(转载)用SystemLoadAndCallImage加载Rootkit

作者: 来源:网络文章时间:2005-12-17 19:08:27

(转载)用SystemLoadAndCallImage加载Rootkit(1)

用SystemLoadAndCallImage加载Rootkit

转自：http://www.xfocus.net
创建时间：2003-09-25
文章属性：原创
文章提交：PHP?lang=cn&act=Profile&do=03&MID=34420">Sephiroth_ (kinvis_at_hotmail.com)

Sephiroth.V

[前言]
    我最近对NT Rootkit开始感兴趣，无奈国内的资料少得惊人，在这方面几乎是一片空白，就只有翻译的Gary Hoglund的一篇《一个修改NT内核的真实的ROOTKIT》。到国外的网站转了几天倒是收获非浅，国外在这方面的研究确实深刻多了。现在我翻译另一篇Gary Hoglund的文章，在这篇文章里我加入了一些个人的注释，如果大家对NT ROOTKIT感兴趣的话可以到www.rootkit.com上看看，那里有Gary Hoglund和很多人的优秀的NT ROOTKIT和大量有价值的资料。

[正文]
    大家好。

    这段时间以来在NETBUGTRAQ上有个有关在内核模式下如何保护系统免遭ROOTKIT的讨论。这是个好现象，我们rootkit.com的目的就是让人们思考这个问题。比方说，现在就有一个Pedestal Software的ANTI-ROOTKIT(全名Integrity Protection Driver)。

    在今年的Blackhat Briefings上，很多聪明的人在谈论有多少种方法把代码加载进内核模式-很明显是受到“ANTI-ROOTKIT”的影响。很多ROOTKIT的作者也加入其中。所以我们打算改变这个WINDOWS ROOTKIT。

    直到现在，这个WINDOWS ROOTKIT还是被设计为一个驱动程序。但是没有理由一个ROOKIT必须被设计为一个驱动程序--或者一个可加载模块。  去年我们发布了ROOTKIT来证明完全用户模式的软件是基本没有意义的。想想看，任何一个能够HACK你的系统的人都可以去加载进内核模式，这是100%保证的。如果一个攻击者用一个用户级的帐户进入你的系统，他们然后就是获得ADMINISTRATOR--以获得足够的权限使你能够加载内核模式代码。在这个事实面前，很容易看到你的服务商的解决办法离开你的知识是十分脆弱的。

    将完全的保护放到内核模式的主意挺不错，不过它不可能完成除非微软自己解决。如果微软真这么做的话，那么安全公司就会消失：)

    现在有人提出一种加载内核模式代码的方法，使用一个未公布的入口

(entry point)进入内核空间--比方象/dev/physicalmemory设备，或者一个使用“SystemLoadAndCallImage”的系统调用(syscall)。我们继续研究，但事实是有一个非操作系统支持的影响点(leverage point)来控制进入内核模式--因为这样，新的入口点(entry point)总是被发现。

    假定微软真的修补NT结构来保护以免于上面提到的这几种方法，也仍然有通过在内核里寻找可供缓冲区溢出的方法。每个你安装的第三方驱动程序可以给予你通过IOCTL()命令甚至是普通的读/写消息来进行缓冲区溢出的可能。甚至就是NT里默认的驱动程序在这方面也很脆弱。

1.(转载)用SystemLoadAndCallImage加载Rootkit(1)
2.(转载)用SystemLoadAndCallImage加载Rootkit(2)
3.(转载)用SystemLoadAndCallImage加载Rootkit(3)
4.(转载)用SystemLoadAndCallImage加载Rootkit(4)
5.(转载)用SystemLoadAndCallImage加载Rootkit(5)

共5页 9 7 [1] [2] [3] [4] [5] 8 :>

(转载)用SystemLoadAndCallImage加载Rootkit 相关文章：

(转载)用SystemLoadAndCallImage加载Rootkit 相关软件：

特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员，我们尽快予以更正。
转载请注明来源：http://www.xgdown.com