從流氓軟件說說DLL動態(tài)插入技術(shù)與Rootkit技術(shù)

第一篇

從技術(shù)角度解析流氓軟件

作者：不詳文章來源：華盟收集點擊數(shù)： 144 更新時間：2007-8-13 1:21:14

早期，流氓軟件在沒有被正式定性為惡意程序時，流氓軟件使用的技術(shù)比較簡單，往往是修改主頁，使用戶只要一登陸瀏覽器，就自動跳轉(zhuǎn)到流氓軟件提供的廣告網(wǎng)址，或者安裝到系統(tǒng)中后，私下收集用戶的信息發(fā)送出去。而后來，隨著利益的驅(qū)動和流氓軟件正式作為惡意程序被反病毒廠商絞殺，流氓軟件采用的技術(shù)也越來越先進，如今已經(jīng)形成了與殺毒軟件對抗的態(tài)勢，魔道之爭真正進入白熱化。
　　了解了它們使用的技術(shù)，會對它們有一個更加清晰的認識，以下便是流氓軟件使用的經(jīng)典技術(shù)。

　　秘密潛入－流氓軟件的隱藏技術(shù)

　　隱藏是流氓軟件的天性，也是病毒的一個特征，任何流氓軟件都希望在用戶的電腦中隱藏起來不被發(fā)現(xiàn)，由于隱藏的目的，衍生出隱藏的技術(shù)。

　　首先是隱藏窗口。我們知道，在Windows操作系統(tǒng)下，所有的程序執(zhí)行時都是以窗口的形式出現(xiàn)的，每個窗口都有不同的屬性，流氓軟件的目的就是不想為人所知，因此它們在運行的過程會將自己的程序窗口的屬性設為“不可見”，這樣用戶就看不到程序的窗口了。

　　但是，我們知道，每個程序運行時雖然用戶看到的是窗口，但是對于系統(tǒng)來說，其實是執(zhí)行了一個進程，對于稍微專業(yè)的用戶來說，雖然窗口不能看見，但是程序產(chǎn)生的進程卻是很容易通過系統(tǒng)的任務管理器看到，從而使流氓軟件暴露。因此便出現(xiàn)了隱藏進程技術(shù)。

　　隱藏進程其實是調(diào)用了微軟的一個未公開函數(shù)，將流氓軟件本身注冊為服務，這樣系統(tǒng)的任務管理器就無法顯示這類程序的進程了，從而達到了隱藏自己的目的。

　　對于一些細心的用戶來說，電腦出現(xiàn)了新的文件會引起他們的懷疑，因此流氓軟件作者又采用了隱藏文件技術(shù)。它們在安裝時會將自身拷貝到系統(tǒng)目錄，然后將文件的屬性設置為隱藏，這樣，用戶如果采用的是默認系統(tǒng)設置，則就無法看到他們。

　　但是，這些都是初級的隱藏技術(shù)，對電腦熟悉的用戶，只要利用系統(tǒng)提供的工具就可以找到這些流氓軟件的蛛絲馬跡，或者安裝一個防火墻軟件，只要有程序訪問網(wǎng)絡，立刻就會報警，從而能夠暴露流氓軟件的行蹤。

　　我中有你－流氓軟件的線程插入技術(shù)

　　為了更好地隱藏自己，流氓軟件開始大量采用線程插入技術(shù)。

　　上面講到，一個程序進入系統(tǒng)中，會首先產(chǎn)生文件，該文件運行時，會產(chǎn)生窗口，在內(nèi)存中產(chǎn)生進程。進程說白了就是一個被激活了的程序文件。而進程又會產(chǎn)生許多線程。

　　線程是Windows系統(tǒng)為程序提供的并行處理機制，它允許一個程序在同一時間建立不同的線程，完成不同的操作。另外，由于Windows操作系統(tǒng)為了提高軟件的復用性，減少重復開發(fā)的開銷，采用了動態(tài)鏈接庫機制，即將一些公用的程序放在DLL文件中，程序不用包括這些代碼，只要在運行時對這些DLL文件直接進行調(diào)用就可以完成各種功能，因此每一個可執(zhí)行程序除了自身的程序體外，還包括許多外部的模塊。如果我們用一些內(nèi)存查看工具的話，能看到每一個應用程序都包含了大量的DLL動態(tài)鏈接庫文件。

　　而流氓軟件正是利用了這一點。他們的可執(zhí)行程序并不是EXE形式的，而是DLL形式，這類文件一般是存在于系統(tǒng)中，由可執(zhí)行程序進行調(diào)用。

