【网络通信安全管理员认证－中级】内核级后门Rootkit技....ppt

内核级后门RootKit技术
声明
本PPT原为在我们系讨论会上我所作的演讲,因CVC里朋友们对Rootkit技术的热爱与渴求,先把PPT放出来,希望对有些朋友有所启发。其中有些敏感技术信息已删去,不过相信对有些朋友还是有用的。
PS: EST : ww.
CVC :
前言
什么是 Rootkit [此处只讨论基于Windows平台的]
Rootkit与普通木马后门以及病毒的区别
Rootkit宗旨:隐蔽
通信隐蔽、自启动项隐藏、文件隐藏、进程/模块隐藏、注册表隐藏、服务隐藏、端口隐藏 etc.
研究内核级后门 Rootkit 技术的必要性
事物两面性;信息战、情报战……
Rootkit技术发展
Ring3 (用户态) -> Ring0 (核心态)
MEP (Modify Execution Path) -> DKOM (Direct Kernel Object Manipulation)
越来越深入系统底层,挖掘未公开系统内部数据结构
非纯技术性的各种新思路..
技术总揽之隐藏篇
MEP (Modify Execution Path) 行为拦截挂钩技术
Hooks(挂钩、挂接的意思):
目的:拦截系统函数或相关处理例程,先转向我们自己的函数处理,这样就可以实现过滤参数或者修改目标函数处理结果的目的,实现进程、文件、注册表、端口之类的隐藏
Hook技术分类:
Inline Hook(比如修改目标函数前几个字节为jmp至我们的函数)
IAT (Import Address Table)
SSDT (KeServiceDescriptor Table)
IDT (Interrupt Descriptor Table)
Filter Driver (I/O Request Packet (IRP) )
Hook IRP Function,etc…
IAT HOOK
Import Address Table
Table Entry
函数名 or 序号
0x11223344
IAT HOOK
Table Entry
FunctionName or Ordinal
0x11223344
Some DLL
CODE
CODE
IAT HOOK
系统 DLL
CODE
CODE
Rootkit
后门代码
IAT HOOK
系统 DLL
CODE
CODE
Rootkit
BAD CODE
技术总揽隐藏篇之代码注入
Ring3: + WriteProcessMemory


c. HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

(1、全部插入 2、感染IAT )
f. DebugActiveProcess + SetThreadContext
etc. (Activx,SPI,BHO…)
Ring0: KeAttachProcess…