Rootkit：系統(tǒng)灰色地帶的潛伏者（原書(shū)第2版）

譯者序
獻(xiàn)給“孫悟空”
前言

第一部分基礎(chǔ)知識(shí)

第1章 清空思想
1.1不速之客
1.2提煉一個(gè)更確切的定義
1.2.1攻擊循環(huán)
1.2.2rootkit在攻擊循環(huán)中的角色
1.2.3單級(jí)釋放器與多級(jí)釋放器
1.2.4其他部署方法
1.2.5確切的學(xué)術(shù)性定義
1.2.6不要混淆設(shè)計(jì)目標(biāo)與實(shí)現(xiàn)
1.2.7rootkit技術(shù)--力量倍增器
1.2.8金·費(fèi)爾比式比喻：破壞與毀壞
1.2.9為何使用隱身技術(shù)？rootkit不能被發(fā)現(xiàn)嗎
1.3rootkit不等于惡意軟件
1.3.1感染源
1.3.2廣告軟件和間諜軟件
1.3.3僵尸網(wǎng)絡(luò)的興起
1.3.4引入：愚人飛客病毒
1.3.5惡意軟件與rootkit
1.4誰(shuí)在開(kāi)發(fā)和使用rootkit
1.4.1市場(chǎng)營(yíng)銷
1.4.2數(shù)字版權(quán)管理
1.4.3不是rootkit，而是種功能
1.4.4法律實(shí)施
1.4.5商業(yè)間諜
1.4.6政治間諜
1.4.7網(wǎng)絡(luò)犯罪
1.4.8誰(shuí)開(kāi)發(fā)了頗具藝術(shù)感的rootkit
1.4.9rootkit的道德性
1.5懾魄驚魂：戰(zhàn)場(chǎng)傷員分類
1.6總結(jié)

第2章 反取證綜述
2.1事件響應(yīng)
2.1.1入侵檢測(cè)系統(tǒng)（和入侵防御系統(tǒng)）
2.1.2異常行為
2.1.3發(fā)生故障
2.2計(jì)算機(jī)取證
2.2.1rootkit不是隱身的嗎？為什么還要進(jìn)行反取證
2.2.2假定最糟糕案例的場(chǎng)景
2.2.3取證技術(shù)分類：第一種方法
2.2.4取證技術(shù)分類：第二種方法
2.2.5在線取證
2.2.6當(dāng)關(guān)機(jī)不再是種選擇
2.2.7關(guān)于拔掉電源插頭的爭(zhēng)論
2.2.8崩潰轉(zhuǎn)儲(chǔ)或者不進(jìn)行崩潰轉(zhuǎn)儲(chǔ)
2.2.9事后檢查分析
2.2.10非本地?cái)?shù)據(jù)
2.3AF策略
2.3.1數(shù)據(jù)銷毀
2.3.2數(shù)據(jù)隱藏
2.3.3數(shù)據(jù)轉(zhuǎn)換
2.3.4數(shù)據(jù)偽造
2.3.5數(shù)據(jù)源消除
2.4AF技術(shù)的總體建議
2.4.1使用定制工具
2.4.2低且慢與焦土策略
2.4.3避免特定實(shí)例攻擊
2.4.4使用分層防御
2.5不明身份者具有優(yōu)勢(shì)
2.5.1攻擊者能夠?qū)Ｗ⒂诠?br /> 2.5.2防御者面臨制度性挑戰(zhàn)
2.5.3安全是一種過(guò)程（而且還是一種令人討厭的過(guò)程）
2.5.4持續(xù)增加的復(fù)雜度
2.6總結(jié)

