解决方法
用户模式:用户模式挂钩涉及DLL注入.你可以在很多地方挂钩:
> IAT挂钩可执行文件:找出目标进程的导入地址表中的条目FindXxx,并用注入的DLL中存在的trampoline函数的地址覆盖它.
> EAT挂钩由可执行文件加载的DLL:在加载的DLL(本例中为kernel32.dll)的导出地址表中找出FindXxx API的条目,并用注入的DLL中存在的trampoline函数的地址覆盖它.
>内联挂钩:使用JMP将已加载的DLL中的API代码的前几条指令覆盖到蹦床函数中.
通常,用户模式往往变得“丑陋”(难以管理),因为如果您需要系统范围的挂钩(或至少进入Explorer.exe或目标应用程序),则需要将DLL注入所有正在运行的进程.许多应用程序(如安全软件)都具有检测和拒绝DLL注入的保护机制.
实现用户模式挂钩的一种更简洁的方法是挂钩NTDLL.dll中的API(使用EAT或内联挂钩).所有其他API(如FindFirstFile / FindNextFile)最终都会调用NTDLL.dll提供的等效NtXxx API(如NtQueryDirectoryFile). NtXxx API是控制通过执行INT 2E / SYSENTER跳转到内核模式的点.
内核模式:这涉及编写驱动程序.同样,在内核模式中,有许多地方可以安装钩子:
> SSDT挂钩:通过在驱动程序中使用trampoline函数的地址覆盖相应的SSDT索引,为所需的ZwXxx API(在本例中为ZwQueryDirectoryFile)安装SSDT挂钩.
>内核内联钩子:用JMP覆盖内核导出的NT内核API的前几条指令(在本例中为NtQueryDirectoryFile),指向驱动程序中的trampoline函数.
>文件系统过滤器驱动程序:这是一种更简洁的方法,不涉及钩子.安装文件系统筛选器驱动程序并拦截读/写/枚举IOCTL并筛选出结果以隐藏/锁定特定文件/文件夹.
内核模式钩子往往更清洁,因为它们通常安装在一个“集中位置”.但是,您应该非常小心,因为驱动程序代码中的小错误/错误处理最终会导致BSOD.
PS:有许多钩子库/框架可用于简化编写代码的工作.一些流行的是:
http://www.madshi.net/madCodeHookDescription.htm
http://easyhook.codeplex.com/
PPS:在未经用户同意的情况下使用此类技术隐藏文件/文件夹可能是一个可疑的操作,并且可能会出现问题(请记住Sony DRM保护软件问题?;)).这就是rootkit的作用!有许多用户模式和内核模式rootkit使用上面提到的技术来隐藏文件/文件夹.有各种anti-rootkit软件可用于检测和恢复上述各种挂钩.许多反病毒软件在检测到类似rootkit的行为时会引发一个标志(如API挂钩,隐藏文件,SSDT挂钩等)
资源很少:
http://www.codeproject.com/KB/threads/APIHooking.aspx
http://www.codeproject.com/KB/DLL/funapihook.aspx
http://www.codeproject.com/KB/system/api_spying_hack.aspx
http://www.codeproject.com/KB/system/hide-driver.aspx
http://www.uc-forum.com/forum/c-and-c/59147-writing-drivers-perform-kernel-level-ssdt-hooking.html
http://www.security.org.sg/code/apihookcheck.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
