原创力文档- 1、本文档共2页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
SOFTWAREDEVELOPMENTANDDESIGN
Windows内核模式下远程控制研究
郑智
(温州广播电视大学技术处,温州325000)
摘要:基于对Windows操作系统内核的研究,实现一种采用感染系统文件启动,存活于系统的内核模式下,通过
对NDIS网络组件的直接Hook技术,达到与外界网络的隐秘通信的远程控制系统。
关键词:操作系统;安全;恶意软件;内核
StudyonRemoteControlunderWindowsKernelMode
ZHENGZhi
(WenzhouRadioTelevisionUniversityTechnologyDepartment,Wenzhou325000)
Abstract:BasedontheresearchonthekernelofWindowsoperatingsystem,designaremotecontrolsystem,whichimitates
thestartmodeofinfectioussystemfiles,andsurvivesonlyinthekernelspaceoftheoperatingsystem.Throughinlinehook
ofNDIScomponent,makestrueofastealthycommunicationwiththeoutsidenetwork.
Keywords:OperatingSystem;Security;Malware;Kernel
1Windows系统架构了痕迹。
现代操作系统的一个显著的特征就是将系统中的权限分为2.2直接Hook技术
用户模式和内核模式两种,以利于保护系统内核的安全和完整,针对上面的常规方法的弊端,采用直接Hook技术,搜索
使得处于用户模式的低权限程序不能直接访问各类系统关键资NDIS驱动在内核空间中的内存映像,修改所需函数的入口地
源。Windows系统利用了CPU内置的四个不同的权限划分区域址,使之跳转到自己编写的代码中。
(ring0~ring3),其中,能够直接访问和控制底层资源的部分被该方法具体步骤如下:
[1]
置于CPU的Ring0层,位于该层的代码能直接访问硬件资源,(1)搜索系统内核空间,找到NDIS.SYS所在的内存地
是整个操作系统的基础构成。而将普通的应用程序放到具有普址。
通权限的Ring3层,这样就避免了某些设计不够良好的程序对(2)读取NDIS.SYS的导出函数表,找到收发数据包函数
关键资源和数据的破坏性访问或修改。对应这两个层,Win-的入口地址,存储其前面5个字节指令,使用一个长跳转指
dows操作系统中的程序运行环境分为用户模式和内核模式。令,跳到自己实现的函数中去。
2NDIS驱动模型及其HOOK技术改进(3)替换NDIS_PROTOCOL_CHARACTERISTICS结构中
NDIS是微软为网络接口卡(NIC)的局域网驱动程序提的ReceiveHandler,ReceivePacketHandler,SendCompleteHan-
供的一种标准应用程序接口(API)。dler句柄所指向的函数地址。
[2]
2.1NDIS驱动h
文档评论(0)