教你Rootkit技术的木马知识

  自从“广外幽灵”创始了dll木马期间的先河以来，如今接纳线程注射的dll木马和歹意步伐已经到处可见了，除了普遍被接纳的另行编写dll加载器步伐躲在启动项里运转加载dll主体之外，“求职信”还带来了一种比力少见的通过注册表“hkey_local_machine\software\microsoft\windows nt\currentversion\windows\appinit_dlls”项目加载自身dll的启动方法，而绝对付以上几种早期方法，如今更有一种间接利用系统办事启动自身的木马步伐，这才是真正的难缠！
  “办事”是windows系统的一大核心部门，在nt架构系统中，办事是指执行指定系统功效的步伐、例程或进程，以便支持其他步伐，尤其是底层(接近硬件)步伐。通过网络提供办事时，办事可以在active directory中发布，从而促进了以办事为中间的管理和使用。办事是一种使用步伐类型，它在后台运转。办事使用步伐通常可以在本地和通过网络为用户提供一些功效，例如客户端/办事器使用步伐、web办事器、数据库办事器以及其他基于办事器的使用步伐。 “办事”自身也是一种步伐，由于使用的领域和作用不同，办事步伐也有两种情势：exe和dll，接纳dll情势的办事是由于dll能实现hook，这是一些办事必需的数据互换行为，而nt架构系统接纳一个被称为“svchost.exe”的步伐来执行dll的加载过程，所有办事dll都同一由这个步伐根据特定分组载入内存，但是，如今越来越多病毒作者瞄上了这个系统自带的加载器，由于它永远也不克不及被查杀。
  病毒作者将木马主体写成一个符合微软开辟文档规范的办事性质dll模块文件，然后通过一段安置步伐，将木马dll放入系统目次，并在办事管理器（scm）里注册自身为通过svchost.exe加载的办事dll组件之一，为了进步隐蔽性，病毒作者乃至间接替换系统里某些不太紧张而默许开启的办事加载代码，如“distributed link tracking client”，其默许的启动下令是“svchost -k netsvcs”，如果有个病毒替换了启动下令为自己建立的分组“netsvsc”，即“svchost -k netsvsc”，在这种歪路左道加社会工程学的攻势下，纵然是具备一般查毒履历的用户也难以在第一时间内察觉到问题出自办事项，于是病毒得以乐成逃离种种查杀。
  目前被发现使用此方法的木马已经出现，其中一个进程名为“ad1.exe”的告白步伐就是典范例子，它通过替换“distributed link tracking client”办事的svchost启动项来躲过一般的手工查杀，同时它自身还是个病毒下载器，一旦系统感染了这个歹意步伐，种种木马都有可能到临你的机器。
  要清理dll木马，用户必要借助于sysinternals出品的第三方进程管理工具“process explorer”，利用它的“find handle or dll”功效，能迅速搜索到某个dll依附的进程信息并闭幕，让dll失去载体后就能乐成删除，而dll木马的文件名为了避免和系统dll产生辩论，一般不会起得太专业，乃至有“safaf.dll”、“est.dll”这样的定名出现，或者在某些系统下根本不会出现的文件名，如“kernel.dll”、“rundll32.dll”等。除了使用“process explorer”查找并停止进程以外，还可以用icesword强行卸载某个进程里的dll模块来到达效果。
  对付办事性质的dll，我们仍旧使用“process explorer”举行查杀，由于它的层次布局，用户可以很直观的看到进程的启动接洽，如果一台机器感染了杀不掉的顽固木马，有履历的用户做的第一件事情就是克制掉不相关或者不紧张的步伐和办事在开机时运转，然后使用“process explorer”视察各个进程的环境，通过svchost.exe启动的dll木马固然狡猾，但是它释放出exe文件运转时，统统都袒露了：一个svchost.exe办事进程执行了一个ad1.exe，还有比这更明显的吗？
  svchost的分组信息位于注册表的“hkey_local_machine\software\microsoft\windows nt\currentversion\svchost”项目，这是svchost加载dll时的分组根据，如果用户发现了一个稀罕的分组信息，那就要进步警惕了。
  隐藏技能发展的颠峰：Rootkit木马
  随着宁静技能的发展和盘算机用户群的技能进步，一般的木马后门越来越难生存，于是一部门有能力的后门作者把眼光投向了系统底层——ring 0。位于ring 0层的是系统核心模块和种种驱动步伐模块，以是位于这一层的木马也因此驱动的情势生存的，而不是一般的exe。后门作者把后门写成符合wdm规范（windows driver model）的驱动步伐模块，把自身添加进注册表的驱动步伐加载入口，便实现了“无启动项”运转。一般的进程查看器都只能罗列可执行文件exe的信息，以是通过驱动模块和执行文件联合的后门步伐便得以生存下来，由于它运转在ring 0级别，拥有与系统核心同品级的权限，因此它可以更方便的把自己隐藏起来，无论是进程信息还是文件体，乃至通讯的端口和流量也能被隐藏起来，在如此强大的隐藏技能眼前，无论是使命管理器还是系统配置适用步伐，乃至系统自带的注册表工具都失去了效果，这种木马，就是让人问之色变的Rootkit。