　　而流氓則是將DLL文件載入內(nèi)存，然后通過“線程插入”的方式，插入到某個進程的地址空間。一般地，如果流氓軟件想控制瀏覽器，則它們往往會將自己注入到瀏覽器（explorer.exe）的進程空間，只要瀏覽器運行，就會自動調(diào)用該流氓軟件。

　　由于瀏覽器程序本身會調(diào)用大量的DLL文件，因此即使用戶用第三方進程查看工具，也分辨不清哪個DLL是流氓軟件。面且，采用線程注入技術(shù)的流氓軟件由于已經(jīng)并入了正常程序的內(nèi)存空間，即使是防火墻程序也不會攔截，從而可以在用戶電腦自由出入。

　　銷聲匿跡－流氓軟件的RootKit技術(shù) 　　

線程插入對于普通用戶來說，或者對于用戶的手工清除來說，是很難處理的，但是這些招數(shù)對于殺毒軟件來說，是非常簡單的，為了能夠躲避殺毒軟件的追殺，流氓軟件的研制者又引入了RootKit技術(shù)。

　　本來RootKit是LINUX的概念，指能夠以透明的方式隱藏于系統(tǒng)，并獲得LINUX系統(tǒng)最高權(quán)限的一組程序集。而后來被病毒制作者借鑒，病毒的RootKit技術(shù)指的是那些能夠繞過操作系統(tǒng)的API調(diào)用，直接利用更底層的調(diào)用，然后接管系統(tǒng)的高級API調(diào)用，當有程序試圖查找它們時，便返回假信息，從而得以隱藏自己的技術(shù)。由于目前的殺毒軟件都是直接調(diào)用系統(tǒng)API來進行病毒掃描的，因此采用這種技術(shù)的病毒，都能夠輕松躲避殺毒軟件的追殺，因為如此，所以目前的流氓軟件開始越來越多地采用這種方式來保護自己。

　　不過，殺毒軟件也開始繞過API調(diào)用，通過更加底層的應用，來對抗這種技術(shù)。

　　借尸還魂－流氓軟件的碎片技術(shù)

　　流氓軟件之所以要流氓，那是因為巨大的利益，而為了巨大的利益，流氓就變得更流氓。目前流氓軟件大多數(shù)還會采用一項流行的技術(shù)，那就是碎片技術(shù)。這種技術(shù)的思想其實很簡單，就是在進入用戶系統(tǒng)時，就產(chǎn)生多個或相同，或不同的碎片文件，這些文件除了分布在系統(tǒng)目錄、一些盤符的根目錄下，它們還會隱藏在其它軟件的目錄、臨時文件夾、甚至回收站里。

　　這些文件之間互相保護，一旦一個文件被刪除了，另一些碎片就會重新將這個文件恢復。只要系統(tǒng)中存在有這樣的碎片文件，這些碎片文件只要有一個能夠激活，在用戶連接網(wǎng)絡的時候，就能夠連通網(wǎng)絡進行升級，從而重新還原成一個完整的流氓軟件體系，而且一旦升級，這些新升級的流氓軟件還會將這些碎片文件刪除，然后產(chǎn)生新的碎片文件，從而能夠在一定程度上躲過了反病毒軟件的查殺。

　　有的流氓軟件多達數(shù)十個碎片文件，這對于手動清除的用戶來說，幾乎是不可能完成的任務，而即便是殺毒軟件也未必能夠?qū)?shù)十種碎片文件都一一識別，因此會產(chǎn)生殺不干凈的問題，即使是只有一個碎片，流氓軟件就有可能通過升級和下載借尸還魂，繼續(xù)為惡。

　　以上便是目前流氓軟件用得最多的技術(shù)，當然，隨著同各種反病毒軟件的對抗，它們會采用越來越多的底層技術(shù)，有些流氓已經(jīng)開始采用寫固件的方式，通過BIOS來進行傳播了。而隨著流氓軟件的發(fā)展，手工清除越來越不可能，人們將會越來越依賴于專業(yè)的流氓軟件清除工具。

