论文部分内容阅读
摘 要 恶意程序利用内核态下的系统服务分配表挂钩可以隐藏进程,过滤数据等,严重威胁计算机系统安全。本文提出了一种针对系统服务分配表挂钩技术的主动防御技术,通过内核驱动程序,为系统关键内核服务函数添加自我保护功能,能在恶意程序挂钩相关服务函数系统服务分配表后,该服务函数能够立刻感知,及时修复相应表项值、报警,最后设计程序验证方案有效性。
关键词 挂钩 防御 系统服务
中图分类号:TP391 文献标识码:A
0引言
挂钩技术应用广泛,安全产品利用挂钩技术可以对软件行为进行分析过滤,阻止恶意程序进行威胁操作,例如,有的防火墙就用到了SPI和NDIS的挂钩技术。近年来,恶意程序作者对windows系统进行深入研究,使用的挂钩技术越来越先进,由于系统服务分配表(System Service Dispatch Table,SSDT)肩负着在用户模式的win32 API和内核模式下的内核API之间建立地址映射的使命,所以恶意程序作者常挂钩SSDT表,达到隐藏自身进程、过滤数据、对抗安全产品等目的,为此,本文提出了一种针对SSDT表挂钩的主动防御技术,给一些系统关键的服务函数添加自我保护的性质,使其一旦被SSDT表挂钩,能够及时察觉、修复、报警,较之于传统的静态似的枚举检测,本文提出的方法效率高,而且能在恶意程序给用户造成损失以前及时阻止。
图1 SSDT挂钩原理图
1系统服务调度原理及SSDT挂钩技术
系统服务函数是操作系统提供的一个函数集,应用程序通过调用API函数执行系统服务。对于应用层的API首先调用Ntdll.dll这个动态链接库转译成内核服务,Ntdll.dll中的包装函数做进入内核前的装备,如将服务号放入eax、将存放用户参数的用户栈指针放入edx、执行中断,进入到内核态。在Windows XP下,包装函数形式如下:
mov eax, ServiceID
lea edx, ParameterTable
call dword [ptr]edx
retn
其中ServiceID是将要调用内核服务的服务号。
内核层的系统服务分配表,该表存放了系统服务号和服务函数所对应的地址,进入中断后,内核根据所传的服务号(eax)在SSDT表中查找相对应的服务函数地址。
若要挂钩SSDT,只需修改表中服务号所对应的函数地址,使其指向自定义函数地址,在执行相应代码后再调用原系统服务函数代码。原理图如图1所示。
2相关SSDT表挂钩技术检测与恢复方法
2.1基于执行状态分析的检测方法
如果入侵者挂钩SSDT某个内核函数,该函数的一些执行状态(指令个数、寄存器状态、CPU状态等)将与正常的执行状态有所区别,通过对比可以大致检测出是否被挂钩。但该方法实现复杂,例如指令对比法。执行指令的数量不同,一定程度预示着该服务函数被挂钩了。但为了统计指令,系统必须处于单步追踪模式下,每执行一条指令就要触发一次中断,因此系统性能明显降低。而且,系统服务函数每次运行时指令个数不同,具有不确定性。
2.2基于对比的检测恢复方法
内核文件Ntosknl.exe中有个KiserviceTable,存放未重定位的服务地址,可以经过文献提出的方法,定位该表。通过这些地址可以计算出服务函数相对于基地址的偏移量。将其映射进内存中,将该文件中服务函数的偏移量加上正在运行的内核模块的基地址,可以得到各服务函数的虚拟地址。利用该地址可以产生新的SSDT,利用该表和运行的SSDT表进行对比,发现服务地址若有不同,就是被挂钩的地方,将其按新的SSDT表的内容经行恢复。该方法是静态的被动式的匹配检测,由于SSDT函数数量多,调用频繁,该检测方法会占用内存,CPU等资源进行不断的检测,发现异常再恢复,会严重影响系统性能。
2.3SSDT表挂钩主动防御技术
针对SSDT表挂钩,本文提出了一种主动防御技术,为系统一些关键服务函数添加保护性质,使其具有在被调用时先检测自己在SSDT表中的函数地址是否被挂钩的能力。由于多数恶意程序在挂钩SSDT表后,先执行自定义代码,再调用系统服务函数,所以本文提出的方法能够有效检测SSDT表的挂钩,如图2所示。要完成向系统服务函数添加检测功能,可以直接修改服务函数体和使用SSDT挂钩技术。但由于在内核直接修改函数代码,容易导致系统崩溃,而且由于Windows版本不同,内核也不同,兼容性较差。所以本文采用SSDT挂钩技术,达到给系统服务函数添加检测恢复功能的目的,以后恶意程序再挂钩SSDT表,将被及时检测恢复。本文以恶意程序经常挂钩的内核ZwQuerySystemlnformation函数说明,如何使其防止被SSDT挂钩。