第3章 硬件概述
3.1物理內(nèi)存
3.2IA-32內(nèi)存模型
3.2.1平面內(nèi)存模型
3.2.2分段內(nèi)存模型
3.2.3操作模式
3.3實(shí)模式
3.3.1案例研究：MS-DOS
3.3.2這不是浪費(fèi)時(shí)間嗎？為什么學(xué)習(xí)實(shí)模式
3.3.3實(shí)模式執(zhí)行環(huán)境
3.3.4實(shí)模式中斷
3.3.5分段和程序控制
3.3.6案例研究：轉(zhuǎn)儲(chǔ)IVT
3.3.7案例研究：用TSR記錄擊鍵
3.3.8案例研究：隱藏TSR
3.3.9案例研究：為T(mén)REE.COM命令打補(bǔ)丁
3.3.10小結(jié)
3.4保護(hù)模式
3.4.1保護(hù)模式執(zhí)行環(huán)境
3.4.2保護(hù)模式分段
3.4.3保護(hù)模式分頁(yè)
3.4.4地址擴(kuò)展分頁(yè)
3.4.5進(jìn)一步研究頁(yè)表
3.4.6進(jìn)一步研究控制寄存器
3.5實(shí)現(xiàn)內(nèi)存保護(hù)
3.5.1通過(guò)分段實(shí)現(xiàn)保護(hù)
3.5.2界限檢查
3.5.3類型檢查
3.5.4特權(quán)檢查
3.5.5受限指令檢查
3.5.6門(mén)描述符
3.5.7保護(hù)模式中斷表
3.5.8分頁(yè)保護(hù)
3.5.9總結(jié)

第4章 系統(tǒng)概述
4.1Windows系統(tǒng)下的物理內(nèi)存
4.1.1失落的大陸（內(nèi)存）
4.1.2Windows如何使用物理地址擴(kuò)展
4.1.3頁(yè)、頁(yè)幀、頁(yè)幀號(hào)
4.2Windows下的分段和分頁(yè)
4.2.1分段
4.2.2分頁(yè)
4.2.3線性地址到物理地址的轉(zhuǎn)換
4.2.4一個(gè)更快的方法
4.2.5關(guān)于EPROCESS和KPROCESS的討論
4.3用戶空間和內(nèi)核空間
4.3.14GB調(diào)優(yōu)（4GT）
4.3.2各得其所
4.3.3跨越籬笆
4.3.4用戶空間剖析
4.3.5內(nèi)核空間動(dòng)態(tài)分配
4.3.6地址窗口化擴(kuò)展
4.3.7PAE、4GT和AWE的對(duì)比
4.4用戶模式和內(nèi)核模式
4.4.1執(zhí)行方式與執(zhí)行位置
4.4.2內(nèi)核模式組件
4.4.3用戶模式組件
4.5其他內(nèi)存保護(hù)特征
4.5.1數(shù)據(jù)執(zhí)行保護(hù)
4.5.2地址空間布局隨機(jī)化
4.5.3GS 編譯選項(xiàng)
4.5.4SAFESEH鏈接器選項(xiàng)
4.6本機(jī)API
4.6.1中斷向量表的發(fā)展
4.6.2進(jìn)一步研究中斷描述表
4.6.3通過(guò)中斷進(jìn)行系統(tǒng)調(diào)用
4.6.4SYSENTER指令
4.6.5系統(tǒng)服務(wù)調(diào)度表
4.6.6枚舉本機(jī)API
4.6.7Nt*( )系統(tǒng)調(diào)用與Zw*( )系統(tǒng)調(diào)用
4.6.8系統(tǒng)調(diào)用的生命周期
4.6.9其他內(nèi)核模式例程
4.6.10內(nèi)核模式API文檔
4.7引導(dǎo)過(guò)程
4.7.1BIOS固件啟動(dòng)
4.7.2EFI固件啟動(dòng)
4.7.3Windows啟動(dòng)管理器
4.7.4Windows啟動(dòng)加載器
4.7.5初始化執(zhí)行體
4.7.6會(huì)話管理器
4.7.7wininit.exe
4.7.8winlogon.exe
4.7.9啟動(dòng)過(guò)程概括
4.8設(shè)計(jì)決策
4.8.1藏在人群中：類型0
4.8.2主動(dòng)隱藏：類型1和類型2
4.8.3跳出邊界：類型3
4.8.4前景展望

