Posted on 2009-10-25 17:06
S.l.e!ep.¢% 閱讀(433)
評論(0) 編輯 收藏 引用 所屬分類:
RootKit
小議文件保護和鎖定技術
2007-08-19 09:55
?? 近1年來互連網上的木馬越來越多,有的還刪除不掉,要切換到dos才可行,如:CNNC,3721等,實現技術也五花八門,但就文件不可刪除的實現技術可分三類:
?? 1 Attach file system; 這種技術和Filemon/sfilter查不多,就是掛一個filter驅動到fs上,其他函數都是passthru下去,只處理IRP_MJ_SET_INFORMATION,當發現有刪除需保護文件的IRP,就
Irp->IoStatus.Status = STATUS_SUCCESS;????????????
Irp->IoStatus.Information = 0;????????????
IoCompleteRequest(Irp, IO_NO_INCREMENT);
更本不讓Fs去處理,從而達到文件不可刪除的作用!
有什么方法可以刪除呢?自己寫個驅動自己填充irp包(見OSR文檔Rolling Your Own),直接發送IRP到File System Device上去就ok啦!
?? 2 修改file system的dispatch函數表; 首先得到Fs的DriverObject(根據驅動名得到驅動設備對象(ObReferenceObjectByName(IoDriverObjectType))),pDriverObject->MajorFunction[IRP_MJ_SET_INFORMATION] = MySetInformation,然后再MySetInformation中再調用原來的調度函數,類似于HookApi;發現有刪除
需保護文件的IRP,就直接IoCompleteRequest,更本不讓原來的FsSetInformation處理!
有什么方法可以刪除呢?自己寫個驅動來修復Fs的dispatch函數表,讀Fs的原始文件,根據PE文件得到Fs的Entrypoint,dispatch函數表的填充都在EntryPoint后面,我們可以根據Opcode查找,XX XX XX XX就是我們要找的dispatch的原始地址;找到后pDriverObject->MajorFunction[IRP_MJ_SET_INFORMATION] = XX XX XX XX,然后就能刪除文件啦!
FunOpc=MajorFunction*4+0x38
C7 46 FunOpc[<80]?? XX XX XX XX?? mov????? dword ptr [esi+50h], offset _NtfsFsdSetInformation
C7 86 FunOpc[>=80] XX XX XX XX
C7 43 FunOpc[<80]?? XX XX XX XX?? mov????? dword ptr [ebx+50h], offset _NtfsFsdSetInformation
C7 83 FunOpc[>=80] XX XX XX XX
?? 3 通過ZwCreateFile把文件鎖定;刪除時報告“文件正在使用,禁止刪除”,具體原理自己摸索吧,反正是通過ZwCreateFile實現的!
有什么方法可以刪除呢?
?? step1 :通過QuerySystemInformation(SystemHandleInformation)得到當前系統的所有句柄信息
?? step2 :遍歷當前所有進程,根據進程ID,得到此進程打開的所有句柄信息
?? Step3 :把句柄發送給我們的驅動程序,驅動程序根據ObQueryNameString得到句柄的路徑信息,然后再傳給我們的應用程序
Step4 :如果是我們要刪除文件的路徑,應用程序調用DuplicateHandle(DUPLICATE_CLOSE_SOURCE),句柄被關閉了,現在可以刪除文件了!
?? 注:QuerySystemInformation的使用說明見The Undocumented Functions,或者http://undocumented.ntinternals.net,第三種解除文件鎖定的方法是我反匯編Unlock軟件學習到的
|