图2 SSDT挂钩防御原理图
SSDT结构如下:
typedef struct _SYSTEM_SERVICE_TABLE{
PVOID ServiceTableBase;//系统服务函数分配表基地址
PULONG ServiceCounterTableBase;//服务表项被调用的次数
ULONG NumberOfService;//系统所支持服务个数
ULONG ParamTableBase;//指向系统服务参数表
};SYSTEM_SERVICE_TABLE,
*P SYSTEM_SERVICE_TABLE;
typedef struct _SERVICE_DESCRIPTOR_TABLE{
SYSTEM_SERVICE_TABLE ntoskrnl.exe; //ntoskrnl.exe的服务函数
SYSTEM_SERVICE_TABLE win32k;
//win32k.sys的服务函数
SYSTEM_SERVICE_TABLE null1;//未使用
SYSTEM_SERVICE_TABLE null2;//未使用
} SERVICE_DESCRIPTOR_TABLE,
*PSERVICE_DESCRIPTOR_TABLE;
KeserviceDescriptorTable是由内核Ntoskrnl.exe导出的内核实体,该表包含指向SSDT表的指针。因此只要定位该表,就可以定位SSDT表的基地址Base,而函数的服务号ServiceID也可通过KeserviceDescriptorTable获得,从而可以得到其地址Addr=Base+ServiceID*4,修改该地址中内容,使其指向新定义的函数。
SSDT位于windows系统内核空间中,要修改SSDT的内容必须使用设备驱动程序,而且在Windows XP操作系统中对SSDT所在内存区域启用了写保护机制,要修改SSDT表中内容,需要绕过内存保护机制。
定义新的函数HookZwQuerySystemlnformation,易定位该函数内存地址为nAddress,在驱动程序的入口函数中将函数的地址重定向到HookZwQuerySystemlnformation并返回原函数地址sAddress。
定义PTR_ZwQuery为ZwQuerySystemInformation函数指针。
NTSTATUS DriverEntry( IN PDRIVER_OBJECT
theDriverObject, IN PUNICODE_STRING theRegistryPath )
{ _asm
{
push eax
mov eax,CR0
and eax,0FFFEFFFFh
mov CR0,eax
pop eax
}//关闭写保护
sAddress=(PTR_ZwQuery)InterlockedExchange((PLONG) KeServiceDescriptorTable.ServiceTableBase[*(PULONG) ((PUCHAR)(PTR_ZwQuery)+1)],(LONG)
HookZwQuerySystemInformation );
_asm
{
push eax
mov eax,CR0
or eax, NOT 0FFFEFFFFh
mov CR0,eax
pop eax
}//开启写保护
}
恶意程序挂钩ZwQuerySystemlnformation函数,实际挂钩HookZwQuerySystemlnformation函数,该函数被调用时先检查nAddress和该函数ServiceID所对应的SSDT表项中的值是否相等,如果不相等,判定函数被挂钩,恢复该表项的值后报警,如果相等,继续执行ZwQuerySystemlnformation函数。该函数伪代码如下:
TypeX HookZwQuerySystemlnformation(…)
{if(地址相等)
return sAddress;//执行原函数
else
virusAddress=(PTR_ZwQuery)InterlockedExchange((PLONG) KeServiceDescriptorTable.ServiceTableBase[*(PULONG) ((PUCHAR)(PTR_ZwQuery)+1)],(LONG)
HookZwQuerySystemInformation );//恢复表项值,返回病毒地址
return value _of_TypeX;//返回报警值
}
