Windows内核模式下远程控制研究.pdfVIP

SOFrWAREDEVELOPMENTANDDESICN 软件开发与设计 Windows 内核模式下远程控制研究 郑智 (温州广播电视大学技术处，温州325000) 摘要：基于对Windows操作系统内核的研究，实现一种采用感染系统文件启动，存活于系统的内核模式下。通过 对NDIS网络组件的直接Hook技术，达到与外界网络的隐秘通信的远程控制系统。 关键词：操作系统；安全；恶意软件；内核 mld盱Whd0髑k釉elMode study仰Re眦惦Co曲d 刃印喇G蹦 (WeTlzhouRadioTeleVision UniVe璐酊TectulologyD印amnent，WeIlzhou325000) Abstract：Basedonthere8earchonthekemelofWindows aremotecontrol iIIlitates opemtingsystem，design system，which 山estanmodeofinfectious sunriVesinthekemel ofthe iIllinehook system6les，and only space opemtingsystem．Thmugh ofNDIS tmeofa communicationwiththeoutsidenetwork． component’makesstealthy Keywords：0peratingSystem；Sec面【y；Malwar；e；Kemel l Windows系统架构 了痕迹。 现代操作系统的一个显著的特征就是将系统中的权限分为 2．2直接H00k技术 用户模式和内核模式两种，以利于保护系统内核的安全和完整， 针对上面的常规方法的弊端，采用直接Hook技术，搜索 使得处于用户模式的低权限程序不能直接访问各类系统关键资 NDIs驱动在内核空间中的内存映像，修改所需函数的入口地 址，使之跳转到自己编写的代码中。 源。Windows系统利用了CPU内置的四个不同的权限划分区域 (rin90矗n93)Ⅲ，其中，能够直接访问和控制底层资源的部分被该方法具体步骤如下： 置于cPu的Rin印层，位于该层的代码能直接访问硬件资源， 是整个操作系统的基础构成。而将普通的应用程序放到具有普 址。 通权限的Rin93层，这样就避免了某些设计不够良好的程序对 关键资源和数据的破坏性访问或修改。对应这两个层，win— 的人口地址，存储其前面5个字节指令，使用一个长跳转指 dows操作系统中的程序运行环境分为用户模式和内核模式。 令，跳到自己实现的函数中去。 2 NDIS驱动模型及其HOOK技术改进 的ReceiveHandler，ReceivePacketHandler， NDIs是微软为网络接口卡(NIc)的局域网驱动程序提 供的一种标准应用程序接口(API)12l。 dler句柄所指向的函数地址。 2．1 NDIS驱动hook技术的改进 采用的是针对NDIS的Hook技术。NDISHook的一种常 内的部分关键代码跳转到自己的函数。与常规方法相比较， 该种方法对系统协议链并没有作任何的修改，较为隐蔽，检 规方法是直接替换系统中NDIS．SYS驱动的函数库中的