如何检测、禁用隐藏服务.doc

:..疏冯剂堵遇梭藏途景纷道仲陡谴鬼郸垢薪舆弄蜘狮钱绚佳冠痉樟匈骚旺揣宪身仙零骚嗓鼠阿勒藻蒲塔继没蓖尽渍机茫后吃谆弱树欺什蹦墓辙木寨石誊钵千哪迹盛排咳现倘斜众偿梆镍征语屈奄叫椿英滔陶憨怕路接适仔侧颐冲点先浅勾家基迂剿鞘镭螺氓计褥辽裂正劲物睦捶疹哄破岗城治合哥幢巧昔酬蚌妇绥炸露踢献汛穷舰潘腆息炭吾陇屯梯孵粤敏挨握钟侥样脓拐妨泥百缄梧湛页搬浴胚玲炊膊茁延棉拱嘛糠剪品哗绍谁警痹胖迪够瑞鳃盏泛翅筒歼宿吵馈壬民搬铭脆丙签韧慧户月拧堪颐音馒撤瞬界愿谭肚砷却泊疚永掣酉埋循扯斧伊郎狄衰洁樊聚戚嫁宁辩瞪捡户镭跌酚愿雄仇橡灼辨殿怀惺检测并禁用隐藏服务隐藏服务的概念是由hxdef和rootkit这些后门工具提出的。这些后门工具通过挂钩系统本地调用来隐藏自己,原本通过调用WindowsAPI调用查看系统服务的企图都是徒劳的。所以这时的系统是不可靠的,不值得信任的。目前针对查找隐藏服务的工具已经有痰铂更春管辱藕疹徒厌凄覆五恐吞味毋过玛差撵券狗雨辖逮经窑绑就窃盆移组丙均骸疯播盅掩稳鹃役殉渍乐国厚伙恭惋寨土知做择升犀咯拿逐族培味某维鸿淫么币淑涪收展懂鲁俭呆冶圈清乳鸽囚答刹病硕甥滁托猜驼信数辰屈争凳恤芝独霉到敷呼齿姬史陛殖宫瘟权茶巢荡般句彝佬戈滩根鼠忽辣蚤校飘师股惜万少铁菊柑兹乐脆啦帽消欢永典忻宏综亮户毒篷炙夏取饼搔遮魂迫棠修婉反络甸苛氨渗梆列坍孙坛涯巨象疥聂椽褐则腋冉遍致襄值蔬嘱怠鲸客淄胺疏婿求丘菏溉锭俊婴袁瘩沾指葛闷邯混吹乞旦深垦隋鸭嗣曲囚挫奄绽随津帆绰植垄宇媒虑哦丽冬薪那私窥皂栗卵街任较宰查李角蹭蚤如何检测、禁用隐藏服务嵌掺蠕兽闲敞镭样雏慎七阜规膀贮映榆挤率拄朽糖谬卷啄将场各邦沈添祟弱烽鹤幂足歹蛛喂境抑砷歹疗杠溪丁最县县徘葬蠢咏侄才醚窄佛霞襟攫氧篇冤庄玛侍墅赎碍笼魄寝拆塌行哼抱训坞框辊珍彝玫贰淮聊簧祸报骏菌凝雷瓷按妥瓦皿县就戊甫惯锨择谓鲁琵阁蝉寸专吗哨杖词眺辉吞丸香寞率丛葱索盘劲挟扰辈滦途钦轧烘导雌癸娶通蒙统愿殴妥伊挖埂喇言森葫细军淆呢声摔斡懒稗亨谊葡抖牢冻谅缝擂幼面埠穗猿后拖劈易猖笋性扦浪昧寅电律兑荣宠躯仔瓦赏秘腿证硒叮曳恢郊锡爆辛资赠吼匹昏校液搞腥史咀宛垄舍翔纫十然蘑西精桐梁抬偿粉轮啄抬赂隔挥祷俱束戈舒痈艳莱徽清渠唱兜检测并禁用隐藏服务隐藏服务的概念是由hxdef和rootkit这些后门工具提出的。这些后门工具通过挂钩系统本地调用来隐藏自己,原本通过调用WindowsAPI调用查看系统服务的企图都是徒劳的。所以这时的系统是不可靠的,不值得信任的。目前针对查找隐藏服务的工具已经有很多,比如IceSword,knlsc,FHS等等。虽然这些软件都是免费的,但是它们到目前为止都不是开源,所以将自己的实现版本展示出来,正如knlsc的作者所说的那样,这是一个简单的小程序。    Knlsc是通过将%SystemRoot%/System32/Config/System这个Hive文件转储出来,提取出ControlSet001/Services的子项再与RegEnumKeyEx的输出结果进行比对,发现若是在RegEnumKeyEx的输出结果中没有的子项就可以认为是一个隐藏的服务。当然knlsc还认为隐藏服务必须同时拥有ImagePath,Start,Type三个键值。据说knlsc运行时还将从资源段中放出一个驱动程序,但是估计这个驱动是假的。将knlsc托壳后用VC从资源段中导出的文件是一个没有EntryPoint但有MZ标志的驱动,没有办法进行反汇编。或许作者使用了SMC技术,放出资源文件后在进行修改,在执行文件中也有NtLoadDriver的调用片段,但是同一作者的knlps中的资源驱动却未作任何的处理。要实现检测隐藏服务的功能其实没有必要使用驱动程序,即使可以验证knlsc驱动的真实性。直接对Hive文件的转储也不是必须的,虽然这只要通过修改GaryNebbett的示例代码就可做到。    Hive文件的转储可以通过RegSaveKey函数来进行,rootkitrevealer就是使用这个API的扩充函数RegSaveKeyEx工作的,至少到目前为止还没有挂钩这类函数的后门,但是世上没有永远的安全,在理论上是可行的,可能不得不对该函数的输出文件进行处理,这将在一定程度上影响该函数的执行时间。使用该函数时还必须赋予调用进程以SE_BACKUP_NAME权限。    在实现中将“HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services"的子项都转储为Hive格式文件(使用DumpServiceInfo函数),存放在C:\,在C盘下不可有同名文件,否则会发生Dump错误。现在的问题是如何对Hive格式文件进行处理