在实际中,需要保护多个函数时,可以将驱动程序的加载、病毒报警及处理等模块抽象为公共模块处理,以节省系统资源。Nguye等人通过监测文件访问和进程活动构建了系统调用层次模版。我们可以对系统之间的调用关系抽象成调用图,赋予各个函数不同权值,找寻关键服务函数进行保护,以此提高效率。
3实验结果与分析
操作系统:Windows 7,CPU Intel Core2,2.0Ghz;内存:2GB; 虚拟机VMvare WorkStation7.0;虚拟机 (下转第37页)(上接第33页)操作系统:Windows 7;编译工具VS2010、DDK2003;在此环境下测试Hook_ZwQuerySystemlnformation病毒,该病毒通过Hook掉SSDT表中的ZwQuerySystemlnformation函数来改变进程链表结构,从而达到隐藏自身的目的。文提出的方法能够在函数被挂钩后立即检测恢复并且报警。
4结论
本文提出的针对SSDT挂钩技术的主动防御方法,赋予了关键函数自我保护的性质,一旦函数被挂钩、调用能及时发现恢复。较之其它静态式的被动检测方法,本方法能够及时发现并且阻止恶意程序,而且由于函数在被调用时才占用资源,所以资源占用量少,效率高,但随着保护函数数量的增加,效率会降低,因此找寻系统关键函数进行保护显得尤为重要。同时针对直接修改函数内核体的挂钩技术,怎么提取病毒特征,使函数具有自我保护性质,怎么使函数具有自我保护性质,还需进一步探索。
参考文献
[1] 韩芳.基于可执行路径分析的隐藏进程检测方法[J].计算机与数字工程,2009,1.
[2] 左黎明,蒋兆峰等.Windows Rootkit隐藏技术与综合检测方法[J].计算机工程,2009, 35(10).
[3] 何耀彬,李祥和等.二次跳转的SSDT挂钩及检测方法研究[J].计算机工程与应用,2012, 48(6).
[4] 李伟,苏璞瑞.基于内核驱动的恶意代码动态检测技术[J].中国科学院研究生院学报:2010, 27(5).
[5] Richter J, Nasarre C.Windows核心编程[M].5版.北京:清华大学出版社,2008.
[6] lyer A, Ngo H Q. Towards a theory of insider threat assessment[C]//proceedings of the 2005 International Conference on Dependable Systems and Networks,2005:108-117.
关键词 挂钩 防御 系统服务
中图分类号:TP391 文献标识码:A
0引言
挂钩技术应用广泛,安全产品利用挂钩技术可以对软件行为进行分析过滤,阻止恶意程序进行威胁操作,例如,有的防火墙就用到了SPI和NDIS的挂钩技术。近年来,恶意程序作者对windows系统进行深入研究,使用的挂钩技术越来越先进,由于系统服务分配表(System Service Dispatch Table,SSDT)肩负着在用户模式的win32 API和内核模式下的内核API之间建立地址映射的使命,所以恶意程序作者常挂钩SSDT表,达到隐藏自身进程、过滤数据、对抗安全产品等目的,为此,本文提出了一种针对SSDT表挂钩的主动防御技术,给一些系统关键的服务函数添加自我保护的性质,使其一旦被SSDT表挂钩,能够及时察觉、修复、报警,较之于传统的静态似的枚举检测,本文提出的方法效率高,而且能在恶意程序给用户造成损失以前及时阻止。
图1 SSDT挂钩原理图
1系统服务调度原理及SSDT挂钩技术
系统服务函数是操作系统提供的一个函数集,应用程序通过调用API函数执行系统服务。对于应用层的API首先调用Ntdll.dll这个动态链接库转译成内核服务,Ntdll.dll中的包装函数做进入内核前的装备,如将服务号放入eax、将存放用户参数的用户栈指针放入edx、执行中断,进入到内核态。在Windows XP下,包装函数形式如下:
mov eax, ServiceID
lea edx, ParameterTable
call dword [ptr]edx
retn
其中ServiceID是将要调用内核服务的服务号。
内核层的系统服务分配表,该表存放了系统服务号和服务函数所对应的地址,进入中断后,内核根据所传的服务号(eax)在SSDT表中查找相对应的服务函数地址。
若要挂钩SSDT,只需修改表中服务号所对应的函数地址,使其指向自定义函数地址,在执行相应代码后再调用原系统服务函数代码。原理图如图1所示。
2相关SSDT表挂钩技术检测与恢复方法
2.1基于执行状态分析的检测方法