　　流氓軟件的8大癥狀

　　1.強迫性安裝：不經(jīng)用戶許可自動安裝，或者是不給出明顯提示，欺騙用戶安裝。

　　2.無法卸載：不提供正常的卸載程序，或當用戶選擇卸載時，不真正卸載。

　　3.彈出廣告窗：在用戶上網(wǎng)時，頻繁彈出廣告窗口，干擾用戶正常使用電腦

　　4.首頁修改：瀏覽器的默認首頁，在沒有經(jīng)過用戶的同意擅自被修改。

　　5.修改瀏覽器：在菜單欄上添加不需要的按鈕，在瀏覽器的地址欄中添非法內(nèi)容，自動添加菜單。

　　6.資源占用：CPU資源被大量占用，系統(tǒng)變得越來越慢。

　　7.使瀏覽器崩潰：流氓軟件由于太信賴于瀏覽器，因此，經(jīng)常會出現(xiàn)使瀏覽器莫名崩潰的情況。

　　8.干擾軟件：流氓軟件為了達到它的常久生存的目的，總是干擾一些如殺毒軟件的正常運行，使這些軟件出現(xiàn)莫名其妙的錯誤。

--

xhlgwei(芽)

中級站友

帖子: 187
積分: 440
貢獻值: 5
表現(xiàn)值: 377
飄香幣: 3759
狀態(tài): 當前離線

沙發(fā) 回復

xhlgwei(樓主)發(fā)表于 2007-11-1 21:49 | 只看該作者

象牙塔外的你是否還在躊躇，讓師兄師姐們撥開大學的神秘面紗吧！

Re: 從流氓軟件說說DLL動態(tài)插入技術(shù)與Rootkit技術(shù)

第二篇

系統(tǒng)DLL技術(shù)助力木馬靜態(tài)變動態(tài)

作者：未知文章來源：網(wǎng)絡點擊數(shù)：8 更新時間：2007-8-24 1:38:05

很多朋友依然不知道近年興起的“DLL木馬”為何物。什么是“DLL木馬”呢?它與一般的木馬有什么不同?

　　一、從DLL技術(shù)說起

　　要了解DLL木馬，就必須知道這個“DLL”是什么意思，所以，讓我們追溯到幾年前，DOS系統(tǒng)大行其道的日子里。在那時候，寫程序是一件繁瑣的事情，因為每個程序的代碼都是獨立的，有時候為了實現(xiàn)一個功能，就要為此寫很多代碼，后來隨著編程技術(shù)發(fā)展，程序員們把很多常用的代碼集合(通用代碼)放進一個獨立的文件里，并把這個文件稱為“庫”(Library)，在寫程序的時候，把這個庫文件加入編譯器，就能使用這個庫包含的所有功能而不必自己再去寫一大堆代碼，這個技術(shù)被稱為“靜態(tài)鏈接”(Static Link)。靜態(tài)鏈接技術(shù)讓勞累的程序員松了口氣，一切似乎都很美好。可是事實證明，美好的事物不會存在太久，因為靜態(tài)鏈接就像一個粗魯?shù)耐其N員，不管你想不想要宣傳單，他都全部塞到你的手上來。寫一個程序只想用到一個庫文件包含的某個圖形效果，就因為這個，你不得不把這個庫文件攜帶的所有的圖形效果都加入程序，留著它們當花瓶擺設，這倒沒什么重要，可是這些花瓶卻把道路都阻塞了――靜態(tài)鏈接技術(shù)讓最終的程序成了大塊頭，因為編譯器把整個庫文件也算進去了。

　　時代在發(fā)展，靜態(tài)鏈接技術(shù)由于天生的弊端，不能滿足程序員的愿望，人們開始尋找一種更好的方法來解決代碼重復的難題。后來，Windows系統(tǒng)出現(xiàn)了，時代的分水嶺終于出現(xiàn)。Windows系統(tǒng)使用一種新的鏈接技術(shù)，這種被稱為“動態(tài)鏈接”(Dynamic Link)的新技術(shù)同樣也是使用庫文件，微軟稱它們?yōu)?#8220;動態(tài)鏈接庫”――Dynamic Link Library，DLL的名字就是這樣來的。動態(tài)鏈接本身和靜態(tài)鏈接沒什么區(qū)別，也是把通用代碼寫進一些獨立文件里，但是在編譯方面，微軟繞了個圈子，并沒有采取把庫文件加進程序的方法，而是把庫文件做成已經(jīng)編譯好的程序文件，給它們開個交換數(shù)據(jù)的接口，程序員寫程序的時候，一旦要使用某個庫文件的一個功能函數(shù)，系統(tǒng)就把這個庫文件調(diào)入內(nèi)存，連接上這個程序占有的任務進程，然后執(zhí)行程序要用的功能函數(shù)，并把結(jié)果返回給程序顯示出來，在我們看來，就像是程序自己帶有的功能一樣。完成需要的功能后，這個DLL停止運行，整個調(diào)用過程結(jié)束。微軟讓這些庫文件能被多個程序調(diào)用，實現(xiàn)了比較完美的共享，程序員無論要寫什么程序，只要在代碼里加入對相關DLL的調(diào)用聲明就能使用它的全部功能。最重要的是，DLL絕對不會讓你多拿一個花瓶，你要什么它就給你什么，你不要的東西它才不會給你。這樣，寫出來的程序就不能再攜帶一大堆垃圾了――絕對不會讓你把吃剩的東西帶回家，否則罰款，這是自助餐。

