Anti-Rootkit目前扫描Hook的方法主要有以下几种:
1.对抗inline -hook ,IAT/EAT Hook
Anti-Rootkit使用读取磁盘上系统文件并将之进行map\重定位后,同内存中的代码进行对比的方法来检测inline hook(或EAT/IAT HOOK,后同),类似的工具例如Rootkit Unhooker, gmer, Icesword等等
为了对抗Anti-Rootkit的inline Hook扫描,Rootkit们使用一些方法来进行自己HOOK的隐藏
例如Shadow Walker的方法,HOOK Int 0Eh缺页中断来隐藏内存中被HOOK的代码
或者是例如流氓软件CNNIC中文上网,HOOK FSD的IRP_MJ_READ,当读取到ntfs.sys等文件时,修改数据,将错误的结果返回回去,导致Anti-rootkit工具误认为内存中的代码是正确的
多种方式都可以让这种传统的INLINE HOOK检测方法失效
2.Object Hook
Object Hook一般更隐藏,更难检测
为大家所熟知的Object hook例如有修改driver object中的MajorFunction dispatch表
或者是hook KeyObject(KCB)中的一些call back routine/GetCell Routine(zzzzevazzzz放出过相关代码)
又或者是hook Object中一些其他的通用链中的代码指针来进行自我隐藏/保护功能(例如tombkeeper的一些文章提到的细节)
目前的办法一般是扫描这些OBJECT的结构,找到对应指针,利用特征搜索、模块范围对比等方法,检测他们是否被HOOK
类似的工具例如 rootkit unhooker,gmer(rootkit unhooker中检测的object hook较多)
但这些工具都只能检测他们已知的object hook
一旦Rootkiter利用未知的object hook进行隐藏,或者是转换平台,数据结构发生变化,就很难检测到object hook, 传统的Object hook检测方式也很容易被rootkiter饶过,
详见我的<<绕过现代Anti-Rookit工具的内核模块扫描>>一文
1 2 3 下一页 |
安全中国首页 > 文章中心 > 入侵技术