|
Hookport.sys是360安全衛(wèi)士對系統(tǒng)進(jìn)行掛鉤操作的核心模塊�。其中主要方
式對SSDT和shadowSSDT安裝鉤子函數(shù)。但其使用了一種較為特
殊的實(shí)現(xiàn)方法����,使眾多常規(guī)ARK軟件很難檢測出360安全衛(wèi)士所的鉤子。由于此方法對系統(tǒng)表操作很少��,比較穩(wěn)定����。
Hookport.sys只提供了最為基本的過濾操作和樁
函數(shù),本身并沒有實(shí)現(xiàn)策略部分���。策略部分由360SelfProtection.sys實(shí)現(xiàn)���,并通過設(shè)備擴(kuò)展進(jìn)行溝通�����。
本報(bào)告簡要解釋了360安全衛(wèi)士所使用的掛鉤方法��,給出了其中的一些關(guān)鍵數(shù)據(jù)結(jié)構(gòu)和
使用方法����。
由于SSDT是內(nèi)核的導(dǎo)出表����,所以確定較為方便??梢灾苯邮褂?strong> MmGetSystemRoutineAddress 函數(shù)��。但由于系統(tǒng)中其它安全軟件可能對此函數(shù)進(jìn)行掛鉤����,所以360采用了更加穩(wěn)妥的方式。
首先�����,向ZwQuerySystemInformation傳遞0x0B號參數(shù)�,獲得SYSTEM_MODULE_INFORMATION結(jié)構(gòu)
數(shù)組�。數(shù)組的第一個(gè)元素就是內(nèi)核模塊���,取得內(nèi)核模塊的imageBase和imageSize��。
按照PE格式解析映射入內(nèi)存的系統(tǒng)內(nèi)核���,從導(dǎo)出表中找到KeServiceDescriptorTable的地
址,進(jìn)行重定位后得到SSDT表在內(nèi)存中的真實(shí)地址����。
上述這個(gè)過程被360封裝在MyGetFuncAddrFromKrnl 函數(shù)中,并在以后被多次調(diào)用�。
函數(shù)原型如下:
int __stdcall MyGetFuncAddrFromKrnl(PUNICODE_STRING
funcName)
funcName為內(nèi)核導(dǎo)出函數(shù)的名稱
返回值為函數(shù)地址或NULL。(詳細(xì)分析請參考IDB文件)
1.
使用MyGetFuncAddrFromKrnl獲得 KeAddSystemServiceTable函數(shù)地址���。
其反匯編代碼如下:
80596542 8bff
mov edi,edi
80596544 55
push ebp
80596545 8bec
mov ebp,esp
80596547 837d1803
cmp dword ptr [ebp+18h],3
8059654b 7760 ja nt!KeAddSystemServiceTable+0x6b
(805965ad)
8059654d 8b4518
mov eax,dword ptr [ebp+18h]
80596550 c1e004
shl eax,4
80596553 83b88031558000 cmp dword ptr
nt!KeServiceDescriptorTable (80553180)[eax],0
8059655a 7551
jne nt!KeAddSystemServiceTable+0x6b
(805965ad)
8059655c
8d8840315580 lea ecx,nt!KeServiceDescriptorTableShadow
(80553140)[eax]
80596562 833900
cmp dword ptr [ecx],0
80596565 7546
jne nt!KeAddSystemServiceTable+0x6b
(805965ad)
80596567 837d1801
cmp dword ptr [ebp+18h],1
|
2.
搜索8D 88 指令���,并去除后4字節(jié):
注意紅色代碼:這里出現(xiàn)了KeServiceDescriptorTableShadow的地址,對應(yīng)的機(jī)器碼為
8D 88 40 31 55 80 ���,從KeAddSystemServiceTable開始搜索8D 88�,緊接著的4字節(jié)數(shù)據(jù)就是shadowSSDT在內(nèi)存中的地址。
|
