中期的翻译作业：Advanced Windows 2000 Rootkit Detection - Execution Path Analysis

最新推荐文章于 2024-07-19 14:33:28 发布

专注成就专业_

最新推荐文章于 2024-07-19 14:33:28 发布

阅读量830

点赞数 1

分类专栏：驱动内核文章标签： windows 作业 path 测试数据结构工具

驱动内核专栏收录该内容

45 篇文章 0 订阅

订阅专栏

高级windows 2000 Rootkits 的检测

（可执行路径的分析）

摘要

在本文中，一种新的检测内核模式和用户模式的方法已经被描述了。当前的技术利用进程的单步模式去计算在系统内核和动态链接库中的指令的执行数量，为了检测被恶意代码额外插入的指令，像Rootkits，后门等。对于windows 2000这种检测单元的实现，充分的利用了这种技术，也进行了讨论。

背景

在计算机安全中最重要的问题之一是怎么样判断已给的计算机已经被和解或者没有。这是很困难的任务，主要是由于两个原因：

l 攻击者可以利用软件中未知的bug进入到系统

l 在进入之后，攻击者为了隐藏自己安装高级的Rootkits和后门（i.e隐藏进程，连接的频道，文件等等）.

在这篇论文中，我们将把注意力放在windows 2000系统上Rootkits的检测上。

传统的Rootkit的检测的问题

传统的Rootkits的检测程序（我们大部门可以在UNIX系统上遇到它们）要么是只能检测已知的Rootkits（它们类似于反病毒软件）或者是执行一些内核内存的扫描。

例如，一些为 Linux 系统创建的工具能够扫描系统调用表。这显然不是很高效，因为许多已经创建的Rootkits不会接触到系统调用表。类似的Rootkits可以被开发在windows 2000上。

一种观点认为这种检测应该扫描内核区域，所以，我们存在一些类似于著名的Tripwire的地方，但是，运行在内核模式下。令人惊讶的是，这仍然是不够的，因为我们可以写内核Rootkits在许多的操作系统上，它们可以不修改系统调用表或者代码。在系统内核中，有许多的函数指针可以被挂钩。

在作者的观点中，内存扫描的方法将不能完成Rootkits的检测，因为没人可以指出哪块内存区域应该被监控（因为它们的改变以为着错误的发生）和不监控（因为它们是动态的数据，每秒钟改变数以百次）。

怎么样检测我们系统的入侵者呢？

Rootkits的分类

图示1.Rootkit的分类。

首先我们应该区分将Rootkits技术分为两类（如图1所示）：为了隐藏信息，修改了一些数据结构（像动态的进程）和通过修改一些内核的可执行路径获取一些相同的结果（例如：挂钩了一些内核函数对于枚举动态进程的通知）。

Rootkits改变内核数据结构

使用这种技术的Rootkits不是很多。在这种分类中，有兴趣的例子是Fu Rootkit（如图3所示），它通过从内核中的PsActiveProcessList链表中将进程对象分离。隐藏的进程对那些类似任务管理器的工具使用ZwQuerySystemInformation函数来获取系统的进程信息是不可见的。

另一方面，当不同的列表被分发器（windows调度）使用的时候，隐藏的进程也能得到执行（得到CPU时间）。实际上，windows分发器使用三个重要的数据结构来管理线程的调度，它们是：

l pKiDispatcherReadyListHead，实际上是一个在就绪状态下32个链表头（一条链对应一个属性）组线程的表。

l pKiWaitInListHead

l pKiWaitOutListHead

最后两个是不同的链表头，它们代表线程正在处于等待状态（像在一些对象下处于休眠）。在它们中，有一些细微的不同，但是这对我们不重要。

从上边我们可以很容易的知道简单的检测隐藏进程的方法。我们应该使用单元（内核模式）能够读取内部的分发器的线程的列表，取代 PsActiveProcessList。这种单元已经被开发和证明可以检测所有的被fu Rootkit隐藏的进程。

现在我们应该知道了检测相同类型的Rootkits是相对简单的：我们应该获取到大多数的内部的内核数据结构，读取它们（当然，我们应该拥有内核模块去获取内核数据的空间），然后与通过官方的API的接口获取到的结果进行比较。

请记住，从刚提到的分发器的内核列表中移除隐藏进程的线程是不可能的，因为那之后，我们的隐藏进程将得不到任何的CPU时间来执行程序。

Rootkits改变可执行的流程

这些是大多数Rootkits的共同之处。它们通过修改或者增加一些额外的代码到内核或者系统的动态链接库中来达到它们的目的。问题是，我们不知道Rootkits将修改什么和修改哪里。它们可以挂钩动态链接库的函数或者系统服务表，改变一些内核函数体或者仅仅修改在内核中的陌生的函数指针。

问题是内核是如此大的数据结构，我们实际上不知道那些内存区域应该被检测为了去检测入侵者。我们不能检测太多，当在内核中有许多快速改变的数据时（进程正在运行，数据包从网络中发过来等情况）和我们不想每秒钟都得到错误。

可执行流程的分析

在EPA中，主要的观点是要小心这种简单的情况：如果攻击者和谐了系统，和在一些典型的系统和库的调用期间，她正在尝试着通过改变可执行的流程来隐藏一些信息，然后，系统将会执行一些额外的代码。

例如：如果她给 ZwQueryDirectoryFile()和ZwQuerySystemInformation()打了补丁，为的是隐藏文件和进程，在执行这些系统服务期间，执行的指令的数量与干净的系统相比将会增多。如果攻击者已经挂钩了系统服务表的入口或者把一些jmp指令放到了代码中或者做了一些其他的什么，其实都没有什么关系。更多的指令被执行是因为Rootkits已经执行了它们的任务（在这个例子中，移除了一些返回列表的文件格式和进程）。