  要了解Rootkit木马的原理，就必需从系统原理说起，我们晓得，操作系统是由内核（kernel）和外壳（shell）两部门构成的，内核卖力统统现实的工作，包罗cpu使命调理、内存分配管理、设备管理、文件操作等，外壳是基于内核提供的交互功效而存在的界面，它卖力指令通报息争释。由于内核和外壳卖力的使命不同，它们的处理环境也不同，因此处理器提供了多个不同的处理环境，把它们称为运转级别（ring），ring让步伐指令能访问的盘算机资源依次逐级递加，目标在于掩护盘算机遭受意外损害——内核运转于ring 0级别，拥有最完全最底层的管理功效，而到了外壳部门，它只能拥有ring 3级别，这个级别能操作的功效少少，几乎所有指令都必要通报给内核来决定能否执行，一旦发现有可能对系统形成破坏的指令通报（例如逾越指定范围的内存读写），内核便返回一个“非法越权”标记，发送这个指令的步伐就有可能被停止运转，这就是大部门常见的“非法操作”的由来，这样做的目标是为了掩护盘算机免遭破坏，如果外壳和内核的运转级别一样，用户一个不经意的点击都有可能破坏整个系统。
  由于ring的存在，除了由系统内核加载的步伐以外，由外壳挪用执行的一般步伐都只能运转在ring 3级别，也就是说，它们的操作指令全部依赖于内核受权的功效，一般的进程查看工具和杀毒软件也不破例，由于这层机制的存在，我们能看到的进程实在是内核“看到”并通过相关接口指令（还记得api吗？）反应到使用步伐的，这样就不行避免的存在一条数据通道，固然在一般环境下它是难以被窜改的，但是不克不及避免意外的产生，Rootkit正是“制造”这种意外的步伐。简单的说，Rootkit本质是一种“越权执行”的使用步伐，它设法让自己到达和内核一样的运转级别，乃至进入内核空间，这样它就拥有了和内核一样的访问权限，因此可以对内核指令举行修改，最常见的是修改内核罗列进程的api，让它们返回的数据始终“脱漏”Rootkit自身进程的信息，一般的进程工具自然就“看”不到Rootkit了。更初级的Rootkit还窜改更多api，这样，用户就看不到进程（进程api被拦截），看不到文件（文件读写api被拦截），看不到被打开的端口（网络组件sock api被拦截），更拦截不到相关的网络数据包（网络组件ndis api被拦截）了，我们使用的系统是在内核功效支持下运作的，如果内核变得不行信托了，依赖它运转的步伐还能信托吗？
  但纵然是Rootkit这一类恐怖的寄生虫，它们也并非所向无敌的，要晓得，既然Rootkit是利用内核和ring 0配合的诱骗，那么我们异样也能使用可以“越权”的查抄步伐，绕过api提供的数据，间接从内核领域里读取进程列表，由于所有进程在这里都不行能把自己隐藏，除非它已经不想运转了。也就是说，内核始终拥有最真实的进程列表和主宰权，只需能读取这个原始的进程列表，再和进程api罗列的进程列表对比，便能发现Rootkit进程，由于这类工具也“越权”了，因此对Rootkit举行查杀也就不再是难事，而Rootkit进程一旦被清除，它隐藏自身的措施也就不复存在，内核就能把它“供”出来了，用户会突然发现那个不停“找不到”的Rootkit步伐文件已经诚实的呆在文件管理器的视图里了。这类工具如今已经许多，例如icesword、patchfinder、gdb等。
  道高一尺，魔高一丈，由于目前的主流Rootkit检测工具已经能检测出许多Rootkit木马的存在，因此一部门Rootkit作者转而研究Rootkit检测工具的运转检测算法机制，从而制作出新一代更难被检测到的木马——futo Rootkit。
  国产良好检测工具icesword在futo眼前败下阵来，由于futo编写者研究的检测工具原型就是一款与之雷同的black & light，以是我们只能换用另一款Rootkit检测工具darkspy，并开启“强力模式”，方可正常查杀Rootkit。
  但是由于检测机制的变革，darkspy要检测到futo的存在，就必需包管自己的驱动比futo提早加载运转，这就触及到优先级的问题，也是让业界感觉不太满意的一种方式，由于这样做的结果会导致系统运转服从降落，不到紧急关头，都不要方便接纳这种方法，但是如今的瑞星卡卡助手所推广的“破甲”技能，实现原理是与之雷同的，它也会对系统形成一定影响，因此，这个介于宁静和服从之间的选择，唯有留给用户自己思考了。
 

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

评论加载中... 内容： 评论者： 验证码：