Posted on 2009-10-25 17:06
S.l.e!ep.¢% 閱讀(434)
評論(0) 編輯 收藏 引用 所屬分類:
RootKit
小議文件保護和鎖定技術(shù)
2007-08-19 09:55
?? 近1年來互連網(wǎng)上的木馬越來越多,有的還刪除不掉�,要切換到dos才可行,如:CNNC,3721等,實現(xiàn)技術(shù)也五花八門�,但就文件不可刪除的實現(xiàn)技術(shù)可分三類:
?? 1 Attach file system; 這種技術(shù)和Filemon/sfilter查不多�,就是掛一個filter驅(qū)動到fs上�,其他函數(shù)都是passthru下去,只處理IRP_MJ_SET_INFORMATION,當發(fā)現(xiàn)有刪除需保護文件的IRP�,就
Irp->IoStatus.Status = STATUS_SUCCESS;????????????
Irp->IoStatus.Information = 0;????????????
IoCompleteRequest(Irp, IO_NO_INCREMENT);
更本不讓Fs去處理�,從而達到文件不可刪除的作用�!
有什么方法可以刪除呢?自己寫個驅(qū)動自己填充irp包(見OSR文檔Rolling Your Own),直接發(fā)送IRP到File System Device上去就ok啦!
?? 2 修改file system的dispatch函數(shù)表; 首先得到Fs的DriverObject(根據(jù)驅(qū)動名得到驅(qū)動設(shè)備對象(ObReferenceObjectByName(IoDriverObjectType)))�,pDriverObject->MajorFunction[IRP_MJ_SET_INFORMATION] = MySetInformation�,然后再MySetInformation中再調(diào)用原來的調(diào)度函數(shù)�,類似于HookApi;發(fā)現(xiàn)有刪除
需保護文件的IRP,就直接IoCompleteRequest,更本不讓原來的FsSetInformation處理�!
有什么方法可以刪除呢�?自己寫個驅(qū)動來修復(fù)Fs的dispatch函數(shù)表�,讀Fs的原始文件,根據(jù)PE文件得到Fs的Entrypoint,dispatch函數(shù)表的填充都在EntryPoint后面,我們可以根據(jù)Opcode查找,XX XX XX XX就是我們要找的dispatch的原始地址;找到后pDriverObject->MajorFunction[IRP_MJ_SET_INFORMATION] = XX XX XX XX,然后就能刪除文件啦�!
FunOpc=MajorFunction*4+0x38
C7 46 FunOpc[<80]?? XX XX XX XX?? mov????? dword ptr [esi+50h], offset _NtfsFsdSetInformation
C7 86 FunOpc[>=80] XX XX XX XX
C7 43 FunOpc[<80]?? XX XX XX XX?? mov????? dword ptr [ebx+50h], offset _NtfsFsdSetInformation
C7 83 FunOpc[>=80] XX XX XX XX
?? 3 通過ZwCreateFile把文件鎖定�;刪除時報告“文件正在使用�,禁止刪除”,具體原理自己摸索吧,反正是通過ZwCreateFile實現(xiàn)的�!
有什么方法可以刪除呢�?
?? step1 :通過QuerySystemInformation(SystemHandleInformation)得到當前系統(tǒng)的所有句柄信息
?? step2 :遍歷當前所有進程�,根據(jù)進程ID,得到此進程打開的所有句柄信息
?? Step3 :把句柄發(fā)送給我們的驅(qū)動程序,驅(qū)動程序根據(jù)ObQueryNameString得到句柄的路徑信息,然后再傳給我們的應(yīng)用程序
Step4 :如果是我們要刪除文件的路徑�,應(yīng)用程序調(diào)用DuplicateHandle(DUPLICATE_CLOSE_SOURCE),句柄被關(guān)閉了�,現(xiàn)在可以刪除文件了�!
?? 注:QuerySystemInformation的使用說明見The Undocumented Functions,或者http://undocumented.ntinternals.net,第三種解除文件鎖定的方法是我反匯編Unlock軟件學習到的
|