利用鉤子技術(shù)控制進(jìn)程創(chuàng)建

05年的老文章了,今天才看到,一直想做而沒有做出來的東西,差距啊...
修正原文一些翻譯不恰當(dāng)?shù)牡胤?br>
原英文地址:
http://www.codeproject.com/KB/system/soviet_protector.aspx


Download source files - 10.8 Kb
Download demo project - 12.1 Kb

一、 簡介

　　最近，我了解到一個(gè)叫做Sanctuary的相當(dāng)有趣的安全產(chǎn)品。它能夠阻止任何程序的運(yùn)行-這些程序沒有顯示在軟件列表中-該表中的程序被允許在一個(gè)特定的機(jī)器上運(yùn)行。結(jié)果，PC用戶得到保護(hù)而免于各種插件間諜軟件、蠕蟲和特洛伊木馬的侵襲-就算能夠進(jìn)入他/她的計(jì)算機(jī)，它們也沒有機(jī)會執(zhí)行，并因此沒有機(jī)會對該機(jī)器造成任何損害。當(dāng)然，我覺得這個(gè)特征相當(dāng)有趣；并且，在稍作思考以后，我就有了一個(gè)自己的實(shí)現(xiàn)。因此，本文將描述如何通過鉤住本機(jī)API的方式來實(shí)現(xiàn)監(jiān)控一個(gè)進(jìn)程的創(chuàng)建并在系統(tǒng)級上對之進(jìn)行控制。

　　本文大膽假設(shè)，目標(biāo)進(jìn)程是以一種用戶模式(外殼函數(shù)，CreateProcess()，用一系列的本機(jī)API調(diào)用的手工的進(jìn)程創(chuàng)建，等等)創(chuàng)建的。盡管從理論上，一個(gè)進(jìn)程能夠以內(nèi)核方式啟動；不過從實(shí)際來看，如此的可能性是可以忽略不計(jì)的，因此我們不必為此擔(dān)心。為什么？請邏輯地思考一下-為了以內(nèi)核方式啟動一個(gè)進(jìn)程，用戶必須裝載一個(gè)驅(qū)動程序，該驅(qū)動程序反過來首先要暗示某種用戶模式代碼的執(zhí)行。因此，為了防止未被授權(quán)程序的執(zhí)行，我們可以安全地在系統(tǒng)級上以用戶模式限制我們自己控制的進(jìn)程的創(chuàng)建。

　　二、 定義策略

　　首先讓我們明確，之所以這樣做的目的是為了在系統(tǒng)級上監(jiān)視和控制進(jìn)程創(chuàng)建。

　　進(jìn)程創(chuàng)建是一件相當(dāng)復(fù)雜的事情-它包含相當(dāng)多的工作(如果你不相信我，可以反匯編CreateProcess()，這樣你就會親眼看到這點(diǎn))。為了啟動一個(gè)進(jìn)程，可以使用下列步驟：

　　1.可執(zhí)行文件必須被以FILE_EXECUTE存取方式打開。

　　2.可執(zhí)行映像必須被裝載進(jìn)RAM。

　　3.必須建立進(jìn)程執(zhí)行對象(EPROCESS，KPROCESS和PEB結(jié)構(gòu))。

　　4.必須為新建進(jìn)程分配地址空間。

　　5.必須建立進(jìn)程的主線程的線程執(zhí)行對象(ETHREAD，KTHREAD和TEBstructures)。

　　6.必須為主線程分配堆棧。

　　7.必須建立進(jìn)程的主線程的執(zhí)行上下文。

　　8.必須通知Win32子系統(tǒng)有關(guān)該新進(jìn)程的創(chuàng)建情況。

　　為確保這些步驟中的任何一步的成功，所有其前面的步驟必須是成功執(zhí)行的(你不能夠在沒有一個(gè)可執(zhí)行區(qū)句柄的情況下建立一個(gè)可執(zhí)行進(jìn)程對象；沒有文件句柄的情況下你無法映射一個(gè)可執(zhí)行區(qū)，等等)。因此，如果我們決定退出任何這些步驟，所有后面的步驟也會失敗，以至于整個(gè)進(jìn)程創(chuàng)建會失敗。上面所有的步驟都可以通過調(diào)用某些本機(jī)API函數(shù)的方式來實(shí)現(xiàn)，這是可以理解的。因此，為了監(jiān)視和控制進(jìn)程創(chuàng)建，我們所有要做的就是鉤住這些API函數(shù)-它們無法旁路掉要創(chuàng)建一新進(jìn)程所要執(zhí)行的代碼。