　　DLL技術(shù)的誕生，使編寫程序變成一件簡單的事情，Windows為我們提供了幾千個函數(shù)接口，足以滿足大多數(shù)程序員的需要。而且，Windows系統(tǒng)自身就是由幾千個DLL文件組成，這些DLL相互扶持，組成了強大的Windows系統(tǒng)。如果Windows使用靜態(tài)鏈接技術(shù)，它的體積會有多大?我不敢想。

　　二、應用程序接口API

　　上面我們對DLL技術(shù)做了個大概分析，在里面我提到了“接口”，這又是什么呢?因為DLL不能像靜態(tài)庫文件那樣塞進程序里，所以，如何讓程序知道實現(xiàn)功能的代碼和文件成了問題，微軟就為DLL技術(shù)做了標準規(guī)范，讓一個DLL文件像奶酪一樣開了許多小洞，每個洞口都注明里面存放的功能的名字，程序只要根據(jù)標準規(guī)范找到相關洞口就可以取得它要的美味了，這個洞口就是“應用程序接口”(Application Programming Interface)，每個DLL帶的接口都不相同，盡最大可能的減少了代碼的重復。用Steven的一句話:API就是一個工具箱，你根據(jù)需要取出螺絲刀、扳手，用完后再把它們放回原處。在Windows里，最基本的3個DLL文件是kernel32.dll、user32.dll、gdi32.dll。它們共同構(gòu)成了基本的系統(tǒng)框架。

　　三、DLL與木馬

　　DLL是編譯好的代碼，與一般程序沒什么大差別，只是它不能獨立運行，需要程序調(diào)用。那么，DLL與木馬能扯上什么關系呢?如果你學過編程并且寫過DLL，就會發(fā)現(xiàn)，其實DLL的代碼和其他程序幾乎沒什么兩樣，僅僅是接口和啟動模式不同，只要改動一下代碼入口，DLL就變成一個獨立的程序了。當然，DLL文件是沒有程序邏輯的，這里并不是說DLL=EXE，不過，依然可以把DLL看做缺少了main入口的EXE，DLL帶的各個功能函數(shù)可以看作一個程序的幾個函數(shù)模塊。DLL木馬就是把一個實現(xiàn)了木馬功能的代碼，加上一些特殊代碼寫成DLL文件，導出相關的API，在別人看來，這只是一個普通的DLL，但是這個DLL卻攜帶了完整的木馬功能，這就是DLL木馬的概念。也許有人會問，既然同樣的代碼就可以實現(xiàn)木馬功能，那么直接做程序就可以，為什么還要多此一舉寫成DLL呢?這是為了隱藏，因為DLL運行時是直接掛在調(diào)用它的程序的進程里的，并不會另外產(chǎn)生進程，所以相對于傳統(tǒng)EXE木馬來說，它很難被查到。

四、DLL的運行

　　雖然DLL不能自己運行，可是Windows在加載DLL的時候，需要一個入口函數(shù)，就如同EXE的main一樣，否則系統(tǒng)無法引用DLL。所以根據(jù)編寫規(guī)范，Windows必須查找并執(zhí)行DLL里的一個函數(shù)DllMain作為加載DLL的依據(jù)，這個函數(shù)不作為API導出，而是內(nèi)部函數(shù)。DllMain函數(shù)使DLL得以保留在內(nèi)存里，有的DLL里面沒有DllMain函數(shù)，可是依然能使用，這是因為Windows在找不到DllMain的時候，會從其它運行庫中找一個不做任何操作的缺省DllMain函數(shù)啟動這個DLL使它能被載入，并不是說DLL可以放棄DllMain函數(shù)。

　　五、DLL木馬技術(shù)分析

　　到了這里，您也許會想，既然DLL木馬有那么多好處，以后寫木馬都采用DLL方式不就好了嗎?話雖然是這么說沒錯，但是DLL木馬并不是一些人想象的那么容易寫的。要寫一個能用的DLL木馬，你需要了解更多知識。

　　1. 木馬的主體

　　千萬別把木馬模塊寫得真的像個API庫一樣，這不是開發(fā)WINAPI。DLL木馬可以導出幾個輔助函數(shù)，但是必須有一個過程負責主要執(zhí)行代碼，否則這個DLL只能是一堆零碎API函數(shù)，別提工作了。

