Posted on 2009-10-25 17:06
S.l.e!ep.¢% 閱讀(433)
評(píng)論(0) 編輯 收藏 引用 所屬分類:
RootKit
小議文件保護(hù)和鎖定技術(shù)
2007-08-19 09:55
?? 近1年來(lái)互連網(wǎng)上的木馬越來(lái)越多,有的還刪除不掉,要切換到dos才可行,如:CNNC,3721等,實(shí)現(xiàn)技術(shù)也五花八門,但就文件不可刪除的實(shí)現(xiàn)技術(shù)可分三類:
?? 1 Attach file system; 這種技術(shù)和Filemon/sfilter查不多,就是掛一個(gè)filter驅(qū)動(dòng)到fs上,其他函數(shù)都是passthru下去,只處理IRP_MJ_SET_INFORMATION,當(dāng)發(fā)現(xiàn)有刪除需保護(hù)文件的IRP,就
Irp->IoStatus.Status = STATUS_SUCCESS;????????????
Irp->IoStatus.Information = 0;????????????
IoCompleteRequest(Irp, IO_NO_INCREMENT);
更本不讓Fs去處理,從而達(dá)到文件不可刪除的作用!
有什么方法可以刪除呢?自己寫個(gè)驅(qū)動(dòng)自己填充irp包(見(jiàn)OSR文檔Rolling Your Own),直接發(fā)送IRP到File System Device上去就ok啦!
?? 2 修改file system的dispatch函數(shù)表; 首先得到Fs的DriverObject(根據(jù)驅(qū)動(dòng)名得到驅(qū)動(dòng)設(shè)備對(duì)象(ObReferenceObjectByName(IoDriverObjectType))),pDriverObject->MajorFunction[IRP_MJ_SET_INFORMATION] = MySetInformation,然后再M(fèi)ySetInformation中再調(diào)用原來(lái)的調(diào)度函數(shù),類似于HookApi;發(fā)現(xiàn)有刪除
需保護(hù)文件的IRP,就直接IoCompleteRequest,更本不讓原來(lái)的FsSetInformation處理!
有什么方法可以刪除呢?自己寫個(gè)驅(qū)動(dòng)來(lái)修復(fù)Fs的dispatch函數(shù)表,讀Fs的原始文件,根據(jù)PE文件得到Fs的Entrypoint,dispatch函數(shù)表的填充都在EntryPoint后面,我們可以根據(jù)Opcode查找,XX XX XX XX就是我們要找的dispatch的原始地址;找到后pDriverObject->MajorFunction[IRP_MJ_SET_INFORMATION] = XX XX XX XX,然后就能刪除文件啦!
FunOpc=MajorFunction*4+0x38
C7 46 FunOpc[<80]?? XX XX XX XX?? mov????? dword ptr [esi+50h], offset _NtfsFsdSetInformation
C7 86 FunOpc[>=80] XX XX XX XX
C7 43 FunOpc[<80]?? XX XX XX XX?? mov????? dword ptr [ebx+50h], offset _NtfsFsdSetInformation
C7 83 FunOpc[>=80] XX XX XX XX
?? 3 通過(guò)ZwCreateFile把文件鎖定;刪除時(shí)報(bào)告“文件正在使用,禁止刪除”,具體原理自己摸索吧,反正是通過(guò)ZwCreateFile實(shí)現(xiàn)的!
有什么方法可以刪除呢?
?? step1 :通過(guò)QuerySystemInformation(SystemHandleInformation)得到當(dāng)前系統(tǒng)的所有句柄信息
?? step2 :遍歷當(dāng)前所有進(jìn)程,根據(jù)進(jìn)程ID,得到此進(jìn)程打開(kāi)的所有句柄信息
?? Step3 :把句柄發(fā)送給我們的驅(qū)動(dòng)程序,驅(qū)動(dòng)程序根據(jù)ObQueryNameString得到句柄的路徑信息,然后再傳給我們的應(yīng)用程序
Step4 :如果是我們要?jiǎng)h除文件的路徑,應(yīng)用程序調(diào)用DuplicateHandle(DUPLICATE_CLOSE_SOURCE),句柄被關(guān)閉了,現(xiàn)在可以刪除文件了!
?? 注:QuerySystemInformation的使用說(shuō)明見(jiàn)The Undocumented Functions,或者http://undocumented.ntinternals.net,第三種解除文件鎖定的方法是我反匯編Unlock軟件學(xué)習(xí)到的
|