　　我們應(yīng)該鉤住哪些本機(jī)API函數(shù)呢?盡管NtCreateProcess()似乎是問題的最顯然的答案，但是，這個(gè)答案是錯(cuò)誤的-有可能不需要調(diào)用這個(gè)函數(shù)也可以創(chuàng)建一個(gè)新的進(jìn)程。例如，CreateProcess()可以在不調(diào)用NtCreateProcess()的情況下創(chuàng)建與進(jìn)程相關(guān)的內(nèi)核模式結(jié)構(gòu).因此，這樣以來鉤住NtCreateProcess()對我們毫無幫助。

　　為了監(jiān)視進(jìn)程的創(chuàng)建，我們必須鉤住NtCreateFile()和NtOpenFile()，或者NtCreateSection()之中的一個(gè),-不經(jīng)調(diào)用這些API是絕對無法運(yùn)行任何可執(zhí)行文件的。如果我們決定監(jiān)視對NtCreateFile()和NtOpenFile()的調(diào)用，那么我們必須區(qū)別開進(jìn)程創(chuàng)建和常規(guī)的文件IO操作。這項(xiàng)任務(wù)并不總是那么容易。例如，如果一些可執(zhí)行文件正在被以FILE_ALL_ACCESS存取方式打開，我們該怎么辦？這僅是一個(gè)IO操作還是一個(gè)進(jìn)程創(chuàng)建的一部分？在這點(diǎn)上，是很難判斷的-我們需要了解調(diào)用線程下一步要干什么。因此，鉤住NtCreateFile()和NtOpenFile()可能不是最好的選擇。

　　鉤住NtCreateSection()是更為合理的-如果我們在發(fā)生把可執(zhí)行文件映射為映像(SEC_IMAGE 屬性)的請求發(fā)生時(shí)攔截對NtCreateSection()的調(diào)用,結(jié)合允許執(zhí)行頁面保護(hù)的請求；那么，我們可以確信該進(jìn)程將要被啟動。在這一點(diǎn)上，我們是能夠作出決定，如果我們不想該進(jìn)程被創(chuàng)建，可以讓NtCreateSection()返回STATUS_ACCESS_DENIED。因此，為了完全控制目標(biāo)機(jī)器上的進(jìn)程創(chuàng)建，所有我們要做的是在系統(tǒng)級上鉤住NtCreateSection()。

　　象來自于ntdll.dll中的任何其它代理一樣，NtCreateSection()用服務(wù)索引加載EAX，使EDX指向函數(shù)參數(shù)，并且把執(zhí)行權(quán)傳遞到KiDispatchService()內(nèi)核模式例程(這是通過Windows NT/2000中的INT 0x2E指令或者Windows XP下的SYSENTER指令實(shí)現(xiàn)的)。在校驗(yàn)完函數(shù)參數(shù)之后，KiDispatchService()把執(zhí)行權(quán)傳遞到服務(wù)的實(shí)際實(shí)現(xiàn)部分-它的地址可用于服務(wù)描述表(指向這個(gè)表的指針由ntoskrnl.exe作為KeServiceDescriptorTable變量所輸出，所以它對于內(nèi)核模式驅(qū)動程序是可用的)中。服務(wù)描述表通過下列結(jié)構(gòu)所描述：
 

　　struct SYS_SERVICE_TABLE {

　　void **ServiceTable;

　　unsigned long CounterTable;

　　unsigned long ServiceLimit;

　　void **ArgumentsTable;

　　};