　　如果涉及一些通用代碼，可以在DLL里寫一些內(nèi)部函數(shù)，供自己的代碼使用，而不是把所有代碼都開放成接口，這樣它自己本身都難調(diào)用了，更不可能發(fā)揮作用。

　　DLL木馬的標準執(zhí)行入口為DllMain，所以必須在DllMain里寫好DLL木馬運行的代碼，或者指向DLL木馬的執(zhí)行模塊。

　　2. 動態(tài)嵌入技術(shù)

　　Windows中，每個進程都有自己的私有內(nèi)存空間，別的進程是不允許對這個私人領地進行操作的，但是，實際上我們?nèi)匀豢梢岳梅N種方法進入并操作進程的私有內(nèi)存，這就是動態(tài)嵌入，它是將自己的代碼嵌入正在運行的進程中的技術(shù)。動態(tài)嵌入有很多種，最常見的是鉤子、API以及遠程線程技術(shù)，現(xiàn)在的大多數(shù)DLL木馬都采用遠程線程技術(shù)把自己掛在一個正常系統(tǒng)進程中。其實動態(tài)嵌入并不少見，羅技的MouseWare驅(qū)動就掛著每一個系統(tǒng)進程。

　　遠程線程技術(shù)就是通過在另一個進程中創(chuàng)建遠程線程(RemoteThread)的方法進入那個進程的內(nèi)存地址空間。在DLL木馬的范疇里，這個技術(shù)也叫做“注入”，當載體在那個被注入的進程里創(chuàng)建了遠程線程并命令它加載DLL時，木馬就掛上去執(zhí)行了，沒有新進程產(chǎn)生，要想讓木馬停止惟有讓掛接這個木馬DLL的進程退出運行。但是，很多時候我們只能束手無策――它和Explorer.exe掛在一起了，你確定要關閉Windows嗎?

　　3. 木馬的啟動

　　有人也許會迫不及待的說，直接把這個DLL加入系統(tǒng)啟動項目不就可以了。答案是NO，前面說過，DLL不能獨立運行，所以無法在啟動項目里直接啟動它。要想讓木馬跑起來，就需要一個EXE使用動態(tài)嵌入技術(shù)讓DLL搭上其他正常進程的車，讓被嵌入的進程調(diào)用這個DLL的DllMain函數(shù)，激發(fā)木馬運行，最后啟動木馬的EXE結(jié)束運行，木馬啟動完畢。

　　啟動DLL木馬的EXE是個重要角色，它被稱為Loader，如果沒有Loader，DLL木馬就是破爛一堆，因此，一個算得上成熟的DLL木馬會想辦法保護它的Loader不會那么容易被毀滅。記得狼狽為奸的故事嗎?DLL木馬就是爬在狼Loader上的狽。

　　Loader可以是多種多樣的，Windows的rundll32.exe也被一些DLL木馬用來做了Loader，這種木馬一般不帶動態(tài)嵌入技術(shù)，它直接掛著rundll32進程運行，用rundll32的方法(rundll32.exe [DLL名],[函數(shù)] [參數(shù)])像調(diào)用API一樣去引用這個DLL的啟動函數(shù)激發(fā)木馬模塊開始執(zhí)行，即使你殺了rundll32，木馬本體還是在的，一個最常見的例子就是3721中文實名，雖然它不是木馬。

　　注冊表的AppInit_DLLs鍵也被一些木馬用來啟動自己，如求職信病毒。利用注冊表啟動，就是讓系統(tǒng)執(zhí)行DllMain來達到啟動木馬的目的。因為它是kernel調(diào)入的，對這個DLL的穩(wěn)定性有很大要求，稍有錯誤就會導致系統(tǒng)崩潰，所以很少看到這種木馬。

　　有一些更復雜點的DLL木馬通過svchost.exe啟動，這種DLL木馬必須寫成NT-Service，入口函數(shù)是ServiceMain，但是這種木馬的隱蔽性也不錯，而且Loader有保障。

　　4. 其它

　　到這里大家也應該對DLL木馬有個了解了，是不是很想寫一個?別急，由于DLL木馬掛著系統(tǒng)進程運行，如果它本身寫得不好，例如沒有防止運行錯誤的代碼或者沒有嚴格規(guī)范用戶的輸入，DLL就會出錯崩潰。別緊張，一般的EXE也是這樣完蛋的，但是DLL崩潰會導致它掛著的程序跟著遭殃，別忘記它掛接的是系統(tǒng)進程哦，結(jié)局就是……慘不忍睹。所以寫一個能公布的DLL木馬，在排錯檢查方面做的工作要比一般的EXE木馬多……