如果入侵者挂钩SSDT某个内核函数,该函数的一些执行状态(指令个数、寄存器状态、CPU状态等)将与正常的执行状态有所区别,通过对比可以大致检测出是否被挂钩。但该方法实现复杂,例如指令对比法。执行指令的数量不同,一定程度预示着该服务函数被挂钩了。但为了统计指令,系统必须处于单步追踪模式下,每执行一条指令就要触发一次中断,因此系统性能明显降低。而且,系统服务函数每次运行时指令个数不同,具有不确定性。
2.2基于对比的检测恢复方法
内核文件Ntosknl.exe中有个KiserviceTable,存放未重定位的服务地址,可以经过文献提出的方法,定位该表。通过这些地址可以计算出服务函数相对于基地址的偏移量。将其映射进内存中,将该文件中服务函数的偏移量加上正在运行的内核模块的基地址,可以得到各服务函数的虚拟地址。利用该地址可以产生新的SSDT,利用该表和运行的SSDT表进行对比,发现服务地址若有不同,就是被挂钩的地方,将其按新的SSDT表的内容经行恢复。该方法是静态的被动式的匹配检测,由于SSDT函数数量多,调用频繁,该检测方法会占用内存,CPU等资源进行不断的检测,发现异常再恢复,会严重影响系统性能。
2.3SSDT表挂钩主动防御技术
针对SSDT表挂钩,本文提出了一种主动防御技术,为系统一些关键服务函数添加保护性质,使其具有在被调用时先检测自己在SSDT表中的函数地址是否被挂钩的能力。由于多数恶意程序在挂钩SSDT表后,先执行自定义代码,再调用系统服务函数,所以本文提出的方法能够有效检测SSDT表的挂钩,如图2所示。要完成向系统服务函数添加检测功能,可以直接修改服务函数体和使用SSDT挂钩技术。但由于在内核直接修改函数代码,容易导致系统崩溃,而且由于Windows版本不同,内核也不同,兼容性较差。所以本文采用SSDT挂钩技术,达到给系统服务函数添加检测恢复功能的目的,以后恶意程序再挂钩SSDT表,将被及时检测恢复。本文以恶意程序经常挂钩的内核ZwQuerySystemlnformation函数说明,如何使其防止被SSDT挂钩。
图2 SSDT挂钩防御原理图
SSDT结构如下:
typedef struct _SYSTEM_SERVICE_TABLE{
PVOID ServiceTableBase;//系统服务函数分配表基地址
PULONG ServiceCounterTableBase;//服务表项被调用的次数
ULONG NumberOfService;//系统所支持服务个数
ULONG ParamTableBase;//指向系统服务参数表
};SYSTEM_SERVICE_TABLE,
*P SYSTEM_SERVICE_TABLE;
typedef struct _SERVICE_DESCRIPTOR_TABLE{
SYSTEM_SERVICE_TABLE ntoskrnl.exe; //ntoskrnl.exe的服务函数
SYSTEM_SERVICE_TABLE win32k;
//win32k.sys的服务函数
SYSTEM_SERVICE_TABLE null1;//未使用
SYSTEM_SERVICE_TABLE null2;//未使用
} SERVICE_DESCRIPTOR_TABLE,
*PSERVICE_DESCRIPTOR_TABLE;
KeserviceDescriptorTable是由内核Ntoskrnl.exe导出的内核实体,该表包含指向SSDT表的指针。因此只要定位该表,就可以定位SSDT表的基地址Base,而函数的服务号ServiceID也可通过KeserviceDescriptorTable获得,从而可以得到其地址Addr=Base+ServiceID*4,修改该地址中内容,使其指向新定义的函数。
SSDT位于windows系统内核空间中,要修改SSDT的内容必须使用设备驱动程序,而且在Windows XP操作系统中对SSDT所在内存区域启用了写保护机制,要修改SSDT表中内容,需要绕过内存保护机制。
定义新的函数HookZwQuerySystemlnformation,易定位该函数内存地址为nAddress,在驱动程序的入口函数中将函数的地址重定向到HookZwQuerySystemlnformation并返回原函数地址sAddress。
定义PTR_ZwQuery为ZwQuerySystemInformation函数指针。
NTSTATUS DriverEntry( IN PDRIVER_OBJECT