　　這個(gè)結(jié)構(gòu)中的ServiceTable字段指向一個(gè)數(shù)組-它擁有所有實(shí)現(xiàn)系統(tǒng)服務(wù)的函數(shù)的地址。因此，為了在系統(tǒng)級上鉤住任何本機(jī)API函數(shù)，所有我們必須做的是把我們的代理函數(shù)的地址寫入被KeServiceDescriptorTable的ServiceTable字段所指向的數(shù)組的第i個(gè)入口(i是服務(wù)索引)。

　　至此，看起來我們已了解了在系統(tǒng)級上監(jiān)視和控制進(jìn)程創(chuàng)建的一切?，F(xiàn)在讓我們開始實(shí)際的工作。

三、 控制進(jìn)程創(chuàng)建

　　我們的解決方案由一個(gè)內(nèi)核模式驅(qū)動程序和一個(gè)用戶模式應(yīng)用程序組成。為了開始監(jiān)視進(jìn)程創(chuàng)建，我們的應(yīng)用程序要把服務(wù)索引（相應(yīng)于NtCreateSection()）以及交換緩沖區(qū)的地址傳遞到我們的驅(qū)動程序。這是由下列代碼所完成的：

//打開設(shè)備 device=CreateFile("\\.\PROTECTOR",GENERIC_READ|GENERIC_WRITE, 0,0,OPEN_EXISTING, FILE_ATTRIBUTE_SYSTEM,0); //得到NtCreateSection的索引并把它連同輸出緩沖區(qū)的地址傳遞給設(shè)備 DWORD * addr=(DWORD *) (1+(DWORD)GetProcAddress(GetModuleHandle("ntdll.dll"),"NtCreateSection")); ZeroMemory(outputbuff,256); controlbuff[0]=addr[0]; controlbuff[1]=(DWORD)&outputbuff[0]; DeviceIoControl(device,1000,controlbuff,256,controlbuff,256,&dw,0);

　　此代碼是顯然的-唯一需要注意的是我們得到服務(wù)索引的方式。所有來自于ntdll.dll的代理都從一行代碼MOV EAX,ServiceIndex開始-它可以適用于任何版本和風(fēng)味的Windows NT。這是一條5字節(jié)長的指令，以MOV EAX操作碼作第一字節(jié)，服務(wù)索引作為留下的4字節(jié)。因此，為了得到相應(yīng)于一些特別的本機(jī)API函數(shù)的服務(wù)索引，所有你要做的是從該地址讀取4個(gè)字節(jié)，-位于從這個(gè)代理開始1字節(jié)距離的地方。

　　現(xiàn)在讓我們看一下我們的驅(qū)動程序做什么，當(dāng)它收到來自我們的應(yīng)用程序的IOCTL時(shí)：

NTSTATUS DrvDispatch(IN PDEVICE_OBJECT device,IN PIRP Irp) { 　UCHAR*buff=0; ULONG a,base; 　PIO_STACK_LOCATION loc=IoGetCurrentIrpStackLocation(Irp); 　if(loc->Parameters.DeviceIoControl.IoControlCode==1000) 　{ 　　buff=(UCHAR*)Irp->AssociatedIrp.SystemBuffer; 　　//鉤住服務(wù)調(diào)度表 　　memmove(&Index,buff,4); 　　a=4*Index+(ULONG)KeServiceDescriptorTable->ServiceTable; 　　base=(ULONG)MmMapIoSpace(MmGetPhysicalAddress((void*)a),4,0); 　　a=(ULONG)&Proxy; 　　_asm 　　{ 　　　mov eax,base 　　　mov ebx,dword ptr[eax] 　　　mov RealCallee,ebx 　　　mov ebx,a 　　　mov dword ptr[eax],ebx 　　} 　　MmUnmapIoSpace(base,4); 　　memmove(&a,&buff[4],4); 　　output=(char*)MmMapIoSpace(MmGetPhysicalAddress((void*)a),256,0); 　} 　Irp->IoStatus.Status=0; 　IoCompleteRequest(Irp,IO_NO_INCREMENT); 　return 0; }

