【文章內(nèi)容簡介】 22 Windows PE 文件格式示意idata 節(jié)中包含函數(shù)輸入表，IAT中記錄著該文件運行中需調(diào)用的所有鏈接庫，以及鏈接庫中需調(diào)用的所有庫函數(shù)。PE文件運行時，文件自身和IAT中記錄的鏈接庫都加載到內(nèi)存，將調(diào)用導(dǎo)入函數(shù)的指令和函數(shù)實際所處的地址聯(lián)系起來，以后就通過 IAT來調(diào)用這些函數(shù)。IAT Hook的原理是：在進程加載時修改 IAT，將要 Hook的API函數(shù)地址改為自定義函數(shù)的地址。這樣，進程每次調(diào)用此函數(shù)時，其實執(zhí)行的是Rootkit代碼，然后再跳轉(zhuǎn)回原來的正常代碼。(4) 修改函數(shù)輸出表（EAT，Export Address Table）EAT存在于PE文件中的edata節(jié)，保存了可執(zhí)行文件（如DLL 文件）的導(dǎo)出的可供其他模塊來調(diào)用的函數(shù)和公共變量，包括函數(shù)名稱和地址等。通過替換Windows 系統(tǒng)某些重要DLL中的輸出函數(shù)地址，即可實現(xiàn)目標函數(shù)的掛接。(5) 修改API 函數(shù)常見修改API 函數(shù)的方法：a) 通過某個CPU 控制轉(zhuǎn)移指令（如CALL 或JMP） 修改目標API 的頭幾個字節(jié)；具體操作如下[19]：找到目標API 函數(shù)在內(nèi)存中的地址，然后修改這個API 函數(shù)前幾個字節(jié)（修改前需另外開辟空間存儲被修改的字節(jié)），把它改為跳轉(zhuǎn)到替換API 函數(shù)的JMP指令。取消API 函數(shù)的掛接時，取出事先保存的字節(jié)，并將它們放回掛接函數(shù)的開頭即可。b) 通過中斷指令（Int 3）代替目標API 第1 個字節(jié)。通過Int 3 產(chǎn)生異常，截獲異常實現(xiàn)掛接API。(6) 其它技術(shù)除了以上技術(shù)，用戶態(tài)布控技術(shù)還包括：內(nèi)存映射技術(shù)；dll插入技術(shù)，如遠程線程插入，內(nèi)存映射文件插入、調(diào)試程序插入等；2. 內(nèi)核級Hook[46]用戶級Hook 比較簡單，但容易被Rootkit之類的隱藏植入工具輕易繞過。如果將掛接深入到系統(tǒng)內(nèi)核，使它與檢測工具處于相同的運行環(huán)境，將極大的提高掛接的深層布控效果。常見的方式有：(1) 修改系統(tǒng)服務(wù)分配表（System Service Description Table，SSDT）系統(tǒng)調(diào)用是操作系統(tǒng)內(nèi)核向應(yīng)用程序提供的操作硬件設(shè)備、請求內(nèi)核服務(wù)的接口。系統(tǒng)調(diào)用接口位于用戶態(tài)與核心態(tài)之間，應(yīng)用程序通過系統(tǒng)調(diào)用向操作系統(tǒng)內(nèi)核請求服務(wù)，操作系統(tǒng)內(nèi)核完成服務(wù)后將結(jié)果返回給應(yīng)用程序。系統(tǒng)服務(wù)調(diào)度表中存放了所有系統(tǒng)服務(wù)函數(shù)的入口地址，在系統(tǒng)服務(wù)調(diào)用過程中，系統(tǒng)通過服務(wù)號到系統(tǒng)服務(wù)分配表中查找對應(yīng)的中斷服務(wù)過程的地址，到系統(tǒng)服務(wù)參數(shù)表（System Service Parameter Table，SSPT）中得到調(diào)用的參數(shù)，然后執(zhí)行中斷服務(wù)過程。通過替換系統(tǒng)服務(wù)分配表中某些服務(wù)號對應(yīng)的中斷服務(wù)過程的地址，就可實現(xiàn)對指定API 函數(shù)的掛接[20]。(2) 修改中斷描述符表（Interruption Descriptor Table，IDT）所謂中斷，是一個過程，即CPU在正常執(zhí)行程序的過程中，遇到外部／內(nèi)部的緊急事件需要處理，暫時中斷（中止）當(dāng)前程序的執(zhí)行，而轉(zhuǎn)去為事件服務(wù)，待服務(wù)完畢，再返回到暫停處（斷點）繼續(xù)執(zhí)行原來的程序。為事件服務(wù)的程序稱為中斷服務(wù)程序或中斷處理程序。