Posted on 2008-10-23 23:56
S.l.e!ep.¢% 阅读(453)
评论(0) 编辑 收藏 引用 所属分类:
Windows WDM
Rootkit是什么?估计很多朋友并不明白,简单的说,Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件,进程和网络链接等信息,比较多见到的是Rootkit一般都和木马,后门等其他恶意程序结合使用.Rootkit通过加载特殊的驱动,修改系统内核,进而达到隐藏信息的目的.技术是双刃剑,我们研究它的目的在于,透过我们的研究,用这项技术来保护我们的系统,使我们的系统更加健壮,充分发挥这个技术的正面应用.
对于Rootkit专题的研究,主要涉及的技术有如下部分:
1.内核Hook
对于Hook,从ring3有很多,ring3到ring0也有很多,根据api调用环节递进的顺序,在每一个环节都有hook的机会,可以有int 2E或者SysEnter Hook,SSDT Hook,Inline Hook ,IRP Hook,Object Hook,IDT Hook等等.在这里,我们逐个介绍.
1)
O
bject Hook
2)
SSDT
Hook
3)I
nline Hook
4)
IDT
Hook
5)
IRP Hook
6)
SYSENTER Hook
7)
IAT HOOK
8)
EAT HOOK
2.保护模式篇章第一部分:Ring3进Ring0之门
1)
通过调用门访问内核
2)
通过中断门访问内核
3)
通过任务门访问内核
4)
通过陷阱门访问内核
3.保护模式篇章第二部分:Windows分页机制
1)W
indows分页机制
4.保护模式篇章第三部分:直接访问硬件
1)
修改IOPL,Ring3直接访问硬件
2)
追加TSS默认I/O许可位图区域
3)
更改TSS I/O许可位图指向
5.Detour 修改函数执行路径,可用于对函数的控制流程进行重定路径.
1)D
etour补丁
6.隐身术
1)
文件隐藏
2)
进程隐藏
3)
注册表键值隐藏
4)驱动隐藏
5)
进程中dll模块隐藏
6)端口隐藏
7.Ring0中调用Ring3程序
1)
APC方式
2) DeviceIOControl 方式
8.进程线程监控
1)进程/线程监控
2)
杀线程
9.其他
1)
获取NTOSKrnl.exe模块地址的几种办法
2)
驱动感染技术扫盲
3)S
hadow SSDT学习笔记
4)
高手进阶Windows内核定时器之一
5)
高手进阶Windows内核定时器之二
6)
运行期修改可执行文件的路径和Command Line
7)
查找隐藏驱动
8)
装载驱动的几种办法