第5章 行業(yè)工具
5.1開(kāi)發(fā)工具
5.1.1診斷工具
5.1.2磁盤(pán)映像工具
5.1.3更快速救災(zāi)：虛擬機(jī)
5.1.4工具綜述
5.2調(diào)試器
5.2.1配置CDB.exe
5.2.2符號(hào)文件
5.2.3Windows符號(hào)
5.2.4激活CDB.exe
5.2.5控制CDB.exe
5.2.6有用的調(diào)試器命令
5.2.7檢查符號(hào)命令（x）
5.2.8列舉已加載的模塊（lm和！lmi）
5.2.9顯示類型命令（dt）
5.2.10反匯編命令（u）
5.2.11顯示命令（d*）
5.2.12寄存器命令（r）
5.3KD.exe內(nèi)核調(diào)試器
5.3.1使用內(nèi)核調(diào)試器的不同方法
5.3.2物理宿主機(jī)-目標(biāo)機(jī)配置
5.3.3準(zhǔn)備硬件
5.3.4準(zhǔn)備軟件
5.3.5啟動(dòng)內(nèi)核調(diào)試會(huì)話
5.3.6控制目標(biāo)機(jī)
5.3.7虛擬宿主機(jī)-目標(biāo)機(jī)配置
5.3.8 有用的內(nèi)核模式調(diào)試器命令
5.3.9列舉已加載模塊命令
5.3.10！process擴(kuò)展命令
5.3.11寄存器命令（r）
5.3.12使用崩潰轉(zhuǎn)儲(chǔ)
5.3.13方法1：PS2鍵盤(pán)技巧
5.3.14方法2：KD.exe命令
5.3.15方法3：NotMyFault.exe
5.3.16崩潰轉(zhuǎn)儲(chǔ)分析

第6章 內(nèi)核空間中的玄機(jī)
6.1KMD模板
6.1.1內(nèi)核模式驅(qū)動(dòng)程序：全局概覽
6.1.2WDK框架
6.1.3真正最小的KMD
6.1.4處理IRP
6.1.5與用戶模式代碼通信
6.1.6從用戶模式發(fā)送命令
6.2加載內(nèi)核模式驅(qū)動(dòng)程序
6.3服務(wù)控制管理器
6.3.1在命令行使用sc.exe
6.3.2編程使用SCM
6.3.3注冊(cè)表蹤跡
6.4使用導(dǎo)出驅(qū)動(dòng)程序
6.5綜合利用內(nèi)核中的漏洞
6.6Windows內(nèi)核模式安全
6.6.1內(nèi)核模式代碼簽名
6.6.2KMCS的應(yīng)對(duì)措施
6.6.3內(nèi)核補(bǔ)丁保護(hù)
6.6.4KPP的應(yīng)對(duì)措施
6.7同步
6.7.1中斷請(qǐng)求級(jí)
6.7.2延遲過(guò)程調(diào)用
6.7.3實(shí)現(xiàn)
6.8總結(jié)

第二部分事 后 分 析

第7章 阻止磁盤(pán)分析
7.1事后調(diào)查：概述
7.2取證副本
7.3卷分析
7.3.1Windows下的存儲(chǔ)卷
7.3.2手工分析卷
7.3.3應(yīng)對(duì)措施：破壞分區(qū)表
7.3.4Windows下的原始磁盤(pán)訪問(wèn)
7.3.5原始磁盤(pán)訪問(wèn)：突破常規(guī)
7.4文件系統(tǒng)分析
7.4.1恢復(fù)刪除的文件
7.4.2恢復(fù)刪除的文件：應(yīng)對(duì)措施
7.4.3枚舉可選數(shù)據(jù)流
7.4.4枚舉可選數(shù)據(jù)流： 應(yīng)對(duì)措施
7.4.5恢復(fù)文件系統(tǒng)對(duì)象
7.4.6恢復(fù)文件系統(tǒng)對(duì)象：應(yīng)對(duì)措施
7.4.7帶外隱藏
7.4.8帶內(nèi)隱藏
7.4.9引入：FragFS
7.4.10應(yīng)用層隱藏
7.4.11獲取元數(shù)據(jù)
7.4.12獲取元數(shù)據(jù)：應(yīng)對(duì)措施
7.4.13改變時(shí)間戳
7.4.14改變校驗(yàn)和
7.4.15識(shí)別已知文件
7.4.16交叉時(shí)間差異與交叉視圖差異
7.4.17識(shí)別已知文件：應(yīng)對(duì)措施
7.5文件簽名分析
7.6總結(jié)

