文档介绍:第2页 / 总页数 9 页
Rootkit入门手册
Rootkit 嵌入到MBR,Mebroot利用rootkit下载一个450KB的文件,将自身存储在硬盘的最后几个扇区,将自举管理程序写入MBR,实现隐藏磁盘访问,内核中实现,,,创建看门狗线程,如果没有安装,,与NDIS通信,构造TCP/IP协义栈。Rootkit一般有两种类型:用户模式和内核模式,用户模式的rootkit如HackerDefender100r容易被发现,但holy_father提供了HxDef的修改版本,命名为Silver andGold并开始销售,也能够防止系统级别的进程,内核模式的rootkit的运行级别与驱动程序是一个级别,内核rootkit不能工作于所有版本的Windows,增加了操作系统的不稳定性,每个rootkit都可以被探测到,但是准确探测的难度和时间超过了结果的价值
软钩子
进程附加操作,对INT3中断指令的使用以截获程序流,
FireFox挂钩,在PR_Write上设下一个钩子,当钩子命中时,读取栈上第二个参数所指向的ASCII字符串,如果这一字符串与我们之前定下的pattern变量相匹配时,它将被输出至控制台.
第3页 / 总页数 9 页
如果将软钩子施加于调用频繁的函数身上时,目标进程的运行状态可能会极慢,或者会崩溃,因为软钩子所依赖的INT 3指令会导致中断处理例程接过控制权,直到相应的钩子代码执行完毕交还目标进程的控制权,若这一过程每秒钟需要发生上千次的话,大量的性能损失将不可能避免.
硬钩子
以硬编码形式向目标进程写入一条跳转指令,以使得同样使用汇编编写而成的钩子代码能够得以执行,软钩子适用于拦截那些调用次数少的函数,而调用次数多的函数,为了对目标进程施加最小的影响,硬钩子成为不二选择,硬钩子首要拦截对象是调用频繁的堆管理例程以及高密度的文件I/O操作。
当使用硬钩子时,目标进程从未真正意义地停止过,使用FastLogHook简易钩子类,构建一个硬钩子的基本框架 Imm=()
Fast=(imm)
(address,num_arguments) #负责布置钩子,如果选择某个函数的出口位置只须将num_arguments设置为零值即可,
(register) //在钩子命中时记录特定寄存器中的值 (address)#记录某一已知内存地址上的值
(register,offset)接受一个寄存器以及一个偏移地址作为参数,解析栈
上的参数或者提取(以某寄存器为基地址)某偏移位置上的内存数据而设计.
如果要取所有的信息使用getAllLog(),对于一般的cdecl函数调用约定我们只需使用普通的FastLogHook即可,其他还可以使用STDCALLFastL