　　正如你所見，這里沒有什么特別的-我們只是通過MmMapIoSpace()來把交換緩沖區(qū)映射到內(nèi)核中，另外把我們的代理函數(shù)的地址寫到服務(wù)表(當(dāng)然，我們這是在把實(shí)際的服務(wù)執(zhí)行的地址保存到全局變量RealCallee以后這樣做的)。為了改寫服務(wù)表的適當(dāng)入口，我們通過MmMapIoSpace()來映射目標(biāo)地址。為什么我們要這樣做？不管怎么說，我們已經(jīng)可以存取服務(wù)表了，不是嗎？問題是，服務(wù)表可能駐留在一段只讀內(nèi)存中。因此，我們必須檢查一下是否我們有對目標(biāo)空間寫的權(quán)限，而如果我們沒有這個(gè)權(quán)限，那么在改寫服務(wù)表之前，我們必須改變頁面保護(hù)。你不認(rèn)為這樣以來工作太多了嗎？因此，我們僅用MmMapIoSpace()來映射我們的目標(biāo)地址，這樣以來，我們就不必?fù)?dān)心任何的頁面保護(hù)問題了-從現(xiàn)在開始，我們假定已有到目標(biāo)頁面寫的權(quán)限了?，F(xiàn)在讓我們看一下我們的代理函數(shù):

//這個(gè)函數(shù)用來確定是否我們應(yīng)該允許NtCreateSection()調(diào)用成功 ULONG __stdcall check(PULONG arg) { 　HANDLE hand=0;PFILE_OBJECT file=0; 　POBJECT_HANDLE_INFORMATION info;ULONG a;char*buff; 　ANSI_STRING str; LARGE_INTEGER li;li.QuadPart=-10000; 　//檢查標(biāo)志。如果所要求的存取方式不是PAGE_EXECUTE, 　//這并不要緊 　if((arg[4]&0xf0)==0)return 1; 　if((arg[5]&0x01000000)==0)return 1; 　//經(jīng)由文件句柄得到文件名 　hand=(HANDLE)arg[6]; 　ObReferenceObjectByHandle(hand,0,0,KernelMode,&file,&info); 　if(!file)return 1; 　　RtlUnicodeStringToAnsiString(&str,&file->FileName,1); 　　a=str.Length;buff=str.Buffer; 　　while(1) 　　{ 　　　if(buff[a]=='.'){a++;break;} 　　　a--; 　　} 　　ObDereferenceObject(file); 　　//如果它是不可執(zhí)行的,這也不要緊 　　//返回1 　　if(_stricmp(&buff[a],"exe")){RtlFreeAnsiString(&str);return 1;} 　　　//現(xiàn)在，我們要詢問用戶的選擇。 　　　//把文件名寫入緩沖區(qū)，并等待直到用戶顯示響應(yīng) 　　　//(第一個(gè)DWORD為1意味著我們可以繼續(xù)) 　　　//同步存取該緩沖區(qū) 　　　KeWaitForSingleObject(&event,Executive,KernelMode,0,0); 　　　//把緩沖區(qū)的前兩個(gè)DWORD置為0， 　　　//把字符串復(fù)制到該緩沖區(qū)中，并循環(huán)下去，直到用戶把每一個(gè) 　　　//DWORD置為1. 　　　//第二個(gè)DWORD的值指明用戶的響應(yīng) 　　strcpy(&output[8],buff); 　　RtlFreeAnsiString(&str); 　　a=1; 　　memmove(&output[0],&a,4); 　　while(1) 　　{ 　　　KeDelayExecutionThread(KernelMode,0,&li); 　　　memmove(&a,&output[0],4); 　　　if(!a)break; 　　} 　　memmove(&a,&output[4],4); 　　KeSetEvent(&event,0,0); 　　return a; 　} 　//僅保存執(zhí)行上下文并調(diào)用check() 　_declspec(naked) Proxy() 　{ 　　_asm{ 　　　//保存執(zhí)行上下文并調(diào)用check() 　　　//-后面的依賴于check()所返回的值 　　　// 如果返回值是1，繼續(xù)實(shí)際的調(diào)用。 　　　//否則，返回STATUS_ACCESS_DENIED 　　　pushfd 　　　pushad 　　　mov ebx,esp 　　　add ebx,40 　　　push ebx 　　　call check 　　　cmp eax,1 　　　jne block 　　　//繼續(xù)實(shí)際的調(diào)用 　　　popad 　　　popfd 　　　jmp RealCallee 　　　//返回STATUS_ACCESS_DENIED 　　　block:popad 　　　mov ebx, dword ptr[esp+8] 　　　mov dword ptr[ebx],0 　　　mov eax,0xC0000022L 　　　popfd 　　　ret 32 　　} 　}