第8章 阻止可執(zhí)行文件分析
8.1 靜態(tài)分析
8.1.1掃描相關(guān)人工痕跡
8.1.2驗(yàn)證數(shù)字簽名
8.1.3轉(zhuǎn)儲(chǔ)字符串?dāng)?shù)據(jù)
8.1.4檢查文件頭
8.1.5反匯編和反編譯
8.2破壞靜態(tài)分析
8.2.1數(shù)據(jù)轉(zhuǎn)換：加殼
8.2.2加殼：加密程序
8.2.3密鑰管理
8.2.4加殼：壓縮程序
8.2.5加殼：變形代碼
8.2.6定制工具的需求
8.2.7關(guān)于加殼的爭(zhēng)論
8.2.8數(shù)據(jù)偽造
8.2.9虛旗攻擊
8.2.10數(shù)據(jù)源清除：多級(jí)加載器
8.2.11深度防御
8.3運(yùn)行時(shí)分析
8.3.1運(yùn)行環(huán)境
8.3.2手工與自動(dòng)運(yùn)行時(shí)分析
8.3.3手工分析：基本概要
8.3.4手工分析：跟蹤
8.3.5手工分析：內(nèi)存轉(zhuǎn)儲(chǔ)
8.3.6手工分析：捕捉網(wǎng)絡(luò)活動(dòng)
8.3.7自動(dòng)化分析
8.3.8運(yùn)行時(shí)復(fù)合分析
8.4破壞運(yùn)行時(shí)分析
8.4.1跟蹤的應(yīng)對(duì)措施
8.4.2API跟蹤：規(guī)避迂回補(bǔ)丁
8.4.3API跟蹤：多級(jí)加載器
8.4.4指令級(jí)跟蹤：攻擊調(diào)試器
8.4.5斷點(diǎn)
8.4.6檢測(cè)用戶模式調(diào)試器
8.4.7檢測(cè)內(nèi)核模式調(diào)試器
8.4.8檢測(cè)用戶模式調(diào)試器或者內(nèi)核模式調(diào)試器
8.4.9通過(guò)代碼校驗(yàn)和檢測(cè)調(diào)試器
8.4.10關(guān)于反調(diào)試器技術(shù)的爭(zhēng)論
8.4.11指令級(jí)跟蹤：混淆
8.4.12混淆應(yīng)用數(shù)據(jù)
8.4.13混淆應(yīng)用代碼
8.4.14阻止自動(dòng)化
8.4.15應(yīng)對(duì)運(yùn)行時(shí)復(fù)合分析
8.5總結(jié)

第三部分在 線 取 證

第9章 阻止在線取證
9.1在線取證：基本過(guò)程
9.2用戶模式加載器
9.2.1UML破壞現(xiàn)有的API
9.2.2關(guān)于加載器API模塊的爭(zhēng)論
9.2.3縱覽Windows PE文件格式
9.2.4相對(duì)虛擬地址
9.2.5PE文件頭
9.2.6導(dǎo)入數(shù)據(jù)節(jié)（.idata）
9.2.7基址重定位節(jié)（.reloc）
9.2.8實(shí)現(xiàn)獨(dú)立的UML
9.3最小化加載器蹤跡
9.3.1數(shù)據(jù)節(jié)育：獻(xiàn)給The Grugq的頌歌
9.3.2下一步：通過(guò)漏洞利用程序加載
9.4關(guān)于獨(dú)立PE加載器的爭(zhēng)論

第10章 用C語(yǔ)言創(chuàng)建shellcode
10.1用戶模式shellcode
10.1.1Visual Studio工程設(shè)置
10.1.2使用相對(duì)地址
10.1.3尋找kernel32.dll：通往TEB和PEB的旅程
10.1.4擴(kuò)展地址表
10.1.5解析kernel32.dll導(dǎo)出表
10.1.6提取shellcode
10.1.7危險(xiǎn)空間
10.1.8構(gòu)建自動(dòng)化
10.2內(nèi)核模式shellcode
10.2.1工程設(shè)置：$(NTMAKEENV)\makefile.new
10.2.2工程設(shè)置：SOURCES
10.2.3地址解析
10.2.4加載內(nèi)核模式shellcode
10.3特殊武器和策略
10.4展望

