【网络通信安全管理员认证－中级】内核级后门Rootkit技术.ppt

《【网络通信安全管理员认证－中级】内核级后门Rootkit技术.ppt》由会员分享，可在线阅读，更多相关《【网络通信安全管理员认证－中级】内核级后门Rootkit技术.ppt（28页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、内核级后门内核级后门RootKitRootKit技术技术声 明本本PPTPPT原为在我们系讨论会上我所作的演讲，因原为在我们系讨论会上我所作的演讲，因CVCCVC里朋友们对里朋友们对RootkitRootkit技术的热爱与渴求，先把技术的热爱与渴求，先把PPTPPT放放出来，希望对有些朋友有所启发。其中有些敏感技出来，希望对有些朋友有所启发。其中有些敏感技术信息已删去，不过相信对有些朋友还是有用的。术信息已删去，不过相信对有些朋友还是有用的。PS:EST :PS:EST : CVC :CVC : 前 言什么是什么是 RootkitRootkit 此处只讨论基于此处只讨论基于WindowsWin

2、dows平台的平台的 RootkitRootkit与普通木马后门以及病毒的区别与普通木马后门以及病毒的区别RootkitRootkit宗旨：隐蔽宗旨：隐蔽 通信隐蔽、自启动项隐藏、文件隐藏、进程通信隐蔽、自启动项隐藏、文件隐藏、进程/模块隐藏、模块隐藏、注册表隐藏、服务隐藏、端口隐藏注册表隐藏、服务隐藏、端口隐藏 etc.etc.研究内核级后门研究内核级后门 RootkitRootkit 技术的必要性技术的必要性 事物两面性；信息战、情报战事物两面性；信息战、情报战 Rootkit技术发展1.1.Ring3(Ring3(用户态用户态)-Ring0(Ring0(核心态）核心态）2.2.MEP(M

3、odify Execution Path)MEP(Modify Execution Path)-DKOM(Direct DKOM(Direct Kernel Object Manipulation)Kernel Object Manipulation)3.3.越来越深入系统底层越来越深入系统底层,挖掘未公开系统内部数据结挖掘未公开系统内部数据结构构 4.4.非纯技术性的各种新思路非纯技术性的各种新思路.技术总揽 之 隐藏篇 MEP(Modify Execution Path)MEP(Modify Execution Path)行为拦截挂钩技术行为拦截挂钩技术 HooksHooks（挂钩、挂接的

4、意思）（挂钩、挂接的意思）:目的：拦截系统函数或相关处理例程，先转向我们自己的函数处理，这目的：拦截系统函数或相关处理例程，先转向我们自己的函数处理，这样就可以实现过滤参数或者修改目标函数处理结果的目的，实现进程、样就可以实现过滤参数或者修改目标函数处理结果的目的，实现进程、文件、注册表、端口之类的隐藏文件、注册表、端口之类的隐藏 HookHook技术分类：技术分类：Inline Hook(Inline Hook(比如修改目标函数前几个字节为比如修改目标函数前几个字节为jmpjmp至我们的函数至我们的函数)IAT (Import Address Table)IAT (Import Addres

5、s Table)SSDT(SSDT(KeServiceDescriptorKeServiceDescriptor Table)Table)IDT (Interrupt Descriptor Table)IDT (Interrupt Descriptor Table)Filter Driver(I/O Request Packet(IRP)Filter Driver(I/O Request Packet(IRP)Hook IRP Function Hook IRP Function，etcetc IAT HOOKImport Address TableTable Entry函数名 or 序号0

6、x11223344IAT HOOKTable EntryFunctionName or Ordinal0 x11223344Some DLLCODECODEIAT HOOK系统 DLLCODECODERootkit后门代码IAT HOOK系统 DLLCODECODERootkitBAD CODE技术总揽 隐藏篇 之 代码注入 Ring3Ring3Ring3Ring3:a.CreateRemoteThreada.CreateRemoteThread+WriteProcessMemoryWriteProcessMemory 1.1.线程注入线程注入 2.2.代码注入代码注入 b.SetWindow

7、sHookExb.SetWindowsHookEx c.HKLMSoftwareMicrosoftWindows c.HKLMSoftwareMicrosoftWindows NTNTCurrentVersionWindowsAppInit_DLLsCurrentVersionWindowsAppInit_DLLs d.Winlogond.Winlogon通知包通知包 e.e.感染感染PEPE文件（文件（1 1、全部插入、全部插入 2 2、感染、感染IAT IAT）f.f.DebugActiveProcessDebugActiveProcess+SetThreadContextSetThrea

