读书笔记_windows的APIHook技术
首先介绍一下rootkits,rootkits是一种高端的黑客技术,能够运行在内核态,与杀毒软件处于同一级别,很难被发现与清除。
在windows系统中,大多数的进程都依赖于3个子系统:Win32,POSIX和OS/2子系统,这些子系统包含了一组良好的说明的API,大多数的程序都依赖与这些API,因此它们都是rootkit的极佳目标。
来看一个应用程序调用FindNextFile函数的过程,FindNextFile是Kernel32.dll导出的函数,所以应用程序在运行时加载Kernel32.dll,并将这些函数的内存地址复制到自己的函数导入地址表(import Address Table,IAT)。当应用程序调用FindNextFile时,进程的执行跳转到它的IAT中的位置,从Kernel32.dll中FindNextFile函数的地址处继续执行。
然后Kernel32.dll中的FindNextFile调用到Ntdll.dll中。Ntdll.dll向EAX寄存器加载该函数的等价内核函数,即NtQueryDirectoryFile的系统服务编号,并向EDX加载该函数参数的用户空间地址。然后发送一个INT 2E或SYSENTER指令以自陷(trap)到内核中。
因为应用程序将kernel32.dll加载到自己的私有地址空间0x00010000和0x7FFE0000之间,所以rootkit只要能够访问目标进程的地址空间,它就可以直接重写kernel32.dll中或应用程序的导入表中的任何函数。这称为API钩子。在应用程序的私有地址中,可以找到FindNextFile函数的起始地址,然后使用手工编写的机器代码来重写FindNextFile函数,从而避免列出特定的文件或改变FindNextFile的性能。Rookit也可以重写目标应用程序中的导入表(IAT),使其指向自己写的函数而不是kernel32.dll中的函数。通过钩住API函数,可以完成隐藏进程,隐藏网络端口,将文件写操作重定向到其他文件,防止应用程序打开特定进程的句柄等功能。下面介绍IAT钩子:
当应用程序使用另一个库中的函数时,必须导入该函数的地址。应用程序所用的所有DLL都包含在该应用程序文件系统映像的IMAGE_IMPORT_DESCRIPTOR结构中。这个结构包含了应用程序导入的函数所属的DLL名,以及两个IMAGE_IMPORT_BY_NAME数组指针。IMGE_IMPORT_BY_NAME结构包含了应用程序所使用的导入函数的名称。
操作系统将应用程序加载到内存时,分析这些IMAGE_IMPORT_DESCRIPTOR结构,并将所需的全部DLL加载全部DLL加载到该应用程序的内存中。一旦映射了DLL之后,操作系统就在内存中定位每个导入的函数,并使用使用函数的实际地址来重写一个IMAGE_IMPORT_BY_NAME数组。一旦rootkit的钩子函数处于应用程序的地址空间中,rootkit就可以分析内存中目标应用程序的PE格式,将IAT中目标函数的地址替换为钩子函数的地址。然后,当调用目标函数时,就会执行钩子函数而不是原始函数。
无论是在内核空间还是用户空间,当一个可执行的镜像映射到虚拟内存中时,可以通过注册PsSetLoadImageNotifyRoutine这个函数来扑捉到导入的镜像文件。它的唯一一个参数是是分析镜像的回调函数。更改IAT中函数地址的过程如下:
| PIMAGE_DOS_HEADER dosHeader; PIMAGE_NT_HEADERS pNTHeader; PIMAGE_IMPORT_DESCRIPTOR importDesc; PIMAGE_IMPORT_BY_NAME p_ibn; DWORD importsStartRVA; PWORD pd_IAT, pd_INTO; int count, index; char *dll_name = NULL; char *pc_dlltar = "kernel32.dll"; char *pc_fnctar = "GetProcAddress"; PMDL p_mdl; PDWORD MappedImTable; // 导入的是IMAGE_INFO结构中的 PVOID ImageBase变量 dosHeader = (PIMAGE_DOS_HEADER) image_addr; // 宏,对指针的操作 pNTHeader = MakePtr ( PIMAGE_NT_HEADERS, dosHeader, dosHeader->e_lfanew ); // 通过PE文件的Signature字段来判断该文件是否是标准的PE文件 if ( pNTHeader->Signature != IMAGE_NT_SIGNATURE) return STATUS_INVALID_IMAGE_FORMAT; // 导入段的RVA importsStartRVA = pNTHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress; if ( !importsStartRVA ) return STATUS_INVALID_IMAGE_FORMAT; // 导入段的RVA与模块在内存中的起始地址(dosHeader)相加,得到 // 指向第一个IMAGE_IMPORT_DESCRIPTOR的指针 importDesc = ( PIMAGE_IMPORT_DESCRIPTOR ) (importsStartRVA + (DWORD)dosHeader); // 过滤每个IMAGE_IMPORT_DESCRIPTOR for(count = 0; importDesc[count].Characteristics != 0; count++) { // 得到导入模块的dll的名称 dll_name = (char*)(importDesc[count].Name + (DWORD)dosHeader); // 得到IAT pd_IAT = (PDWORD)(((DWORD)dosHeader) + (DWORD)importDesc[count].FirstThunk); // 得到指向IMAGE_IMPORT_BY_NAME结构的指针数组 pd_INTO = (PDWORD)(((DWORD)dosHeader) + (DWORD)importDesc[count].OriginalFirstThunk); // IAT中的过滤,找到特定的dll与要hook的函数 for ( index = 0; pd_IAT[index] != 0; index++) { // if this is an import by ordinal // the high bit is set if((pd_INTO[index] & IMAGE_ORDINAL_FLAG) != IMAGE_ORDINAL_FLAG) { // 得到函数名结构 p_ibn = (PIMAGE_IMPORT_BY_NAME)(pd_INTO[index] + ((DWORD)dosHeader)); // 对比dll名与函数名,找到所需要的 if((_stricmp(dll_name, pc_dlltar) == 0) && (strcmp(p_ibn->Name, pc_fnctar) ==0)) { // Use the trick you already learned to map a different // virtual address to the same physical page so no permission problems // // Map the memory into our domain so we can change the // permissions on the MDL // 改变内存属性,以便修改IAT属性 // MDL方法修改内存属性,以后的文章中会详细介绍 p_mdl = MmCreateMdl(NULL, &pd_IAT[index], 4); if(!p_mdl) return STATUS_UNSUCCESSFUL; MmBuildMdlForNonPagedPool(p_mdl); // Change the flags of MDL p_mdl->MdlFlags = p_mdl->MdlFlags | MDL_MAPPED_TO_SYSTEM_VA; MappedImTable = MmMapLocakedPages(p_mdl, KernelMode); // Address of the "new function" // 将“GetProcAddress”指向自己定义的函数 *MappedImTable = d_shareM; // Free MDL MmUnmapLoackedPages(MappedImTable, p_mdl); IoFreeMdl(p_mdl); } } } return STATUS_SUCCESS; } |