Windows server 2008服务器进程隐藏机制的研究与实现.docVIP

Windows server 2008服务器进程隐藏机制的研究与实现 　　摘要：本论文研究了目前出现的各种进程隐藏技术，并利用WDM驱动编程验证了DKOM技术，详细介绍了在Windows Server 2008 服务器平台上搭建驱动开发环境的方法和这种技术的实现过程，并最终模拟了服务器系统中的进程隐藏过程。在研究过程中利用WinDBG分析了重要的内核函数的实现机理，并查找了未公开的内核数据结构的定义。同时，本论文在实现进程隐藏的基础上，进一步实现了驱动程序模块的隐藏，更加真实的模拟了高危病毒运行的过程以及病毒对服务器所带来的安全隐患。在测试阶段，本论文公选用了Windows资源管理器、Process、EF Process Manager、Antiy ports、Process Viewer、proscan六种主流的进程查看工具分别进行进程隐藏验证。结果表明，DKOM机制能够躲过以上所有工具，完美地隐藏自身。 　　关键词：进程隐藏 Windows server 2008 DKOM技术 WDM驱动编程 　　中图分类号：TP3 文献标识码：A 文章编号：1007-9416（2013）03-0110-02 　　1 引言 　　Windows Server 2008是专为强化新一代IPv6网络、应用程序和Web服务的功能而设计的服务器系统。该系统虽是建立在Windows Server先前版本的成功与优势上，但是也因此继承了Windows系列操作系统的一些可能被病毒所利用的传统特征，如进程隐藏机制。所谓进程隐藏就是在用户不知情的情况下悄悄执行自己的代码。恶意代码通常通过隐藏自身进程信息，在用户察觉不到的情况下植入破坏性代码或窃取用户保密信息。进程隐藏，一直是病毒、木马程序设计者不断探求的重要技术，因为这些进程都需要很好的隐藏和保护自身信息。 　　当前，伴随着Windows服务器系统功能的日益发展与完善，木马技术也紧跟发展，使得木马在系统中更具隐藏性，更具危害性。本文在此背景下研究进程隐藏机制，将有助于进一步了解和掌握木马技术的发展方向，有助于采取更有力的应对措施。了解进程隐藏技术，是开发防病毒和木马软件的基础，同时也助于促进信息安全技术的发展。 　　有些情况下，进程隐藏也是某些类型程序所需要的功能，如某些系统安全控制程序，例如网络流量监控系统，这种程序需要在服务器系统中长驻，不能随意停止和卸载，这则要求进程能有效保护和隐藏自己，以防止用户恶意删除和卸载。在当前企业中要求提供高度安全的网络基础架构，以提高和增加技术效率与价值的大趋势下，分析此背景下木马实现的关键技术，必将具有重要的的现实意义。 　　2 Windows系列操作系统中的进程隐藏技术 　　进程是程序运行的基础，因此检查进程也就成了查杀木马的关键环节，所以，对木马设计者而言，成功隐藏自己的进程信息，就是其最重要的基础工作。随着木马技术的不断发展，进隐藏技术也在不断发更新。 　　进程隐藏技术在不断的发展中，在Win NT架构服务器时代，第一代进程隐藏技术就已经出现。早在Windos 98系统当中，微软公司就提供了一种将进程注册为服务的方法，这种技术称为Pegister Service Process。 　　由于这种隐藏技术存在严重的版本限制性，从而引发了第二代进程隐藏技术的研究，称之为进程插入。利用的技术有DLL插入技术、远程线程插入技术等，这种隐藏技术较之第一代更为高级和隐藏。继进程插入技术之后，新的进程隐藏技术又飞速发展，称为HOOK API技术。Windows系统给开发人员提供了几种列出系统中所有的进程、模块与驱动程序的方法，最常见的也是最常用的方法就是调用系统API；Create Tool Help 32 Snapshot、Enum Process、Enum Process Modules等，它们是获取进程列表的第一层手段，调用这几个API函数，就可以得带系统当前运行进程的返回列表。 　　这几个API在接到请求后会调用ZW Query System Information，Zw Query Ststem Information，会调用Ki System Service切入内核进入ring0权限，然后自SSDT表（System Service Descriptor Table，系统服务分配表）中查得Nt Query System Information的地址，并调用其指向的实际代码，其运行原理是从系统的数据结构中取相应的数据，再返回给调用者。 　　在此过程中，在任何一个环节上进行拦截都可以实现隐藏进程的目的，在切入内核进入root0权限前进行HOOK，称为用户模式HOOK，而在之后进行HOOK则是内核模式HOOK，后者需要驱动才能实现。它比前几种