　　六、DLL木馬的發(fā)現(xiàn)和查殺

　　經(jīng)?？纯磫禹椨袥]有多出莫名其妙的項目，這是Loader的所在，只要殺了狼，狽就不能再狂了。而DLL木馬本體比較難發(fā)現(xiàn)，需要你有一定編程知識和分析能力，在Loader里查找DLL名稱，或者從進程里看多掛接了什么陌生的DLL，可是對新手來說……總之就是比較難啊比較難，所以，最簡單的方法：殺毒軟件和防火墻。

--

xhlgwei(芽)

中級站友

帖子: 187
積分: 440
貢獻值: 5
表現(xiàn)值: 377
飄香幣: 3759
狀態(tài): 當前離線

TOP

板凳回復

xhlgwei(樓主)發(fā)表于 2007-11-1 21:50 | 只看該作者

象牙塔外的你是否還在躊躇，讓師兄師姐們撥開大學的神秘面紗吧！

Re: 從流氓軟件說說DLL動態(tài)插入技術(shù)與Rootkit技術(shù)

第三篇

教你Rootkit技術(shù)的木馬知識

作者：未知文章來源：網(wǎng)絡點擊數(shù)：3 更新時間：2007-8-24 1:25:35

   自從“廣外幽靈”開創(chuàng)了dll木馬時代的先河以來，現(xiàn)在采用線程注射的dll木馬和惡意程序已經(jīng)隨處可見了，除了普遍被采用的另行編寫dll加載器程序躲在啟動項里運行加載dll主體之外，“求職信”還帶來了一種比較少見的通過注冊表“hkey_local_machine\software\microsoft\windows nt\currentversion\windows\appinit_dlls”項目加載自身dll的啟動方法，而相對于以上幾種早期方法，現(xiàn)在更有一種直接利用系統(tǒng)服務啟動自身的木馬程序，這才是真正的難纏！
   “服務”是windows系統(tǒng)的一大核心部分，在nt架構(gòu)系統(tǒng)中，服務是指執(zhí)行指定系統(tǒng)功能的程序、例程或進程，以便支持其他程序，尤其是底層(接近硬件)程序。通過網(wǎng)絡提供服務時，服務可以在active directy中發(fā)布，從而促進了以服務為中心的管理和使用。服務是一種應用程序類型，它在后臺運行。服務應用程序通?？梢栽诒镜睾屯ㄟ^網(wǎng)絡為用戶提供一些功能，例如客戶端/服務器應用程序、web服務器、數(shù)據(jù)庫服務器以及其他基于服務器的應用程序。 “服務”自身也是一種程序，由于使用的領域和作用不同，服務程序也有兩種形式：exe和dll，采用dll形式的服務是因為dll能實現(xiàn)hook，這是一些服務必需的數(shù)據(jù)交換行為，而nt架構(gòu)系統(tǒng)采用一個被稱為“svchost.exe”的程序來執(zhí)行dll的加載過程，所有服務dll都統(tǒng)一由這個程序根據(jù)特定分組載入內(nèi)存，然而，如今越來越多病毒作者瞄上了這個系統(tǒng)自帶的加載器，因為它永遠也不能被查殺。

      病毒作者將木馬主體寫成一個符合微軟開發(fā)文檔規(guī)范的服務性質(zhì)dll模塊文件，然后通過一段安裝程序，將木馬dll放入系統(tǒng)目錄，并在服務管理器（scm）里注冊自身為通過svchost.exe加載的服務dll組件之一，為了提高隱蔽性，病毒作者甚至直接替換系統(tǒng)里某些不太重要而默認開啟的服務加載代碼，如“distributed link tracking client”，其默認的啟動命令是“svchost -k netsvcs”，如果有個病毒替換了啟動命令為自己建立的分組“netsvsc”，即“svchost -k netsvsc”，在這種旁門左道加社會工程學的攻勢下，即使是具備一般查毒經(jīng)驗的用戶也難以在第一時間內(nèi)察覺到問題出自服務項，于是病毒得以成功逃離各種查殺。

      目前被發(fā)現(xiàn)使用此方法的木馬已經(jīng)出現(xiàn)，其中一個進程名為“ad1.exe”的廣告程序就是典型例子，它通過替換“distributed link tracking client”服務的svchost啟動項來躲過一般的手工查殺，同時它自身還是個病毒下載器，一旦系統(tǒng)感染了這個惡意程序，各種木馬都有可能光臨你的機器。

