,直至解釋成控制硬盤讀寫的電流.每個(gè)接口要做的都只是把上一層命令解釋給下一層接口,最終難以直接使用的電流控制可以用一條簡(jiǎn)單易記的接口調(diào)用來(lái)實(shí)現(xiàn).因而編寫軟件才顯得如此容易.x86的處理器主要是Intel\AMD的主流處理,可以存在四個(gè)運(yùn)行級(jí)別ring0-3,WindowsNT系列系統(tǒng)(XP/2003......)使用其中的兩,就是ring3和rng0個(gè),用戶序行于ring3級(jí)別而ring3別的程不被允直接訪硬件,這樣一方面是為了止程序誤的操作導(dǎo)致系統(tǒng)崩潰者硬件障.對(duì)應(yīng)的,系統(tǒng)內(nèi)核運(yùn)行于ring0級(jí)別擁有對(duì)全部?jī)?nèi)存區(qū)域的訪問(wèn)特,也可以直接訪問(wèn)硬.現(xiàn)在入運(yùn)級(jí)別概念,再重新看一這幅圖:可能有些亂,我們來(lái)整理下.(以下的"函數(shù)",通通替換"功能",以方解.)1.首先,應(yīng)用程序產(chǎn)生一個(gè)請(qǐng)比如他要修改注冊(cè),那么他調(diào)用Win32API接口中的注冊(cè)表操作相關(guān)功.(RegOpenKey等等,用al的相應(yīng)能.Win32PI能要于enl2.llavai2.llue32dlldi2dll等庫(kù)中)精彩文檔實(shí)用標(biāo)準(zhǔn)文案2.advapi32.dll中功受調(diào)用,于是繼解而用ndl.ll的能(NativeAPI接口).(NativeAPI有功封于tlldl,是l并不是真的行者,他的任只將用傳內(nèi)核.)3ddl中的能到用(NtCreteey等等),于是他把對(duì)應(yīng)的功能編號(hào)存入eax寄存器,然后使用YSENTER指令,導(dǎo)致"自陷"(早期使用觸發(fā)Int2e中斷的方式,不過(guò)他們的效果是一樣的),KiSystemService處理程序?qū)⑦\(yùn)行.這個(gè)像你銀行取錢,你把存單到玻下面凹槽去,然后叫員,他會(huì)把存取走,然后給你錢,看起來(lái)是你出了錢,但事實(shí)是銀內(nèi)部出的錢.ntdl.dll就是取錢,他把能代號(hào)(存單放到eax寄存器里玻璃下方的凹槽,發(fā)K(叫柜員),柜員就會(huì)去實(shí)際處理交易(執(zhí)行對(duì)應(yīng)功能).)4.KiSystemService從eax寄存器里取出功能代在一種叫做SDT的結(jié)構(gòu)中查找對(duì)應(yīng)的NatveAI數(shù),這種構(gòu)在統(tǒng)一共有4個(gè),其中個(gè)做ST,位于ntoskrnl.exe(者)中,置,件操作,注冊(cè)表操作,進(jìn)程操作等.還有一個(gè)叫做ShadowT,于s中,能,能,置較"殊能,個(gè)T留,說(shuō),創(chuàng)造T能.）精彩文檔實(shí)用標(biāo)準(zhǔn)文案5.找到位置后調(diào)用該功也就是內(nèi)核中關(guān)于該功能的實(shí)際操作被執(zhí),當(dāng),之后還是一層又一層的接,但通常情況,這里已經(jīng)是易于控制的最后一層接某些高木馬用了Obectook,也就是說(shuō)存在更底層接口被控的可能)對(duì)于注冊(cè)表操作,他們會(huì)被釋成Cm****系列功能,作.6.最后對(duì)一類特殊的調(diào)用進(jìn)行解那就是調(diào)用驅(qū)動(dòng)程序?qū)?很多功能最后會(huì)涉及到硬件操,比如寫文.寫文件的時(shí),系統(tǒng)會(huì)調(diào)用文件系統(tǒng)驅(qū)FS,之動(dòng)(DrDr,那么動(dòng),并后,最動(dòng)(FSD),SD是易于控制文件操作的最低一層接.前面那個(gè)例子,注冊(cè)表修改的操作最終被解釋為寫文件的操作因?yàn)樾薷淖?cè)表的本質(zhì)是修改ie件),過(guò),并由D步解釋,繼口.這樣明白了,在這些調(diào)的傳過(guò)程中,任何一個(gè)節(jié)到了斷都可能致失敗.而通過(guò)"掛鉤"這些關(guān)鍵功能,就可以實(shí)現(xiàn)對(duì)些功的控制.掛鉤有很多方,但是目的只有一,就是---比原功能更早獲得通,然后自行決定要不要繼續(xù)把他傳遞下,或者自行決定要不要把包含不利信息的結(jié)果傳遞回去.(就相當(dāng)于你冒充學(xué)習(xí)委,班主任讓你查作,你讓真正的學(xué)習(xí)委員去查作,真正的學(xué)習(xí)委員給你報(bào)了一串名,里面有,你把自己的字掉,再交給班任.這樣可躲檢查.)精彩文檔實(shí)用標(biāo)準(zhǔn)文案比如現(xiàn)代木馬隱藏自身,他們可以修改SSDT中的文件操作功能的位置(Nt****File系列功能,己,能,返時(shí),他可.圖,回時(shí),其己(子),應(yīng)用程序自然也就不知道灰鴿子的存在了.[置"鉤子"的多擇2I鉤,鉤l函數(shù),的,于ring3別么?,是說(shuō),過(guò),或除.所以多數(shù)選擇在SDT/hadowSDT下鉤,或者安文件濾驅(qū)等等,這些作受到ring0護(hù)知,改.(更高級(jí)的還有ObjectHook)同理,IS類軟件使用和現(xiàn)代木馬一樣的手段,實(shí)現(xiàn)對(duì)于關(guān)鍵動(dòng)作的監(jiān)控.圖:SSM監(jiān)控機(jī)事件方法掛鉤ativeAI:NtShutdowSyste.精彩文檔實(shí)用標(biāo)準(zhǔn)文案最后還有一個(gè)疑問(wèn),一個(gè)程序怎么才能獲得ring0的運(yùn)行級(jí)方法有很多,可以通過(guò)安裝驅(qū)動(dòng)態(tài)加載或者靜態(tài)寫注冊(cè)表服務(wù),作]設(shè)門,修改win2k.sys,以及NtVmControl,ZSetSytemInformaton等等等等,方法層出不窮.當(dāng)現(xiàn)木馬和IS都具有ring0級(jí)別時(shí),們間公的,現(xiàn)代馬可輕易繞過(guò)HPS的監(jiān)控,或者徹底破壞HIP.所以,無(wú)論代還是IS,一旦獲得ring0級(jí)別,就會(huì)全封通往ring0的道路比如SSM安裝好之后會(huì)阻加載驅(qū)動(dòng),阻止注表服鍵等等.現(xiàn)代木馬一樣,運(yùn)行后多會(huì)止載驅(qū)動(dòng),防止IS者ARK進(jìn)入ring0,這樣也就是說(shuō),誰(shuí)先了ring0,就會(huì)阻止別人進(jìn)來(lái),如代經(jīng)了,差不只過(guò)操來(lái)他了.最后,不得提到是內(nèi)操作危險(xiǎn)性.多種HIPS或者木馬并存時(shí),都會(huì)下,有可