每個中斷用一個0255 的數(shù)字標識，Intel 稱這個數(shù)字為向量。中斷描述符表是一個有256 個入口的線性表，每個IDT的入口是個8字節(jié)的中斷門描述符指向相應(yīng)的中斷處理過程。當(dāng)中斷發(fā)生時，CPU 會根據(jù)中斷向量和中斷描述符表中的值，轉(zhuǎn)移到相應(yīng)的中斷處理程序。IDT鉤掛的原理是：首先保存出特定的中斷向量的ISR,然后直接修改該中斷向量的ISR為自定義的函數(shù)，每當(dāng)這個中斷向量對應(yīng)的中斷產(chǎn)生時，就會調(diào)用自定義的函數(shù)。由于我們自定義的函數(shù)里面執(zhí)行完我們的功能后再跳轉(zhuǎn)到原ISR處執(zhí)行。(3) SYSENTER指令鉤掛由于之前的int2e系統(tǒng)調(diào)用機制，涉及到的Interrupt/ExceptionHandler的調(diào)用都是通過call/trap/task這一類的gate來實現(xiàn)的，這種方式會進行棧切換，并且系統(tǒng)棧的地址等信息由TSS提供，可能會引起多次內(nèi)存訪問（來獲取這些切換信息），系統(tǒng)開銷較大。SYSENTER/SYSEXIT這對指令匯編指令作為快速系統(tǒng)調(diào)用機制的一部分是在Pentium174。II處理器及以上處理器中提供的。SYSENTER指令鉤掛的原理是：首先Ntdll 加載相應(yīng)的請求服務(wù)號到EAX 寄存器中，同時EDX 寄存器存貯當(dāng)前的棧指針ESP，然后Ntdll發(fā)出SYSENTER 指令，該指令轉(zhuǎn)移控制權(quán)到寄存器IA32_SYSENTER_EIP 存貯的地址中[21]，通過修改這個地址，可實現(xiàn)相應(yīng)的掛接。(4) 修改IRP （I/O Request Packet） 函數(shù)表Windows驅(qū)動程序由一組例程組成，這些例程在處理I/O請求的不同階段時被調(diào)用。其中分發(fā)例程（dispatch routines）負責(zé)處理不同種類的IRP，實現(xiàn)打開、關(guān)閉、讀、寫 等主要功能。修改驅(qū)動程序的函數(shù)表，將要Hook的分發(fā)例程的入口地址替換為新的IRP處理函數(shù)，在其中的Rootkit惡意代碼負責(zé)截取相應(yīng)IRP進行額外處理，經(jīng)過信息過濾之后再調(diào)用原來的IRP處理函數(shù)。示意的IRP掛接如圖23所示：圖 23 IRP掛接(5) 分層驅(qū)動HookWindows的驅(qū)動程序模型采用分層棧式結(jié)構(gòu)。對設(shè)備的訪問請求從驅(qū)動棧頂開始，處理后再傳遞到下一層驅(qū)動。這就方便了系統(tǒng)的擴展，當(dāng)需要新功能時，只要編寫新的驅(qū)動程序，并指定其在驅(qū)動棧中的位置即可，無須修改原有系統(tǒng)。而完成例程（pletion routines）在下層驅(qū)動處理完IRP返回時被調(diào)用，把Rootkit代碼設(shè)置為完成例程，可以在不修改驅(qū)動原有函數(shù)功能的情況下修改 IRP的返回結(jié)果。 直接內(nèi)核對象操作技術(shù)（Direct Kernel Object Modify，DKOM）Windows系統(tǒng)經(jīng)常要創(chuàng)建、打開和操作各種各樣的內(nèi)核對象，比如存取符號對象、事件對象、文件對象、設(shè)備對象、驅(qū)動對象、文件映射對象、I/O 完成端口對象、管道對象、進程對象等。每個內(nèi)核對象只是內(nèi)核分配的一個內(nèi)存塊，并且只能由該內(nèi)核訪問，應(yīng)用程序由于特權(quán)級別的限制無法在內(nèi)存中找到內(nèi)核對象的數(shù)據(jù)結(jié)構(gòu)，也就不能直接修改它們的內(nèi)容。操作系統(tǒng)提供的很多具有Ring0特權(quán)級別的原始服務(wù)API （Native API）都是通過查詢相應(yīng)內(nèi)核對象，從而返回相應(yīng)結(jié)果的。DKOM的實質(zhì)就是直接修改Native API 訪問的內(nèi)核對象，影響Native API 的返回結(jié)果實現(xiàn)某些隱藏功能。典型的使用DKOM技術(shù)的Rootkit是用來隱藏進程[7]。