但是，windows 2000的内核是一个复杂的程序。我们假设，在一个清洁的系统的系统调用期间，指令的执行数量将不一样。但是，就像我们随后看到的那样，我们可以简单的使用统计学的方法解决掉这个问题。但是，首先，我们需要一种指令计数的机制。

图示2.通过指令计数来判断挂钩的简化图。

指令计数的实现

为了实现指令计数，我们可以使用英特尔处理器的一种优秀的特性，就是所谓的单步模式。当处理器工作在这种模式下时，每一条指令的执行，它都将会产生一个调试异常。为了让处理器进入到这种模式，我们必须设置EFLAGS寄存器中的TF 位。

当指令int指令的时候并且这个指令正在引起权限的改变的时候，处理器会清除掉TF位。它意味着如果我们想在内核模式下计算指令的执行，我们必须在中断处理之前，设置TF位。因为在一些系统服务期间，我们要计算指令执行的数量，它很方便的挂钩中断向量表0X2E，它是windows 2000系统服务的入口。

但是，因为一些Rootkits是基于用户模式的，我们也应该能够计算环3下的指令。这非常简单，我们仅仅只需要在用户模式下设置TF位，我们不需要在返回内核模式后再次打断设置它，因为处理器会动态的存储位的信息。

这种计数机制已经被作为一种内核驱动所实现。如图2所示，在载入驱动后，它会挂钩IDT的0X1和0X2E的入口。当然，模块必须与用户空间相联系，允许测试进程获取到结果。在当前实现的内核驱动中，挂钩了系统调用，它被作为驱动的一个接口。用户模式可以通过调用这个指定的系统调用开启或者停止计数进程。

图示3.内核模式与用户模式的测试进程通过一个系统服务联系。

测试

在任意的系统服务期间，我们可以使用前边一段所描述的机制去计算指令的执行数量。

例如，为了检测某人正在试图隐藏的文件或者目录，我们可以做一个简单的测试：

pfStart();

FindFirstFile("C:\\WINNT\\system32\\drivers",&FindFileData);

int res = pfStop();

我们假设如果攻击者已经安装了Rootkits，它是隐藏任意的文件的，然后，我们将计算更多的指令与未被感染的系统做一个对比。

如果我们重复的测试数以百计的案例和计算平均值，我们可以发现测试是非常不确定的。这不需要很惊讶，考虑到windows 2000是一种复杂的系统。不幸的是，这种行为对于我们的检测目的没有被认可。然而，如果我们收集我们的测试样品，并创建直方图，我们可以观察所有测试的特点是有一个大峰直方图。这个高峰期，因为它可以图示4和5上看到，仍然在同一位置，即使该系统可重载。在这种情况下，直方图已创建的FindFirstFile函数。

图示4.FindFirstFile测试，系统在轻负载下的直方图。指令数量在内核和用户模式执行已计算在内，而测试过程中要求系统返回的第一个文件的形式\WINNT\ SYSTEM32\drivers目录。此目录已被选定，因为它的内容应该不会改变。

图示5.直方图的的FindFirstFile测试，高负荷下的系统。请注意，主峰仍然在同一位置。

现在设想一下，有人安装了一个能够隐藏文件的Rootkit程序。之后，如果我们重复测试和画一个反馈的立方图出来，我们将会注意到峰值已经被移到了右边。在这种情况下，这是因为Rootkits必须执行额外的操作去从返回列表中移除要隐藏的文件。

在当前的实习中，仅仅有一些测试被使用。它们检测这种特殊的服务像读取目录的内容，枚举进程，枚举注册表的键和从网络的套接字中读取。

这些测试能够有效的检测到那种Rootkits像著名的NTRootkit，或者最近非常流行的Hacker Defender 包括哪些很出色的网络后门和其他的。但是，一些新的测试应该被增加，去拦截其他更聪明的后门。

误报和执行路径追踪

虽然峰值的检测技术允许我们非常好的处理测试中的不确定性，有时，我们可以观察到峰值位置的微小的不同之处。偏差大约几个指令（通常不会超过20）。

有时，这是一个很严重的问题，当我们必须决定这些额外的指令以为这系统的妥协或者是一种干扰。

为了解决这种困境，可执行路径的记录应该被使用。就单纯的EPA而言，调试处理记录了整个可执行的路径（在这个地址上的地址和路径）。然后，我们找到大多数的共同的路径（通过最大的峰值）和使这两个最常见的路径的差异（当前一个，保存一个）。

我们应该通过一个好的反汇编工具分析这个额外的指令和决定它们是否是可疑的或者不是。如图6所示的两个不同的测试。

在当前的实现中，仅仅地址被转出到了跟踪的文件中。以后，跟踪的信息可能被保存到PE文件中，它能够使用第三部分的反汇编信息（像IDA）。

图示6.两种不同踪迹的转储（仅仅是地址）。我们可以看到3条额外的指令被执行了两次（在第275和第1007条指令）。

代码中偏移量的改变的检测

设想一个Rootkit工作类似于上边提到过的fu Rootkit，但是取代从PsActiveProcessList中移除对象，而是从内部分发数据结构中移除线程。我们知道，这是不可能的，这会让隐藏的进程无法得到CPU时间去执行。

但是，我们可以设想一下，Rootkits可是修改调度的代码，它将使用不同的偏移（在线程对象中）去维护一个列表。总之，我们改变了调度代码去使用不同（“shadow”）的列表。但，仅仅调度者将会修改这个新的列表，每个人（包括IDS工具，像上边提到过的可以读取内核结构的工具）将会使用这个旧的列表。看图示7。