欢迎来到天天文库
浏览记录
ID:34397439
大小:197.89 KB
页数:4页
时间:2019-03-05
《windowsnt下挂接ssdt隐藏进程的原理与实现》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、网络安全WindowsNT下挂接SSDT隐藏进程的原理与实现王全民何涛霍奕朱二夫北京工业大学北京100124摘要:隐藏进程的方法有多种,而且有些技术已经深入到内核模式下,使计算机用户在任务管理器甚至一些检测软件中都难觅被隐藏进程的踪迹。本文详细分析了利用挂接SSDT实现进程隐藏的技术原理,给出了隐藏进程的核心算法,以及应用程序启动系统服务的方法。关键词:挂接;系统服务描述符表;隐藏进程;驱动程序0引言这个ID号来查找系统服务描述符表中的对应系统服务信息。一些程序为了特殊的目的需要隐藏进程,隐藏进程有多Windows20
2、00下执行int指令导致产生中断,在XP下执行sysenter产生中断。进入中断以后,系统会根据服务号(eax)在种方法,可以在用户模式下挂接某些查询进程信息的API函数,还可以利用DLL和远程线程技术等,也可以在内核模式SSDT中查找对应的表项,找到的表项就是系统服务函数的真下隐藏进程。显然,涉及的模块越靠近底层,进程隐藏的效正地址。如图1所示:果就越好。本文结合笔者的实现程序,来详细说明通过挂接SSDT在内核模式下隐藏进程的技术。SSDT(SystemServicesDescriptorTable)即系统服务描述符
3、表,这张表在用户模式的Win32API函数和内核模式下的图1SSDT关联到内核模块内核API函数之间建立地址映射。SSDT并不仅仅只包含一个若要挂接SSDT来实现函数的重定向,只需要修改SSDT地址索引表,它还包含着一些其它有用的信息,诸如地址索中的某个系统服务程序的入口地址,即修改表中服务号所对引的基地址、服务函数个数等。众所周知,在Intel平台上,处应的函数的地址,使其地址指向自定义的函数地址,在进入理器会提供从Ring3到Ring0共四种处理器模式,每种模式有自定义代码后再执行原始系统服务地址处的代码。不同的操
4、作权限,Windows操作系统只用到了ring0和ring3这2挂接SSDT实现进程隐藏的原理两种模式。而要在内核模式下访问系统资源,必须开发设备在用户态使用的很多查询系统信息的API(包括枚举进程驱动程序。使用的HelpTool库、Psapi库等中的函数),最终都是通过调用1Windows系统服务调度原理ZwQuerySystemlnformation函数实现的。内核模式下的系统服务就是由操作系统提供的一个函数集,应用程序可ZwQuerySystemlnformation函数只是NtQuerySystemlnform
5、ation函以通过API函数间接的调用系统服务。对于用户模式的请求,首数的映像,所以真正挂接的是NtQuerySystemlnformation函数。先要调用Ntdll.dll这个动态链接库来转译成内核服务。Ntdll.dll执首先来看一下NtQuerySystemlnformation函数的原型:行INT指令产生陷阱,由用户态进入到内核态,传递相关的服NtQuerySystemInformation(务号和参数列表。当在应用程序调用基于Ntdll.dll的系统服务INULONGSystemInformationCla
6、ss,时,在WindowsXP下会发现Ntdll.dll中的这个函数的形式如下:INPVOIDSystemInformation,moveax,ServiceIDINULONGSystemInformationLength,leaedx,ParameterTableOUTPULONGReturnLength);calldwordptr[edx]NtQuerySystemInformation可以对系统的很多状态进行查retn询,SystemInformationClass用来区分功能,SystemInformation
7、其中ServiceID是将要调用的系统服务的ID号,内核使用表示接收系统信息缓冲区,SystemInformationLength表示接收作者简介:王全民(1963-),男,副教授,北京工业大学硕士生导师,研究方向:信息安全。何涛(1981-),男,北京工业大学硕士研究生,研究方向:信息安全。霍奕(1982-),女,河北师大职教学院。朱二夫(1983-),男,北京工业大学硕士研究生,研究方向:信息安全。2009.47网络安全信息缓冲区大小,ReturnLength返回实际接收到的大小。其中(当SystemInforma
8、tionClass等于5时,表示正在进行进程信息ULONGSystemInformationCLass,查询。此时返回的SystemInformation是一个_SYSTEM_P-PVOIDSystemInformation,ROCESSES结构。ULONGSystemInformationLength,typedefstruct
此文档下载收益归作者所有