8、dContext etc.(etc.(Activx,SPI,BHOActivx,SPI,BHO）Ring0Ring0Ring0Ring0:KeAttachProcessKeAttachProcess 技术总揽 隐藏篇 之 DKOMDKOM(Direct Kernel Object Manipulation)DKOM(Direct Kernel Object Manipulation)1.1.直接修改系统内核数据实现隐藏直接修改系统内核数据实现隐藏 2.2.因为是修改系统内核数据，所以要写驱动（或采用其他技因为是修改系统内核数据，所以要写驱动（或采用其他技巧）进入管态（巧）进入管态（Ring0)

9、Ring0)3.3.使用使用WinDbgWinDbg、SoftICESoftICE、IDA ProIDA Pro等工具自己挖掘未公开的等工具自己挖掘未公开的WindowsWindows系统内部结构，从而实现比较好的效果系统内部结构，从而实现比较好的效果4.4.对对WindowsWindows系统机制非常熟悉，前置课程系统机制非常熟悉，前置课程操作系统原理操作系统原理 技术总揽 之 非常规进Ring01.1.通过中断门通过中断门/任务门任务门/调用门调用门/内存映射等技巧内存映射等技巧(只适用只适用W Wn9x,n9x,比如比如CIH)CIH)2.2.DeviceDevicePhysicalMe

10、moryPhysicalMemory对象对象3.3.SetSystemInformationSetSystemInformation函数中函数中SystemLoadAndCallImageSystemLoadAndCallImage参数参数,加载驱动加载驱动4.4.感染感染HAL.DLLHAL.DLL或者或者Win32k.sysWin32k.sys等文件等文件,添加添加调用门调用门 5.5.常规调用操作常规调用操作WindowsWindows服务的函数加载驱动服务的函数加载驱动(因常规而不隐蔽因常规而不隐蔽)6.6.直接调用本机函数直接调用本机函数NtLoadDriverNtLoadDrive

11、r加载驱动加载驱动 技术总揽 之 自启动1.1.注册表中注册表中RunRun相关项相关项 2.2.相关相关iniini文件文件 3.3.BHO(BHO(浏览器插件浏览器插件)4.4.WinlogonWinlogon通知包通知包 5.5.SPI SPI 6.6.AvticvxAvticvx.7.7.注册为注册为WindowsWindows服务服务8.8.替换现有服务替换现有服务9.9.其他各种隐蔽的注册表项（知道的人少，但可利用的却很多其他各种隐蔽的注册表项（知道的人少，但可利用的却很多.).)10.10.感染系统文件感染系统文件11.11.写入硬盘写入硬盘/网卡固件网卡固件12.12.写入写入

12、BIOSBIOSEtcEtc 技术总揽 之 网络通信篇总之越底层越隐蔽总之越底层越隐蔽,穿透防火墙的几率就越高穿透防火墙的几率就越高A.1.1.1.1.代码注入代码注入代码注入代码注入到防火墙默认允许访问网络的系统进程到防火墙默认允许访问网络的系统进程(如如IE)IE)2.2.Hook Socket API Hook Socket API 或者或者 SPISPI技术技术 或基于或基于TDITDI等实现等实现端口复端口复用用3.3.TDITDI层面通信层面通信4.4.在在NDISNDIS层面上通信层面上通信 （pt,mppt,mp)难点：自己实现的细难点：自己实现的细节多，自己写节多，自己写TC

13、P/IPTCP/IP协议栈，当然也效果最好，能穿透软协议栈，当然也效果最好，能穿透软件防火墙件防火墙)B.httphttp隧道；伪装为隧道；伪装为DNSDNS协议包。为了穿透边界防火墙协议包。为了穿透边界防火墙 具体实现 之 进程隐藏1.1.代码注入（代码注入（DLLDLL注入，线程注入，进程注入注入，线程注入，进程注入),),实现实现无进程无进程无进程无进程2.2.挂钩应用层上的挂钩应用层上的Process32FirstProcess32First、Process32FirstProcess32First等函数等函数3.3.挂钩系统服务挂钩系统服务NtQuerySystemInformati

14、onNtQuerySystemInformation 4.4.从进程控制块中的活动进程链表（从进程控制块中的活动进程链表（ActiveProcessLinksActiveProcessLinks）中摘除自身中摘除自身 5.5.从从csrss.execsrss.exe进程中的句柄表中摘除自身进程中的句柄表中摘除自身6.6.挂钩挂钩SwapContextSwapContext，自己实现线程调度，自己实现线程调度7.7.从从PspCidTablePspCidTable表中摘除自身表中摘除自身 （此招目前能对付（此招目前能对付IceSwordIceSword等等AntiRootkitAntiRootk

15、it工具的检测）工具的检测）etcetc typedeftypedef structstruct _HANDLE_TABLE _HANDLE_TABLE PVOID PVOID p_hTablep_hTable;PEPROCESS PEPROCESS QuotaProcessQuotaProcess;PVOID PVOID UniqueProcessIdUniqueProcessId;EX_PUSH_LOCK EX_PUSH_LOCK HandleTableLockHandleTableLock 4;4;LIST_ENTRY LIST_ENTRY HandleTableListHandleTa