      要清理dll木馬，用戶需要借助于sysinternals出品的第三方進程管理工具“process expler”，利用它的“find handle  dll”功能，能迅速搜索到某個dll依附的進程信息并終結(jié)，讓dll失去載體后就能成功刪除，而dll木馬的文件名為了避免和系統(tǒng)dll發(fā)生沖突，一般不會起得太專業(yè)，甚至有“safaf.dll”、“est.dll”這樣的命名出現(xiàn)，或者在某些系統(tǒng)下根本不會出現(xiàn)的文件名，如“kernel.dll”、“rundll32.dll”等。除了使用“process expler”查找并終止進程以外，還可以用iceswd強行卸載某個進程里的dll模塊來達到效果。

      對于服務性質(zhì)的dll，我們?nèi)匀皇褂?#8220;process expler”進行查殺，由于它的層次結(jié)構(gòu)，用戶可以很直觀的看到進程的啟動聯(lián)系，如果一臺機器感染了殺不掉的頑固木馬，有經(jīng)驗的用戶做的第一件事情就是禁止掉不相關或者不重要的程序和服務在開機時運行，然后使用“process expler”觀察各個進程的情況，通過svchost.exe啟動的dll木馬雖然狡猾，但是它釋放出exe文件運行時，一切都暴露了：一個svchost.exe服務進程執(zhí)行了一個ad1.exe，還有比這更明顯的嗎？

svchost的分組信息位于注冊表的“hkey_local_machine\software\microsoft\windows nt\currentversion\svchost”項目，這是svchost加載dll時的分組依據(jù)，如果用戶發(fā)現(xiàn)了一個奇怪的分組信息，那就要提高警惕了。

隱藏技術(shù)發(fā)展的顛峰：Rootkit木馬

      隨著安全技術(shù)的發(fā)展和計算機用戶群的技術(shù)提高，一般的木馬后門越來越難生存，于是一部分有能力的后門作者把眼光投向了系統(tǒng)底層——ring 0。位于ring 0層的是系統(tǒng)核心模塊和各種驅(qū)動程序模塊，所以位于這一層的木馬也是以驅(qū)動的形式生存的，而不是一般的exe。后門作者把后門寫成符合wdm規(guī)范（windows driver model）的驅(qū)動程序模塊，把自身添加進注冊表的驅(qū)動程序加載入口，便實現(xiàn)了“無啟動項”運行。一般的進程查看器都只能枚舉可執(zhí)行文件exe的信息，所以通過驅(qū)動模塊和執(zhí)行文件結(jié)合的后門程序便得以生存下來，由于它運行在ring 0級別，擁有與系統(tǒng)核心同等級的權(quán)限，因此它可以更輕易的把自己隱藏起來，無論是進程信息還是文件體，甚至通訊的端口和流量也能被隱藏起來，在如此強大的隱藏技術(shù)面前，無論是任務管理器還是系統(tǒng)配置實用程序，甚至系統(tǒng)自帶的注冊表工具都失去了效果，這種木馬，就是讓人問之色變的Rootkit。

      要了解Rootkit木馬的原理，就必須從系統(tǒng)原理說起，我們知道，操作系統(tǒng)是由內(nèi)核（kernel）和外殼（shell）兩部分組成的，內(nèi)核負責一切實際的工作，包括cpu任務調(diào)度、內(nèi)存分配管理、設備管理、文件操作等，外殼是基于內(nèi)核提供的交互功能而存在的界面，它負責指令傳遞和解釋。由于內(nèi)核和外殼負責的任務不同，它們的處理環(huán)境也不同，因此處理器提供了多個不同的處理環(huán)境，把它們稱為運行級別（ring），ring讓程序指令能訪問的計算機資源依次逐級遞減，目的在于保護計算機遭受意外損害——內(nèi)核運行于ring 0級別，擁有最完全最底層的管理功能，而到了外殼部分，它只能擁有ring 3級別，這個級別能操作的功能極少，幾乎所有指令都需要傳遞給內(nèi)核來決定能否執(zhí)行，一旦發(fā)現(xiàn)有可能對系統(tǒng)造成破壞的指令傳遞（例如超越指定范圍的內(nèi)存讀寫），內(nèi)核便返回一個“非法越權(quán)”標志，發(fā)送這個指令的程序就有可能被終止運行，這就是大部分常見的“非法操作”的由來，這樣做的目的是為了保護計算機免遭破壞，如果外殼和內(nèi)核的運行級別一樣，用戶一個不經(jīng)意的點擊都有可能破壞整個系統(tǒng)。

