Windows2003 内核级进程隐藏、侦测技术论文.docVIP

　　Windows2003 内核级进程隐藏、侦测技术论文 论文关键字：内核 拦截 活动进程链表 系统服务派遣表 线程调度链驱动程序简介 论文摘要：信息对抗是目前计算机发展的一个重要的方向，为了更好的防御，必须去深入的了解敌人进攻的招式。信息对抗促使信息技术飞速的发展。下面我选取了信息对抗技术的中一个很小一角关于l 由于现在的基于线程调度的检测系统都是通过内核调试器得硬编码来枚举所有的调度线程的，所以我们完全可以自己创造一个那三个调度链表头，然后把原链表头从链中断开，把自己的申请的链表头接上去。由于线程调度的时候会用到KiFindReadyThread等内核API,在KiFindReadyThread里面又会去访问KiDispatcherReadyListHead，所以我完全可以把KiFindReadyThread中那段访问KiDispatcherReadyListHead的机器码修改了，把原KiDispatcherReadyListHead的地址改成我们新申请的头。 kd uKiFindReadyThread+0x48 nt!KiFindReadyThread+0x48: 804313db8d34d5e0224880leaesi,nt!KiDispatcherReadyListHead(804822e0)+edx*8 很明显我们可以在机器码中看到e0224880，由于它是在内存中以byte序列显示的转换成DultipleObject、KeDelayExecutionThread、KiOutSemcpy(pFakeETHREAD,pETHREAD,sizeof(FAKE_ETHREAD)); InsertHeadList(pKiPXXXXXXXX（XXXXXXXX是距自己的Hook函数的偏移量）就行了。并且保存原来修改前的5个字节。在跳入原函数时，恢复那5个字节即可。 charJmpMyCode={0xE9,0x00,0x00,0x00,0x00};//E9对应Jmp偏移量指令 *((ULONG*)(JmpMyCode+1))=(ULONG)MyFunc-(ULONG)OrgDestFunction-5;//获得偏移量 memcpy(OrgCode,(char*)OrgDestFunction,5);//保存原来的代码 memcpy((char*)OrgDestFunction,JmpMyCode,5);//覆盖前一个命令为一个跳转指令 在系统内核级中，MS的很多信息都没公开，包括函数的参数数目，每个参数的类型等。在系统内核中，访问了大量的寄存器，而很多寄存器的值，是上层调用者提供的。如果值改变系统就会变得不稳定。很可能出现不可想象的后果。另外有时候对需要Hook的函数的参数不了解，所以不能随便就去改变它的堆栈，如果不小心也有可能导致蓝屏。所以Hook的最佳原则是在自己的Hook函数中呼叫原函数的时候，所有的寄存器值，堆栈里面的值和Hook前的信息一样。这样就能保证在原函数中不会出错。一般我们自己的Hook的函数都是写在C文件里面的。例如Hook的目标函数KiReadyThread。那么一般就自己实现一个： MyKiReadyThread（...） { ...... callKiReadyThread ...... } 但是用C编译器编译出来的代码会出现一个堆栈帧: Pushebp movebp,esp 这就和我们的初衷不改变寄存器的数违背了。所以我们可以自己用汇编来实MyKiReadyThread。 _MyKiReadyThread0proc pushad;保存通用寄存器 call_cfunc0;这里是在进入原来函数前进行的一些处理。 popad;恢复通用寄存器 pusheax moveax,esp+4;得到系统在call目标函数时入栈的返回地址。 movds:_OrgRet,eax;保存在一个临时变量中 popeax movesp,retaddr;把目标函数的返回地址改成自己的代码空间的返回地址，使其返回后能接手继续的处理 jmp_OrgDestFunction;跳到原目标函数中 retaddr: pushad;原函数处理完后保存寄存器 call_HookDestFunction0;再Hook popad;回复寄存器 jmpds:_OrgRet;跳到系统调用目标函数的下一条指令。 _MyKiReadyThread0endp 在实现了Hook过后在当调用原来的函数时（jmp_OrgDestFunction），这个时候所以寄存器的值和堆栈信息和没Hook的时候一样。在返回到系统的时候（jmpds:_OrgRet），这个时候的堆栈信息和寄存器的