16、bleList;EX_PUSH_LOCK EX_PUSH_LOCK HandleContentionEventHandleContentionEvent;PHANDLE_TRACE_DEBUG_INFO PHANDLE_TRACE_DEBUG_INFO DebugInfoDebugInfo;DWORD DWORD ExtraInfoPagesExtraInfoPages;DWORD DWORD FirstFreeFirstFree;DWORD DWORD LastFreeLastFree;DWORD DWORD NextHandleNeedingPoolNextHandleNeedingPoo

17、l;DWORD DWORD HandleCountHandleCount;DWORD Flags;DWORD Flags;PsLookupProcessByProcessIdPsLookupProcessByProcessId:movmov ediedi,ediedi push push ebpebp movmov ebpebp,espesp push push ebxebx push push esiesi movmov eaxeax,large fs:124h,large fs:124h push ebp+arg_4 push ebp+arg_4 movmov esiesi,eaxeax

18、decdec dworddword ptrptr esi+0D4h esi+0D4h push push PspCidTablePspCidTable call call ExMapHandleToPointerExMapHandleToPointer 通过特征码搜索系统中PspCidTable地址具体实现 之 文件隐藏1.1.采用病毒技术，感染寄生于其他文件采用病毒技术，感染寄生于其他文件,实现无文件实现无文件2.2.挂钩应用层上的挂钩应用层上的FindFirstFileFindFirstFile、FindNextFirstFindNextFirst等函数等函数3.3.挂钩内核态中系统服务挂

19、钩内核态中系统服务ZwQueryDirectoryFileZwQueryDirectoryFile 4.4.文件过滤驱动文件过滤驱动 5.5.修改修改 FSD IRP FSD IRP FuctionFuction 函数地址，再对相关函数地址，再对相关IRPIRP处理处理.6.6.Inline Hook FSD Inline Hook FSD 相关例程，再对相关相关例程，再对相关IRPIRP处理处理.etcetc 类似地类似地具体实现具体实现 之之 注册表隐藏注册表隐藏.具体实现具体实现 之之 服务隐藏服务隐藏.具体实现具体实现 之之 模块隐藏模块隐藏.具体实现具体实现 之之 端口隐藏端口隐藏.

20、PSPSRK技术新挑战突破主动防御以及进程行为监控(绕过注册表监控、代码注入监控、驱动加载监控等)1.1.对付卡巴6、SSM、GSS等的方法2.2.突破各大比较强的防火墙的方法，ZoneAlarm，Outpost，Kerio，BlackICE，3.3.对付杀毒软件的通用方法.4.4.突破进程行为监控的终极通用方法.RK技术新挑战KOH技术.DEMO1我的与我的与RootkitRootkit相关的项目相关的项目(有关信息隐去）有关信息隐去）1.1.代号为代号为XXXXXXXX2.2.代号为代号为XXXX XXXX 3.3.代号为代号为XXXX XXXX（属于（属于Ring3Ring3新思路系统级

21、型新思路系统级型RootkitRootkit)4.4.代号为代号为XXXX XXXX（RootkitRootkit工具，能隐藏指定进程文件端口服务注册表等，并且结合相关底工具，能隐藏指定进程文件端口服务注册表等，并且结合相关底层技术能从系统底层对付杀毒软件层技术能从系统底层对付杀毒软件 )5.5.代号为代号为XXXX XXXX（属于（属于Ring0 Ring0 纯驱动级别内核级纯驱动级别内核级RootkitRootkit，包括网络通信部分，包括网络通信部分)重点：不光注重隐蔽性，还得注重稳定性，网络通信方面得考虑各种复杂的网络架构情况重点：不光注重隐蔽性，还得注重稳定性，网络通信方面得考虑各种

22、复杂的网络架构情况后续研究：通过写后续研究：通过写BIOSBIOS或者硬盘固件，后门硬件化，实现后门的高度隐蔽和长期生存，即使重或者硬盘固件，后门硬件化，实现后门的高度隐蔽和长期生存，即使重装系统，后门存在于目标电脑中装系统，后门存在于目标电脑中 DEMO2安全检测以及防范 时间关系，此话题这次不细谈了，有兴趣的话以后聊。时间关系，此话题这次不细谈了，有兴趣的话以后聊。不过上次讲的我那个入侵防护系统的进程行为监控模块就不过上次讲的我那个入侵防护系统的进程行为监控模块就能从源头防范。能从源头防范。参考资料1.1.http:/http:/2.2.Subverting the Windows KernelSubverting the Windows Kernel 3.3.RAIDE:RAIDE:R R R Rootkitootkit A A A Analysis nalysis IdIdIdIdentification Eliminationentification Elimination4.4.WindowsWindows防火墙与封包拦截技术防火墙与封包拦截技术谢谢观看