边学习边更新这专题,随手记录一下用到的思路,给自己看的(所以读者看可能有些懵,不好意思...)
RootKit随手记(一)RootKit的驱动隐藏、读取配置、卸载安装
一、驱动隐藏
1. 隐藏原理
一款好的ROOTKIT一定会隐藏自己,检测驱动时经过一串链表,该链表的结点在 DRIVER_OBJECT->DriverSection 中,数据结构如下图。
kd> dt _DRIVER_OBJECT
ntdll!_DRIVER_OBJECT
+0x000 Type : Int2B
+0x002 Size : Int2B
+0x004 DeviceObject : Ptr32 _DEVICE_OBJECT
+0x008 Flags : Uint4B
+0x00c DriverStart : Ptr32 Void
+0x010 DriverSize : Uint4B
+0x014 DriverSection : Ptr32 Void
+0x018 DriverExtension : Ptr32 _DRIVER_EXTENSION
DriverSection指向了一个_LDR_DATA_TABLE_ENTRY结构体,该结构体我们在模块隐藏那里了解过.
这是R0环的地址,所以存储的是R0环的模块(驱动文件等),与R3环的dll.exe文件可能不同。
kd> dt _LDR_DATA_TABLE_ENTRY
ntdll!_LDR_DATA_TABLE_ENTRY
+0x000 InLoadOrderLinks : _LIST_ENTRY
+0x008 InMemoryOrderLinks : _LIST_ENTRY
+0x010 InInitializationOrderLinks : _LIST_ENTRY
因此,我们采用断链就很好的隐藏。
PDRIVER_DATA pDriverData = (PDRIVER_DATA)((DWORD32)pDriverObject + 20);
if (pDriverData != NULL) {
// 从链表中删除该模块
pDriverData->listEntry.Blink->Flink = pDriverData->listEntry.Flink; // 后一个的前指针指向前一个
pDriverData->listEntry.Flink->Blink = pDriverData->listEntry.Blink; // 前一个的后指针指向后一个
}
2. 反制手段
清除一个设备条目,将会被anti-rootkit发现。可以采用挂钩内核函数来检测设备驱动的不一致性。
3.反反制手段
可以通过修改原内核函数之前将条目增加保存到设备驱动链表中,再调用原内核函数之后将列表条目清楚的方法,欺骗anti-rootkit软件。
二、配置文件
1.ADS介绍:NTFS ADS的前世今生
下面内容可能是错误的,有误导性,请注意!
我们对磁盘文件结构暂时还不太熟悉,就先了解一下,日后再来深究一下。
举个例子:
rootkit必须和控制者服务器建立连接,此时就需要IP地址:xxx.xxx.xxx.xxx:yyyyy,此时该地址必须要被保存在一个文件中。
我们可以通过ADS技术直接将该地址写入文件中,并不需要直接打开该文件(因为直接打开写入文件时内核所发现)。
我们只需要使用" echo 写入内容 > 写入文件”,即可将配置写入文件中。
2.读取配置文件
使用 ZwCreateFile 函数获取文件内核句柄,其一个参数 ioStatusBlock,存储返回结果以及返回要读取的IO字符串数字。
使用 ZwWriteFile 函数来读取内容 / 使用 ZwWriteFile 函数来向文件写入内容。
使用 ZwClose 函数来关闭文件句柄。
三、安装与卸载
经过一与二,我们已经建立起了一个基本的“RootKit”,其具有基本的“隐藏自己”和“配置自己”的功能。
下面介绍一下如何开启自己的服务:
因此我们要建立一个R3环的SCMLoader与SCMUnLoader程序来进行处理:
- SCMLoader程序处理步骤:
1)使用该函数 OpenSCManager建立一个连接。
2)使用 CreateService 将服务名MyDeviceDriver 与 驱动文件 c:\comint32.sys 建立链接。
- SCMUnloader程序处理步骤:
1)使用 OpenService 函数打开已经创建好的服务。
2)使用 ControlService 来修改其属性 SERVICE_CONTROL_STOP,之后将服务句柄关闭。
3)当内核检测该句柄值为零且没有程序调用,其会删除。
- RootKit安装与卸载步骤 在cmd下
1)运行 SCMLoader.exe程序,在系统中注册一服务MyDeviceDriver并于ghost.sys绑定。
2)使用命令 net start MyDeviceDriver 开启服务,之后驱动会开始运行。
3)使用 net stop MyDeviceDriver 来关闭驱动。
4)使用 SCMUnloader 来关闭程序。
注意:必须将Driver.exe这个程序一起打包放在C:下,否则系统会蓝屏死机。
其应该作为一个驱动启动程序,具体什么作用自己也不太清楚。
现在这里标记一下,弄懂之后回来补上。