普及文NT內(nèi)核簡介HIPS與現(xiàn)代木馬

實用標(biāo)準(zhǔn)文案[普及文NT內(nèi)核簡介——HIPS與現(xiàn)代木馬序言--------------------------------------------------------------------很多年前，安全軟件不像現(xiàn)在這樣復(fù)雜。在3打。著T內(nèi)核的大范圍普及(2000/XP......)一種新興的木馬——Rootkit型木馬誕生了。Rootkit的本義并不指木馬，其意義與其本義相比有所引申，但是大量的木馬使用了Rootkit技術(shù)）是akrDfnrhxe10來。，，，這些木馬一度讓當(dāng)時的殺軟束手無策，用戶更是摸不著頭腦，因為常規(guī)檢測方法已經(jīng)無法發(fā)現(xiàn)它們了。于是，一類叫作RK的工發(fā)，ARK——AntiRoit，反Rokt工具時內(nèi)是cwodDrSy等在則是Rotr些RK工具同樣使用了Rootkit技術(shù)，于是能夠發(fā)現(xiàn)Rootkit木馬的蹤跡而一些殺軟為了遏制Rootkit木馬也在自己的殺軟中應(yīng)用了Rootkit技術(shù)。同時越來越復(fù)雜的文件加殼技術(shù)使傳統(tǒng)特征碼殺毒引擎捉襟見肘許多殺軟一的HS表的HIS工具也開始逐漸應(yīng)用Rootkit技術(shù)，如WinPatrol、SSM。精彩文檔實用標(biāo)準(zhǔn)文案時至今日Rootkit木是t了t昭某"XX上"中也應(yīng)了ookt術(shù)。以的"現(xiàn)代馬"均指ootit木馬.-------------------------------------------------------------正文現(xiàn)代馬如隱藏身？HIS如何監(jiān)視系統(tǒng)動作?：接口。：電任。板要要其處理這的話會影機(jī)人就有個。另一例個主任領(lǐng)個想知誰有作業(yè)并需一一本的翻他需要學(xué)委這“接”訴:“要作業(yè)。后，學(xué)習(xí)員不自己自本去他只告各課代這“口告訴他你去計一各作科課表去訴一層口—報。精彩文檔實用標(biāo)準(zhǔn)文案這樣班主任不費力氣的就統(tǒng)計完了作業(yè)整個過程每個人都只負(fù)責(zé)解釋上一層的命令給下一層，直到最底層去執(zhí)行命令。那么現(xiàn)在開始簡介T核:拿我常用下載具迅來說.如果沒有口,當(dāng)迅雷存文的時，就先把文轉(zhuǎn)成2進(jìn)制然后算當(dāng)可用空開始磁盤第幾面...第幾扇區(qū)之類詳細(xì)息，后檢分區(qū)文件統(tǒng)是么,檢查完以后,針對相應(yīng)文件系統(tǒng)用不的記方式,甚至需要檢硬盤品牌,然后使用應(yīng)控制流來讓硬將指區(qū)域小磁磁化成"1"或"0"現(xiàn)在來看一幅WindowsNT內(nèi)核的示意圖：（細(xì)節(jié)部分并沒有詳細(xì)畫出，這幅圖畫出了WindowsNT內(nèi)核操作系統(tǒng)中，應(yīng)用程序執(zhí)行某些操作時的基本流程圖）。當(dāng)有了接,迅雷只需要調(diào)用相應(yīng)的Win32API,告訴系統(tǒng),文件的位置和內(nèi)容,然后Win32API被Windows系續(xù)釋成NativeAP,經(jīng)過用KStmrie序,在ST到tWiFle置,然續(xù)調(diào)用,一指令,傳給動FD,在這之前,如果有精彩文檔實用標(biāo)準(zhǔn)文案過濾驅(qū)動,那么先通過過濾驅(qū)動,由過濾驅(qū)動一層層解釋給下一層,最后達(dá)到FSD層,之后被進(jìn)一步解釋,直至解釋成控制硬盤讀寫的電流.每個接口要做的都只是把上一層命令解釋給下一層接口,最終難以直接使用的電流控制可以用一條簡單易記的接口調(diào)用來實現(xiàn).因而編寫軟件才顯得如此容易.x86的處理器主要是Intel\AMD的主流處理,可以存在四個運行級別ring0-3,WindowsNT系列系統(tǒng)(XP/2003......)使用其中的兩,就是ring3和rng0個,用戶序行于ring3級別而ring3別的程不被允直接訪硬件,這樣一方面是為了止程序誤的操作導(dǎo)致系統(tǒng)崩潰者硬件障.對應(yīng)的,系統(tǒng)內(nèi)核運行于ring0級別擁有對全部內(nèi)存區(qū)域的訪問特,也可以直接訪問硬.現(xiàn)在入運級別概念,再重新看一這幅圖:可能有些亂,我們來整理下.(以下的"函數(shù)",通通替換"功能",以方解.)1.首先,應(yīng)用程序產(chǎn)生一個請比如他要修改注冊,那么他調(diào)用Win32API接口中的注冊表操作相關(guān)功.(RegOpenKey等等,用al的相應(yīng)能.Win32PI能要于enl2.llavai2.llue32dlldi2dll等庫中)精彩文檔實用標(biāo)準(zhǔn)文案2.advapi32.dll中功受調(diào)用,于是繼解而用ndl.ll的能(NativeAPI接口).(NativeAPI有功封于tlldl,是l并不是真的行者,他的任只將用傳內(nèi)核.)3ddl中的能到用(NtCreteey等等),于是他把對應(yīng)的功能編號存入eax寄存器,然后使用YSENTER指令,導(dǎo)致"自陷"(早期使用觸發(fā)Int2e中斷的方式,不過他們的效果是一樣的),KiSystemService處理程序?qū)⑦\行.這個像你銀行取錢,你把存單到玻下面凹槽去,然后叫員,他會把存取走,然后給你錢,看起來是你出了錢,但事實是銀內(nèi)部出的錢.ntdl.dll就是取錢,他把能代號(存單放到eax寄存器里玻璃下方的凹槽,發(fā)K(叫柜員),柜員就會去實際處理交易(執(zhí)行對應(yīng)功能).)4.KiSystemService從eax寄存器里取出功能代在一種叫做SDT的結(jié)構(gòu)中查找對應(yīng)的NatveAI數(shù),這種構(gòu)在統(tǒng)一共有4個,其中個做ST,位于ntoskrnl.exe(者)中,置,件操作,注冊表操作,進(jìn)程操作等.還有一個叫做ShadowT,于s中,能,能,置較"殊能,個T留,說,創(chuàng)造T能.）精彩文檔實用標(biāo)準(zhǔn)文案5.找到位置后調(diào)用該功也就是內(nèi)核中關(guān)于該功能的實際操作被執(zhí),當(dāng),之后還是一層又一層的接,但通常情況,這里已經(jīng)是易于控制的最后一層接某些高木馬用了Obectook,也就是說存在更底層接口被控的可能)對于注冊表操作,他們會被釋成Cm****系列功能,作.6.最后對一類特殊的調(diào)用進(jìn)行解那就是調(diào)用驅(qū)動程序?qū)?很多功能最后會涉及到硬件操,比如寫文.寫文件的時,系統(tǒng)會調(diào)用文件系統(tǒng)驅(qū)FS,之動(DrDr,那么動,并后,最動(FSD),SD是易于控制文件操作的最低一層接.前面那個例子,注冊表修改的操作最終被解釋為寫文件的操作因為修改注冊表的本質(zhì)是修改ie件),過,并由D步解釋,繼口.這樣明白了,在這些調(diào)的傳過程中,任何一個節(jié)到了斷都可能致失敗.而通過"掛鉤"這些關(guān)鍵功能,就可以實現(xiàn)對些功的控制.掛鉤有很多方,但是目的只有一,就是---比原功能更早獲得通,然后自行決定要不要繼續(xù)把他傳遞下,或者自行決定要不要把包含不利信息的結(jié)果傳遞回去.(就相當(dāng)于你冒充學(xué)習(xí)委,班主任讓你查作,你讓真正的學(xué)習(xí)委員去查作,真正的學(xué)習(xí)委員給你報了一串名,里面有,你把自己的字掉,再交給班任.這樣可躲檢查.)精彩文檔實用標(biāo)準(zhǔn)文案比如現(xiàn)代木馬隱藏自身,他們可以修改SSDT中的文件操作功能的位置(Nt****File系列功能,己,能,返時,他可.圖,回時,其己(子),應(yīng)用程序自然也就不知道灰鴿子的存在了.[置"鉤子"的多擇2I鉤,鉤l函數(shù),的,于ring3別么?,是說,過,或除.所以多數(shù)選擇在SDT/hadowSDT下鉤,或者安文件濾驅(qū)等等,這些作受到ring0護(hù)知,改.(更高級的還有ObjectHook)同理,IS類軟件使用和現(xiàn)代木馬一樣的手段,實現(xiàn)對于關(guān)鍵動作的監(jiān)控.圖:SSM監(jiān)控機(jī)事件方法掛鉤ativeAI:NtShutdowSyste.精彩文檔實用標(biāo)準(zhǔn)文案最后還有一個疑問,一個程序怎么才能獲得ring0的運行級方法有很多,可以通過安裝驅(qū)動態(tài)加載或者靜態(tài)寫注冊表服務(wù),作]設(shè)門,修改win2k.sys,以及NtVmControl,ZSetSytemInformaton等等等等,方法層出不窮.當(dāng)現(xiàn)木馬和IS都具有ring0級別時,們間公的,現(xiàn)代馬可輕易繞過HPS的監(jiān)控,或者徹底破壞HIP.所以,無論代還是IS,一旦獲得ring0級別,就會全封通往ring0的道路比如SSM安裝好之后會阻加載驅(qū)動,阻止注表服鍵等等.現(xiàn)代木馬一樣,運行后多會止載驅(qū)動,防止IS者ARK進(jìn)入ring0,這樣也就是說,誰先了ring0,就會阻止別人進(jìn)來,如代經(jīng)了,差不只過操來他了.最后,不得提到是內(nèi)操作危險性.多種HIPS或者木馬并存時,都會下,有可