Windows系統(tǒng)枚舉進程使用的是活動進程列表PsActive ProcessList，它是一個雙向鏈表，每個結(jié)點對應(yīng)一個進程的 EPROCESS數(shù)據(jù)結(jié)構(gòu)，所有結(jié)點通過EPROCESS結(jié)構(gòu)中的 ActivePr0cessLinks雙向指針鏈在一起。要隱藏某個進程，只需修改對應(yīng) EPROCESS的ActiveProcessLinks，將其從鏈表中摘除即可。由于系統(tǒng)執(zhí)行線程調(diào)度使用的是線程鏈表而不進程鏈表，因此這樣的修改不會影響進程運行。 Bootkit啟動劫持技術(shù) Windows啟動流程Windows啟動主要分為：BIOS、MBR、系統(tǒng)引導(dǎo)程序Ntldr、內(nèi)核初始化。如圖24所示：圖 24 Windows啟動流程1. BIOS啟動在CPU上電之后，若由硬盤啟動，則BIOS將硬盤的主引導(dǎo)記錄（位于0柱面、0磁道、1扇區(qū)）讀入物理地址0：7C00處，然后將控制權(quán)交給主引導(dǎo)代碼。2. MBR啟動MBR（Master Boot Record ）主引導(dǎo)記錄包含兩部分的內(nèi)容，前446字節(jié)為啟動代碼及數(shù)據(jù)，而從446（0x1BE）開始則是分區(qū)表，分區(qū)表由四個分區(qū)項組成，每個分區(qū)項數(shù)據(jù)為16字節(jié)，記錄了啟動時需要的分區(qū)參數(shù)。在CPU上電之后，若由硬盤啟動，則BIOS將硬盤的主引導(dǎo)記錄（位于0柱面、0磁道、1扇區(qū)）讀入物理地址0：7C00處，然后將控制權(quán)交給主引導(dǎo)代碼。主引導(dǎo)代碼的任務(wù)包括：(1) 掃描分區(qū)表，找到一個激活可引導(dǎo)分區(qū)（bootable partition）；(2) 找到激活分區(qū)的起始扇區(qū)（Boot sector）；(3) 將激活分區(qū)的引導(dǎo)扇區(qū)裝載到物理內(nèi)存7C00處；(4) 將控制權(quán)交給引導(dǎo)扇區(qū)代碼；3. OBR（OS Boot Record，系統(tǒng)引導(dǎo)記錄）啟動OBR找到Ntldr，把Ntldr讀入物理地址2000：0000，Ntldr進32位，加載內(nèi)核；4. Ntldr啟動Ntldr是由兩部分構(gòu)成，一部分是被稱作Su Module的16位匯編代碼，另一部分則是名為Osloader的PE文件。Su module位于Ntldr的頭部，Osloader緊隨其后。OBR將Ntldr加載到物理地址2000：0000開始的地方，然后跳轉(zhuǎn)到這個地址，將控制權(quán)交給Ntldr進行引導(dǎo)，而這個地址也就是Su的入口。Su的主要功能是為Osloader準備內(nèi)存環(huán)境，包括GDT、IDT、打開保護模式（未分頁）和將Osloader按編譯時的虛擬地址移動Osloader等等。在MP（多處理器）版本的Ntldr中，Su還負責(zé)檢測Osloader的完整性，如果它檢測到Ntldr被修改，就會中止啟動。至于Osloader，它的作用可以簡單歸納為為內(nèi)核準備執(zhí)行環(huán)境，、 Driver加載進內(nèi)存。Osloader最終會調(diào)用Osloader!(SystemEntry)(BlLoaderBlock)也即Ntoskrnl!KiSystemStartup真正啟動內(nèi)核。5. 內(nèi)核啟動Ntoskrnl和Hal模塊作為內(nèi)核會被加載駐留內(nèi)存直到操作系統(tǒng)關(guān)閉。 Bootkit 劫持方式1. BIOS Hook當(dāng)計算機開機時，根據(jù)硬件特性就由CPU從主板的BIOS芯片內(nèi)取得程序代碼，用BIOS內(nèi)部的程序代碼獲得控制權(quán)。從CPU內(nèi)外部的檢測設(shè)置、激活DRAM以及針對芯片組與各種外圍設(shè)備做初始化設(shè)置之后，最后驅(qū)動軟盤或硬盤，直到把操作系統(tǒng)加載成功，BIOS的開機引導(dǎo)工作就此告一段落，轉(zhuǎn)向從事幕后的支持、協(xié)調(diào)工作，并幫助操作系統(tǒng)或應(yīng)用程序，來處理外圍設(shè)備溝通的各種操作。典型的如eeyebootroot，IceLord等。