第11章 更改調(diào)用表
11.1在用戶空間掛鉤：IAT
11.1.1DLL基礎(chǔ)
11.1.2訪問(wèn)導(dǎo)出例程
11.1.3注入DLL
11.1.4走查磁盤(pán)上PE文件的IAT
11.1.5掛鉤IAT
11.2內(nèi)核空間的調(diào)用表
11.3掛鉤IDT
11.3.1處理多處理器：方案#1
11.3.2裸例程
11.3.3關(guān)于掛鉤IDT的問(wèn)題
11.4掛鉤處理器MSR
11.5掛鉤SSDT
11.5.1禁用WP位：技巧#1
11.5.2禁用WP位：技巧#2
11.5.3掛鉤SSDT項(xiàng)
11.5.4SSDT示例：跟蹤系統(tǒng)調(diào)用
11.5.5SSDT示例：隱藏進(jìn)程
11.5.6SSDT示例：隱藏網(wǎng)絡(luò)連接
11.6掛鉤IRP處理程序
11.7掛鉤GDT：安裝調(diào)用門(mén)
11.8掛鉤的應(yīng)對(duì)措施
11.8.1檢查內(nèi)核模式掛鉤
11.8.2檢查IA32_SYSENTER_EIP
11.8.3檢查 INT 0x2E
11.8.4檢查 SSDT
11.8.5檢查IRP處理程序
11.8.6檢查用戶模式鉤子
11.8.7解析PEB：
第1部分
11.8.8解析PEB：
第2部分
11.9反應(yīng)對(duì)措施
11.9.1假設(shè)最壞的案例
11.9.2最壞案例應(yīng)對(duì)措施#1
11.9.3最壞案例應(yīng)對(duì)措施#2

第12章 更改代碼
12.1跟蹤調(diào)用
12.1.1迂回實(shí)現(xiàn)
12.1.2獲取NtSetValueKey()的地址
12.1.3初始化補(bǔ)丁元數(shù)據(jù)結(jié)構(gòu)
12.1.4對(duì)照已知簽名核實(shí)原始機(jī)器碼
12.1.5保存原始序言和尾聲代碼
12.1.6更新補(bǔ)丁元數(shù)據(jù)結(jié)構(gòu)
12.1.7鎖定訪問(wèn)并禁用寫(xiě)保護(hù)
12.1.8注入迂回
12.1.9序言迂回
12.1.10尾聲迂回
12.1.11事后總結(jié)
12.2破壞組策略
12.2.1迂回實(shí)現(xiàn)
12.2.2初始化補(bǔ)丁元數(shù)據(jù)結(jié)構(gòu)
12.2.3尾聲迂回
12.2.4將注冊(cè)表值映射到組策略
12.3繞過(guò)內(nèi)核模式API記錄器
12.3.1故障安全規(guī)避
12.3.2更上一層樓
12.4指令補(bǔ)丁應(yīng)對(duì)措施

第13章 更改內(nèi)核對(duì)象
13.1隱形的代價(jià)
13.1.1問(wèn)題#1：陡峭的學(xué)習(xí)曲線
13.1.2問(wèn)題#2：并發(fā)性
13.1.3問(wèn)題#3：可移植性和指針運(yùn)算
13.1.4特有技術(shù)：DKOM
13.1.5對(duì)象
13.2再訪EPROCESS對(duì)象
13.2.1獲取EPROCESS指針
13.2.2EPROCESS相關(guān)域
13.2.3UniqueProcessId
13.2.4ActiveProcessLinks
13.2.5Token
13.2.6ImageFileName
13.3DRIVER_SECTION對(duì)象
13.4令牌對(duì)象
13.4.1Windows授權(quán)
13.4.2定位令牌對(duì)象
13.4.3令牌對(duì)象中的相關(guān)域
13.5隱藏進(jìn)程
13.6隱藏驅(qū)動(dòng)程序
13.7操縱訪問(wèn)令牌
13.8使用No-FU
13.9內(nèi)核模式回調(diào)
13.10應(yīng)對(duì)措施
13.10.1交叉視圖檢測(cè)
13.10.2高級(jí)枚舉：CreateToolhelp32Snapshot()
13.10.3高級(jí)枚舉：PID暴力
13.10.4低級(jí)枚舉：進(jìn)程
13.10.5低級(jí)枚舉：線程
13.10.6相關(guān)軟件
13.10.7域校驗(yàn)和
13.11反應(yīng)對(duì)措施
13.11.1最好的防護(hù)：餓死對(duì)手
13.11.2評(píng)論：超越雙環(huán)模型
13.11.3最后一道防線

第14章 隱秘通道
14.1普通惡意軟件通道
14.1.1互聯(lián)網(wǎng)中繼聊天
14.1.2對(duì)等通信
14.1.3HTTP
14.2最壞案例場(chