普及文NT内核简介HIPS与现代木马

实用标准文案[普及文NT内核简介——HIPS与现代木马序言--------------------------------------------------------------------很多年前，安全软件不像现在这样复杂。在3打。着T内核的大范围普及(2000/XP......)一种新兴的木马——Rootkit型木马诞生了。Rootkit的本义并不指木马，其意义与其本义相比有所引申，但是大量的木马使用了Rootkit技术）是akrDfnrhxe10来。，，，这些木马一度让当时的杀软束手无策，用户更是摸不着头脑，因为常规检测方法已经无法发现它们了。于是，一类叫作RK的工发，ARK——AntiRoit，反Rokt工具时内是cwodDrSy等在则是Rotr些RK工具同样使用了Rootkit技术，于是能够发现Rootkit木马的踪迹而一些杀软为了遏制Rootkit木马也在自己的杀软中应用了Rootkit技术。同时越来越复杂的文件加壳技术使传统特征码杀毒引擎捉襟见肘许多杀软一的HS表的HIS工具也开始逐渐应用Rootkit技术，如WinPatrol、SSM。精彩文档实用标准文案时至今日Rootkit木是t了t昭某"XX上"中也应了ookt术。以的"现代马"均指ootit木马.-------------------------------------------------------------正文现代马如隐藏身？HIS如何监视系统动作?：接口。：电任。板要要其处理这的话会影机人就有个。另一例个主任领个想知谁有作业并需一一本的翻他需要学委这“接”诉:“要作业。后，学习员不自己自本去他只告各课代这“口告诉他你去计一各作科课表去诉一层口—报。精彩文档实用标准文案这样班主任不费力气的就统计完了作业整个过程每个人都只负责解释上一层的命令给下一层，直到最底层去执行命令。那么现在开始简介T核:拿我常用下载具迅来说.如果没有口,当迅雷存文的时，就先把文转成2进制然后算当可用空开始磁盘第几面...第几扇区之类详细息，后检分区文件统是么,检查完以后,针对相应文件系统用不的记方式,甚至需要检硬盘品牌,然后使用应控制流来让硬将指区域小磁磁化成"1"或"0"现在来看一幅WindowsNT内核的示意图：（细节部分并没有详细画出，这幅图画出了WindowsNT内核操作系统中，应用程序执行某些操作时的基本流程图）。当有了接,迅雷只需要调用相应的Win32API,告诉系统,文件的位置和内容,然后Win32API被Windows系续释成NativeAP,经过用KStmrie序,在ST到tWiFle置,然续调用,一指令,传给动FD,在这之前,如果有精彩文档实用标准文案过滤驱动,那么先通过过滤驱动,由过滤驱动一层层解释给下一层,最后达到FSD层,之后被进一步解释,直至解释成控制硬盘读写的电流.每个接口要做的都只是把上一层命令解释给下一层接口,最终难以直接使用的电流控制可以用一条简单易记的接口调用来实现.因而编写软件才显得如此容易.x86的处理器主要是Intel\AMD的主流处理,可以存在四个运行级别ring0-3,WindowsNT系列系统(XP/2003......)使用其中的两,就是ring3和rng0个,用户序行于ring3级别而ring3别的程不被允直接访硬件,这样一方面是为了止程序误的操作导致系统崩溃者硬件障.对应的,系统内核运行于ring0级别拥有对全部内存区域的访问特,也可以直接访问硬.现在入运级别概念,再重新看一这幅图:可能有些乱,我们来整理下.(以下的"函数",通通替换"功能",以方解.)1.首先,应用程序产生一个请比如他要修改注册,那么他调用Win32API接口中的注册表操作相关功.(RegOpenKey等等,用al的相应能.Win32PI能要于enl2.llavai2.llue32dlldi2dll等库中)精彩文档实用标准文案2.advapi32.dll中功受调用,于是继解而用ndl.ll的能(NativeAPI接口).(NativeAPI有功封于tlldl,是l并不是真的行者,他的任只将用传内核.)3ddl中的能到用(NtCreteey等等),于是他把对应的功能编号存入eax寄存器,然后使用YSENTER指令,导致"自陷"(早期使用触发Int2e中断的方式,不过他们的效果是一样的),KiSystemService处理程序将运行.这个像你银行取钱,你把存单到玻下面凹槽去,然后叫员,他会把存取走,然后给你钱,看起来是你出了钱,但事实是银内部出的钱.ntdl.dll就是取钱,他把能代号(存单放到eax寄存器里玻璃下方的凹槽,发K(叫柜员),柜员就会去实际处理交易(执行对应功能).)4.KiSystemService从eax寄存器里取出功能代在一种叫做SDT的结构中查找对应的NatveAI数,这种构在统一共有4个,其中个做ST,位于ntoskrnl.exe(者)中,置,件操作,注册表操作,进程操作等.还有一个叫做ShadowT,于s中,能,能,置较"殊能,个T留,说,创造T能.）精彩文档实用标准文案5.找到位置后调用该功也就是内核中关于该功能的实际操作被执,当,之后还是一层又一层的接,但通常情况,这里已经是易于控制的最后一层接某些高木马用了Obectook,也就是说存在更底层接口被控的可能)对于注册表操作,他们会被释成Cm****系列功能,作.6.最后对一类特殊的调用进行解那就是调用驱动程序对,很多功能最后会涉及到硬件操,比如写文.写文件的时,系统会调用文件系统驱FS,之动(DrDr,那么动,并后,最动(FSD),SD是易于控制文件操作的最低一层接.前面那个例子,注册表修改的操作最终被解释为写文件的操作因为修改注册表的本质是修改ie件),过,并由D步解释,继口.这样明白了,在这些调的传过程中,任何一个节到了断都可能致失败.而通过"挂钩"这些关键功能,就可以实现对些功的控制.挂钩有很多方,但是目的只有一,就是---比原功能更早获得通,然后自行决定要不要继续把他传递下,或者自行决定要不要把包含不利信息的结果传递回去.(就相当于你冒充学习委,班主任让你查作,你让真正的学习委员去查作,真正的学习委员给你报了一串名,里面有,你把自己的字掉,再交给班任.这样可躲检查.)精彩文档实用标准文案比如现代木马隐藏自身,他们可以修改SSDT中的文件操作功能的位置(Nt****File系列功能,己,能,返时,他可.图,回时,其己(子),应用程序自然也就不知道灰鸽子的存在了.[置"钩子"的多择2I钩,钩l函数,的,于ring3别么?,是说,过,或除.所以多数选择在SDT/hadowSDT下钩,或者安文件滤驱等等,这些作受到ring0护知,改.(更高级的还有ObjectHook)同理,IS类软件使用和现代木马一样的手段,实现对于关键动作的监控.图:SSM监控机事件方法挂钩ativeAI:NtShutdowSyste.精彩文档实用标准文案最后还有一个疑问,一个程序怎么才能获得ring0的运行级方法有很多,可以通过安装驱动态加载或者静态写注册表服务,作]设门,修改win2k.sys,以及NtVmControl,ZSetSytemInformaton等等等等,方法层出不穷.当现木马和IS都具有ring0级别时,们间公的,现代马可轻易绕过HPS的监控,或者彻底破坏HIP.所以,无论代还是IS,一旦获得ring0级别,就会全封通往ring0的道路比如SSM安装好之后会阻加载驱动,阻止注表服键等等.现代木马一样,运行后多会止载驱动,防止IS者ARK进入ring0,这样也就是说,谁先了ring0,就会阻止别人进来,如代经了,差不只过操来他了.最后,不得提到是内操作危险性.多种HIPS或者木马并存时,都会下,有可