　　Proxy()保存寄存器和標(biāo)志，把一個(gè)指向服務(wù)參數(shù)的指針壓入棧中并調(diào)用check()。其它的依賴于check()所返回的值。如果check()返回TRUE(也就是，我們想要繼續(xù)請求)，那么，Proxy()將恢復(fù)寄存器和標(biāo)志，并且把控制權(quán)交給服務(wù)實(shí)現(xiàn)部分。否則，Proxy()將把STATUS_ACCESS_DENIED寫入EAX，恢復(fù)ESP并返回-從調(diào)用者的觀點(diǎn)來看，這就象對NtCreateSection()的調(diào)用失敗一樣-以錯(cuò)誤狀態(tài)STATUS_ACCESS_DENIED返回。
 check()函數(shù)是怎樣做出決定的？一旦它收到一個(gè)指向服務(wù)參數(shù)的指針參數(shù)，它就可以檢查這些參數(shù)。首先，它檢查標(biāo)志和屬性-如果有一部分沒有被要求作為一個(gè)可執(zhí)行映像映射，或如果要求的頁面保護(hù)不允許執(zhí)行，那么我們可以確定NtCreateSection()調(diào)用與進(jìn)程創(chuàng)建毫無關(guān)系。在這種情況下，check()直接返回TRUE。否則，它將檢查該潛在文件的擴(kuò)展-畢竟，SEC_IMAGE屬性和允許執(zhí)行的頁面保護(hù)可能被要求來映射某個(gè)DLL文件。如果該潛在文件不是一個(gè).exe文件，那么，check()將返回TRUE。否則，它給用戶模式代碼一個(gè)作出決定的機(jī)會。因此，它僅把文件名和路徑寫到交換緩沖區(qū)，并且對它循環(huán)查詢，直到它得到響應(yīng)為止。

　　在打開我們的驅(qū)動程序前，我們的應(yīng)用程序創(chuàng)建一個(gè)運(yùn)行下面函數(shù)的線程：

void thread() { 　DWORD a,x; char msgbuff[512]; 　while(1) 　{ 　　memmove(&a,&outputbuff[0],4); 　　//如果什么也沒有，Sleep() 10毫秒并再檢查 　　if(!a){Sleep(10);continue;} 　　//看起來象我們的權(quán)限被詢問。 　　//如果被懷疑的文件已經(jīng)存在于空白列表中， 　　// 則給出一個(gè)積極的響應(yīng)。 　　char*name=(char*)&outputbuff[8]; 　　for(x=0;x<stringcount;x++) 　　{ 　　　if(!stricmp(name,strings[x])){a=1;goto skip;} 　　} 　　//要求用戶允許運(yùn)行該程序 　　strcpy(msgbuff, "Do you want to run "); 　　strcat(msgbuff,&outputbuff[8]); 　　//如果用戶的答復(fù)是積極的，那么把這個(gè)程序添加到空白列表中 　　if(IDYES==MessageBox(0, msgbuff,"WARNING",MB_YESNO|MB_ICONQUESTION|0x00200000L)) 　　　{a=1; strings[stringcount]=_strdup(name);stringcount++;} 　　else a=0; 　　// 把響應(yīng)寫入緩沖區(qū)中，而由驅(qū)動程序之后取回它 　　skip:memmove(&outputbuff[4],&a,4); 　　//告訴驅(qū)動程序繼續(xù) 　　a=0; 　　memmove(&outputbuff[0],&a,4); 　} }