      由于ring的存在，除了由系統(tǒng)內(nèi)核加載的程序以外，由外殼調(diào)用執(zhí)行的一般程序都只能運行在ring 3級別，也就是說，它們的操作指令全部依賴于內(nèi)核授權(quán)的功能，一般的進程查看工具和殺毒軟件也不例外，由于這層機制的存在，我們能看到的進程其實是內(nèi)核“看到”并通過相關接口指令（還記得api嗎？）反饋到應用程序的，這樣就不可避免的存在一條數(shù)據(jù)通道，雖然在一般情況下它是難以被篡改的，但是不能避免意外的發(fā)生，Rootkit正是“制造”這種意外的程序。簡單的說，Rootkit實質(zhì)是一種“越權(quán)執(zhí)行”的應用程序，它設法讓自己達到和內(nèi)核一樣的運行級別，甚至進入內(nèi)核空間，這樣它就擁有了和內(nèi)核一樣的訪問權(quán)限，因而可以對內(nèi)核指令進行修改，最常見的是修改內(nèi)核枚舉進程的api，讓它們返回的數(shù)據(jù)始終“遺漏”Rootkit自身進程的信息，一般的進程工具自然就“看”不到Rootkit了。更高級的Rootkit還篡改更多api，這樣，用戶就看不到進程（進程api被攔截），看不到文件（文件讀寫api被攔截），看不到被打開的端口（網(wǎng)絡組件sock api被攔截），更攔截不到相關的網(wǎng)絡數(shù)據(jù)包（網(wǎng)絡組件ndis api被攔截）了，我們使用的系統(tǒng)是在內(nèi)核功能支持下運作的，如果內(nèi)核變得不可信任了，依賴它運行的程序還能信任嗎？

      但即使是Rootkit這一類恐怖的寄生蟲，它們也并非所向無敵的，要知道，既然Rootkit是利用內(nèi)核和ring 0配合的欺騙，那么我們同樣也能使用可以“越權(quán)”的檢查程序，繞過api提供的數(shù)據(jù)，直接從內(nèi)核領域里讀取進程列表，因為所有進程在這里都不可能把自己隱藏，除非它已經(jīng)不想運行了。也就是說，內(nèi)核始終擁有最真實的進程列表和主宰權(quán)，只要能讀取這個原始的進程列表，再和進程api枚舉的進程列表對比，便能發(fā)現(xiàn)Rootkit進程，由于這類工具也“越權(quán)”了，因而對Rootkit進行查殺也就不再是難事，而Rootkit進程一旦被清除，它隱藏自身的措施也就不復存在，內(nèi)核就能把它“供”出來了，用戶會突然發(fā)現(xiàn)那個一直“找不到”的Rootkit程序文件已經(jīng)老實的呆在文件管理器的視圖里了。這類工具現(xiàn)在已經(jīng)很多，例如iceswd、patchfinder、gdb等。

      道高一尺，魔高一丈，因為目前的主流Rootkit檢測工具已經(jīng)能檢測出許多Rootkit木馬的存在，因此一部分Rootkit作者轉(zhuǎn)而研究Rootkit檢測工具的運行檢測算法機制，從而制作出新一代更難被檢測到的木馬——futo Rootkit。

      國產(chǎn)優(yōu)秀檢測工具iceswd在futo面前敗下陣來，因為futo編寫者研究的檢測工具原型就是一款與之類似的black & light，所以我們只能換用另一款Rootkit檢測工具darkspy，并開啟“強力模式”，方可正常查殺Rootkit。

      但是由于檢測機制的變化，darkspy要檢測到futo的存在，就必須保證自己的驅(qū)動比futo提前加載運行，這就涉及到優(yōu)先級的問題，也是讓業(yè)界感覺不太滿意的一種方式，因為這樣做的后果會導致系統(tǒng)運行效率下降，不到緊急關頭，都不要輕易采用這種方法，然而現(xiàn)在的瑞星卡卡助手所推廣的“破甲”技術(shù)，實現(xiàn)原理是與之類似的，它也會對系統(tǒng)造成一定影響，因而，這個介于安全和效率之間的選擇，唯有留給用戶自己思考了。

本站僅提供存儲服務，所有內(nèi)容均由用戶發(fā)布，如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請點擊舉報。

国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

從流氓軟件說說DLL動態(tài)插入技術(shù)與Rootkit技術(shù)

Re: 從流氓軟件說說DLL動態(tài)插入技術(shù)與Rootkit技術(shù)

Re: 從流氓軟件說說DLL動態(tài)插入技術(shù)與Rootkit技術(shù)