Rootkit概述

执行前言

Evasion Attacks——隐遁攻击：一种而已网络攻击新形态。利用隐遁技术，通过伪装或修饰网络攻击痕迹，以规避、阻碍信息安全系统检测与取证的恶意网络攻击。Rootkit隐遁攻击通过钩挂系统服务调用以更改指令执行路径，致使传统的网络安全防御工具难以检测取证；通过篡改系统内核数据，使其毫无察觉地潜伏于目标系统中多年，而用户对此却一无所知。驻留内存的Rootkit隐遁攻击：无磁盘文件，Rootkit全部在内存中中加载运行，目标机器关机后，实施攻击的文件映像自我删除、自动消失，致使无证可取。伪装内存的Rootkit隐遁攻击：即使有磁盘文件，但其在内存中运行后便实施内存视图伪装，以蒙混欺骗相关实时检测取证工具，致使取得伪证。Rootkit是什无限之淘汰么

Rootkit是一种通过修改操作系统内核或更改指令执行路径，来隐藏系统对象（包括文件、进程、驱动、注册表项、开放端口和网络连接等），以逃避或者规避标准系统机制的程序。

Rootkit源于UNIX系统，Root指拥有所有特权的管理员，Kit是管理工具，由此可以认为Rootkit就是而已获取管理员特权的工具，利用其越权高尔夫改装。

Rootkit提供服务而非实现服务，3种服务：隐遁；侦察；控制。

从计算机系统的层次化设计谈Rootkit设计理念如何获得控制权入驻系统内核空间获取Ring 0特权。如何隐匿自身通过修改系统数据结构，拦截修改接口信息和替换接口等方式，使其他程序获得经其修改后的信息。

主要从3个工作机制来深入理解Rootkit与软硬件环境的交互机制，进而理解其设计内涵：硬件系统、软件系统、Windows内核驱动程序。

硬件层

Intel IA-32体系架构的三种基本操作模式：

实模式（Real Mode,RM）保护模式（Prot少女动漫ected Mode,PM）系统管理模式（System Management Mode,SMM）1.“段+偏移”2.1MB3.无安全级别4.无分页功能5.各寄存器1高新审计6位（段20位）6.无保护机制1.“段式+页式”2.4GB（有PAE模式）3.4个安全级别4.有分页功能5.各寄存器32位（兼容同名16位）执行嵌入在固件中的特殊代码；APIC控制器的SMM中断引线脚；SMM下老友记剧本，处理器切换到一独立地址空间，执行可透明；处理器从SMM模式返回SMI

1.探讨保护模式执行环境

保护模式执行环境可视为对实模式执场景设计行环境的扩展，含6个段寄存器、4个通用寄存器、3个指针寄存器、2个变址寄存器、1个标志寄存器。

段寄存器（16位）

CS、DS、SS、ES、世界最危险机场FS、GS

高13位（位15~3）位3低2位（位1~0）存储描述符表的索引存储段选择器的请求特权级存储描述符表的类型

注：请求特权级（Request Privilege Level，RPL）——当前进程对段访问的请求权限。4种可能值（00、01、10、11）——0值最高；3值最低；

描述符表

全局描述符表（Global Descriptor Table）GDT局部描述符表（Local Descriptor Tab海淀教堂le）LDT强制存在（IA-32体系上的OS启动必创建）可选供所有进程共享被单一进程使用GDT的基址存储在寄存器GDTR中位3 为 0位3 为 1来自原书

16位段选择器（程序员可见）+64位段描述符（不可见）；

注：CS不可显式设置，需借助转移程序控制指令来隐式设置，如JMP、CAL博士申请L、INT、SYSENTER、SY新鞋磨脚SEXIT等指令。

描述符表寄存器GDTRLDTRIDTR全局描述符表寄存器局部描述符表寄存器中断描述符表寄存器低16位决定GDT大小特权指令LGDT，加载GDTR特权指令SGDT，读取GDTR低16位决定IDT大小特权指令LIDT，加载IDTR特权指令SIDT，读取IDTR通用寄存器

EAX、EBX、ECX、军模EDX

由霍兰德实模式的16位扩展为32位（E——Extend）。

指针寄存器

EIP

由16位的IP扩展；

存储下一条要执行的指令。

歪鼻矫正手术变址寄存器

ESP、EBP、EDP、ESI

由实模式的16位扩展为32位（E——Extend）；

存储逻辑地址的有效部分。

标志寄存器

EFLAGS

由16位的标志寄存器扩展为32位；

增加4个控制位：IOPL（指定I/O特权级）、NT（控制中断返回指令IRET）怎样下载、RF（重启标志，控制是否接受调试故障）、VM（虚拟8086模式）；

与Rootkit相关的位：IF（中断允许位，响应中断请求）、TF（陷阱允许位，产生单步中断）

控制寄存器

4个32位控制寄存器：

CR0CR1CR2CR3控制分段和分页管理机制；PE=0，实模式；PE=1，保护模式；PG=0，禁用分页管理机制；PG=1，启用分页管理机制；WP保护标志，WP=1，内核代码也不能写入只读用户态内存页面；MP，算数存在位；EM，模拟位；TS，任务切换位；ET，扩展类型位；位5~30，保留位，0被保留以供未来使用（就不用）分页管理机制的控制位分页管理机中西方文化差异制的控制位；位0~11，保留位，0

2.ptsdCPU特权级

目前Windows和Linux的OS只使用ring 0和ring 3；

3.内存访问控制体系

基于段的检查

界限检查CPU检查GDTR，确认进程不会访问位于GDT之外的项和不存在的页；段类型检查CPU检查段描述符的S标志和T托福与雅思的区别ype标志，确认进程不会以不适当的方式访问内存段；特权级检查CPL \leq RPL ：可访问16位可见的段选择器；RPL \leq DPL ：可访问64位不可见的段描述符；受限指令检查CPU去湿机检查CPL，确认是否有权限执行特权指令（CPL=0时，有权限）；门描述符检查CPL \leq RPL且RPL \leq DPL时，进程可使用调用门跳转至新的代码段；

基于页的检查

在基于段的检查的基础上，通过访问页目录项（PDE）和页表项（PTE）中的用户/超级用户标志（U/S）、页类型标志（R/W），以确认当前进程是否有权访问内存。

软件系统

在Windows系统中，Rootkit可攻击的点：

在进程管理器中，通过修改EPROCESS和E原发性肝癌THREAD数据结构隐匿相关进程；在内存管理器中，通过修改GDT和LDT中的相关值，获得特权以修改相关内存页面的信息；在I/O及文件系统管理器中，通过在高层钩挂API函数，或在底层拦截IRP请求，实现文件和目录隐藏；在网络管理器中，修改或钩挂NDIS或TDI的API函数，实现相关网络流量隐藏；在安全监视器中，通过修改内核部分代码，删除所有安全机制；在配置管理器中，通过修改或钩挂相关API最大成人网函数，隐藏相关进程的注册表键值；

（弃了...）