2. Ntldr 劫持Ntldr是Windows NT系列內(nèi)核的Osloader，當(dāng)開機以后BIOS載入MBR，MBR載入OBR，然后OBR載入Ntldr，并將執(zhí)行權(quán)轉(zhuǎn)交給Ntldr，最后再來啟動內(nèi)核。理論上講Ntldr是最接近內(nèi)核的，而且對Ntldr做Hook，可以避免針對各種外設(shè)的編碼工作，提高通用性。3. SMM （System Management Mode）劫持SMM是Intel在386SL之后引入x86體系結(jié)構(gòu)的一種CPU的執(zhí)行模式，是IA32架構(gòu)具備的四種運行模式之一（其他三種模式分別為實模式、V86模式和保護模式）。為了實現(xiàn)SMM，Intel在其CPU上新增了一個引腳SMI Pin，當(dāng)這個引腳上為高電平的時候，CPU會進入該模式。在SMM模式下一切被都屏蔽，包括所有的中斷。SMM模式下的執(zhí)行的程序被稱作SMM處理程序，所有的SMM處理程序只能在稱作系統(tǒng)管理內(nèi)存（System Management RAM，SMRAM）的空間內(nèi)運行。可以通過設(shè)置SMBASE的寄存器來設(shè)置SMRAM的空間。SMM處理程序只能由系統(tǒng)固件實現(xiàn)。SMM下可以執(zhí)行一切特權(quán)指令，并且使得一切內(nèi)存保護均失效。從某種意義上說，SMM是對系統(tǒng)進行監(jiān)控的終極方法。SMM漏洞利用的致命之處在于它能將自身隱藏在SMM空間中，SMM權(quán)限高于任何其他運行模式，操作系統(tǒng)根本不知道系統(tǒng)何時進入SMM模式，也無法感知SMM模式曾經(jīng)執(zhí)行過, 不受任何操作系統(tǒng)控制、關(guān)閉或禁用。實際應(yīng)用中唯一能確認SMM空間中運行代碼的方法只有物理性的分離計算機固件。由于SMI優(yōu)先于任何系統(tǒng)調(diào)用，任何操作系統(tǒng)都無法控制或讀取SMM，使得SMM RootKit有超強的隱匿性。典型的如SMMPS/2Keyboardsniffer。4. 內(nèi)核劫持內(nèi)核屬于PE文件，所有針對PE文件鏡像的修改技術(shù)都可以屬于內(nèi)核劫持。典型的包括IAT Hook，EAT Hook，inline Hook等。 本章小結(jié)由于R/Bootkit之所以較傳統(tǒng)惡意軟件更為隱蔽、底層，難以預(yù)防和檢測，是在入侵感染技術(shù)上有所突破，為此本章研究了探索當(dāng)前主流B/Rootkit的危害原理、分類方式、以及深入分析了其技術(shù)要點實現(xiàn)，從而為在R/Bootkit和AntiR/Bootkit的技術(shù)對抗中占據(jù)優(yōu)勢提供技術(shù)上的支持。第 3 章 行為語義抽取和形式化描述研究 引言為對抗R/Bootkit而發(fā)展出來的主動防御技術(shù)，可以在新威脅破壞計算機之前檢測并消除威脅。但是由于缺乏關(guān)聯(lián)行為序列的分析與判斷，這種方式存在誤報率較高的問題。例如：有些惡意程序會偽裝成正常干凈的程序逃避監(jiān)控；還有的軟件會用到類似惡意程序的方式，進行安裝和調(diào)用，以獲得更高一級的加載權(quán)和啟動權(quán)，因此二者行為的混淆，不僅造成主動防御比較高的誤報率，同時也增加了識別和判定的難度，從而造成惡意軟件入住系統(tǒng)和危及計算機的安全與穩(wěn)定。由于主動防御并不能完美發(fā)現(xiàn)所有形式的病毒或者攻擊（據(jù)一些行業(yè)數(shù)據(jù)統(tǒng)計表明它的成功率大概在60%左右），因此很多對于可疑操作放行與拒絕的判定還需要用戶必須具備某些高級專業(yè)知識來自行判定。缺乏惡意軟件行為語義的自主識別能力，帶給用戶必要的高交互性。而發(fā)現(xiàn)并且提取惡意軟件的行為語義，通過截獲一系列的潛在惡意行為特征可以有效解決上述問題。 R/Bootkit行為特征分析 典型Rootkit Klog行為剖析Klog作為Windows操作系統(tǒng)下當(dāng)前主流的密碼竊取工具之一，屬于典型的內(nèi)核級鍵盤鉤掛Rootkit，在被植入了Klog Rootkit之后的系統(tǒng)上，所有的鍵盤擊鍵操作所對應(yīng)的鍵盤掃描碼都會被秘密記錄下來保存到特定的日志文件之中，而不管當(dāng)前的擊鍵操作是否發(fā)生在被激活的進程中。由于沒有調(diào)用任何的Ring3下的編程接口或者操作系