theDriverObject, IN PUNICODE_STRING theRegistryPath )
{ _asm
{
push eax
mov eax,CR0
and eax,0FFFEFFFFh
mov CR0,eax
pop eax
}//关闭写保护
sAddress=(PTR_ZwQuery)InterlockedExchange((PLONG) KeServiceDescriptorTable.ServiceTableBase[*(PULONG) ((PUCHAR)(PTR_ZwQuery)+1)],(LONG)
HookZwQuerySystemInformation );
_asm
{
push eax
mov eax,CR0
or eax, NOT 0FFFEFFFFh
mov CR0,eax
pop eax
}//开启写保护
}
恶意程序挂钩ZwQuerySystemlnformation函数,实际挂钩HookZwQuerySystemlnformation函数,该函数被调用时先检查nAddress和该函数ServiceID所对应的SSDT表项中的值是否相等,如果不相等,判定函数被挂钩,恢复该表项的值后报警,如果相等,继续执行ZwQuerySystemlnformation函数。该函数伪代码如下:
TypeX HookZwQuerySystemlnformation(…)
{if(地址相等)
return sAddress;//执行原函数
else
virusAddress=(PTR_ZwQuery)InterlockedExchange((PLONG) KeServiceDescriptorTable.ServiceTableBase[*(PULONG) ((PUCHAR)(PTR_ZwQuery)+1)],(LONG)
HookZwQuerySystemInformation );//恢复表项值,返回病毒地址
return value _of_TypeX;//返回报警值
}
在实际中,需要保护多个函数时,可以将驱动程序的加载、病毒报警及处理等模块抽象为公共模块处理,以节省系统资源。Nguye等人通过监测文件访问和进程活动构建了系统调用层次模版。我们可以对系统之间的调用关系抽象成调用图,赋予各个函数不同权值,找寻关键服务函数进行保护,以此提高效率。
3实验结果与分析
操作系统:Windows 7,CPU Intel Core2,2.0Ghz;内存:2GB; 虚拟机VMvare WorkStation7.0;虚拟机 (下转第37页)(上接第33页)操作系统:Windows 7;编译工具VS2010、DDK2003;在此环境下测试Hook_ZwQuerySystemlnformation病毒,该病毒通过Hook掉SSDT表中的ZwQuerySystemlnformation函数来改变进程链表结构,从而达到隐藏自身的目的。文提出的方法能够在函数被挂钩后立即检测恢复并且报警。
4结论
本文提出的针对SSDT挂钩技术的主动防御方法,赋予了关键函数自我保护的性质,一旦函数被挂钩、调用能及时发现恢复。较之其它静态式的被动检测方法,本方法能够及时发现并且阻止恶意程序,而且由于函数在被调用时才占用资源,所以资源占用量少,效率高,但随着保护函数数量的增加,效率会降低,因此找寻系统关键函数进行保护显得尤为重要。同时针对直接修改函数内核体的挂钩技术,怎么提取病毒特征,使函数具有自我保护性质,怎么使函数具有自我保护性质,还需进一步探索。
参考文献
[1] 韩芳.基于可执行路径分析的隐藏进程检测方法[J].计算机与数字工程,2009,1.
[2] 左黎明,蒋兆峰等.Windows Rootkit隐藏技术与综合检测方法[J].计算机工程,2009, 35(10).
[3] 何耀彬,李祥和等.二次跳转的SSDT挂钩及检测方法研究[J].计算机工程与应用,2012, 48(6).
[4] 李伟,苏璞瑞.基于内核驱动的恶意代码动态检测技术[J].中国科学院研究生院学报:2010, 27(5).
[5] Richter J, Nasarre C.Windows核心编程[M].5版.北京:清华大学出版社,2008.
[6] lyer A, Ngo H Q. Towards a theory of insider threat assessment[C]//proceedings of the 2005 International Conference on Dependable Systems and Networks,2005:108-117.