一种基于内存搜索的进程检测方法.pdfVIP

2009 年第5 期 前置知识：VC 关键词：编程、内存搜索、进程检测 一种基于内存搜索的进程检测方法 文/ 图 junfduan 本文将介绍一种基于内存搜索的进程检测方法，包括基本原理介绍和设计实现。 搜索内存检测进程的原理 1） 问题的提出——进程检测 Rootkit 等后门为了在系统中长期驻留，需要隐藏相应的信息。这些信息包括自启动项、 文件、进程、模块、端口、注册表、服务等。其中，以进程隐藏特别突出（因为用户经常会 打开任务管理器看看是不是有异常的进程在自己的机器上运行）。 隐藏进程的方法有多种，例如挂钩NtQuerySystemInformation 函数；从内核EPROCESS 结构的ActiveProcessLinks 等双向链表上摘除自身；从csrss.exe 进程的句柄表上摘除自身； 从PspCidTable 上摘除自身等等。如果 Rootkit 用到了其中的某种方法，那么基于此的检测 线 将会失败。比如，hxdef100 （黑客守护者）挂钩NtQuerySystemInformation 实现隐藏，如果 想通过 NtQuerySystemInformation 函数来获取全部进程信息就会失败。再比如，FU_rootkit 通过从内核EPROCESS 结构的ActiveProcessLinks 双向链表上摘除自身实现隐藏，如果想通 防 处 过遍历该链表来检测隐藏的FU_rootkit 就会失败。现在问题来了，如果上面隐藏进程的方法 都用到了，该怎么检测呢？ 出 客 2 ）解决的思路之一——搜索内存 在 Windows 系统中，进程由内存空间、进程打开的各种对象和进程中运行的线程所组 成。线程仅仅是一个执行上下文，系统调度的最基本单位，但每一个线程的运行都必须依附 黑 明 （attach ）一个进程。 在 Windbg 中可以使用 dt 命令来查看线程 ETHREAD 的结构，命令格式为“dt _ETHREAD 线程地址”。例如： 注 kd dt _ETHREAD 8238F3B8 请 nt!_ETHREAD +0x000 Tcb : _KTHREAD 载 +0x1c0 CreateTime : _LARGE_INTEGER 0xe4d5cd5`36b71830 …… +0x21c DeviceToVerify : (null) 转 +0x220 ThreadsProcess : 0x8234f718 _EPROCESS +0x224 StartAddress : 0x7c810867 +0x228 Win32StartAddress : 0x010027f2 …… +0x254 ForwardClusterOnly : 0 +0x255 DisablePageFaultClustering : 0 在线程控制块的偏移0x220 处是一个ThreadsProcess 指针，指向一个EPROCESS 结构， 即一个进程EPROCESS 。 2009 年第5 期 在Windbg 中可以使用“!process”命令来查看进程的线程摘要，命令格式为“!process 进 程地址 3 ”。我们看看上面显示的地址0x8234f718 对应进程的线程摘要信息。 kd !process 0x8234f718 3 PROCESS 8234f718 SessionId: 0 Cid: 05bc P