　　這段代碼是顯然的-我們的線程每10毫秒查詢交換緩沖區(qū)。如果它發(fā)現(xiàn)我們的驅(qū)動程序已經(jīng)把它的請求寄到了該緩沖區(qū)中，它就檢查被允許在本機(jī)上運(yùn)行的程序列表中的文件的文件名和路徑。如果發(fā)現(xiàn)匹配，它直接給出一個(gè)OK響應(yīng)。否則，它顯示一個(gè)消息窗口，詢問用戶是否允許有問題的程序執(zhí)行。如果響應(yīng)是積極的，我們就把有問題的程序添加到允許在本機(jī)上運(yùn)行的軟件列表中。最后，我們把用戶響應(yīng)寫入緩沖區(qū)，也就是說，把它傳遞到我們的驅(qū)動程序。因此，該用戶就能完全控制它的PC上的進(jìn)程的創(chuàng)建-只要我們的程序運(yùn)行，在沒有用戶所給予權(quán)限的情況下，絕對沒有辦法來啟動該P(yáng)C上的任何進(jìn)程。

　　正如你所見，我們讓內(nèi)核方式代碼等待用戶反應(yīng)。這是否是一種聰明的舉措呢？為了回答這個(gè)問題，你必須問你自己你是否正在堵住任何關(guān)鍵的系統(tǒng)資源-一切都依賴于具體的情況。在我們的情況下，一切發(fā)生在IRQLPASSIVE_LEVEL級上，并沒有包含對IRPs的處理，并且必須等待用戶響應(yīng)的線程并不十分重要。因此，在我們的情況下，一切工作正常。然而，本例僅為演示之目的而編寫。為了實(shí)際地使用它，以一個(gè)自動啟動的服務(wù)的方式來重寫我們的應(yīng)用程序是很重要的。在這種情況下，我建議我們解除LocalSystem帳戶，并且，在NtCreateSection()被用LocalSystem帳戶特權(quán)在一個(gè)線程的上下文中調(diào)用的情況下，可以繼續(xù)實(shí)際的服務(wù)實(shí)現(xiàn)而不施行任何檢查-不管怎么說，LocalSystem帳戶僅運(yùn)行那些在注冊表中指定的可執(zhí)行程序。因此，這樣的一種解除不會是與我們的安全相妥協(xié)的。

　　四、 結(jié)論

　　最后，我必須指出，鉤住本機(jī)API很明顯是現(xiàn)已存在的最強(qiáng)有力的編程技術(shù)之一。本文通過一個(gè)例子向你展示通過鉤住本機(jī)API可以實(shí)現(xiàn)的能力-正如你所見，我們已設(shè)法防止未被授權(quán)的程序的執(zhí)行-這可以通過鉤住單一的本機(jī)API函數(shù)來實(shí)現(xiàn)。你可以進(jìn)一步擴(kuò)展這個(gè)方法，并且獲得對硬件設(shè)備、文件IO操作、網(wǎng)絡(luò)流量等等的完全控制。然而，我們現(xiàn)在的解決方案并不是準(zhǔn)備為內(nèi)核模式API調(diào)用者所用-一旦內(nèi)核模式代碼被允許直接調(diào)用ntoskrnl.exe的輸出，則這些調(diào)用就不需要經(jīng)由系統(tǒng)服務(wù)發(fā)送者進(jìn)行了。

　　本文源碼在運(yùn)行Windows XP SP2的若干機(jī)器上成功地測試過。盡管我還沒在任何另外的環(huán)境下面測試它，我相信它應(yīng)該到處工作正常-不管怎么說，它從未使用任何系統(tǒng)特定的結(jié)構(gòu)。為了運(yùn)行這個(gè)示例，所有你要做的是放置protector.exe和protector.sys到相同的目錄下，并且運(yùn)行protector.exe。直到protector.exe的應(yīng)用程序窗口被關(guān)閉為止；否則，每次你都會被提示你試圖運(yùn)行任何可執(zhí)行程序。

posted on 2008-04-08 11:17 葉子 閱讀(1802) 評論(0)  編輯 收藏 引用 所屬分類: 驅(qū)動開發(fā)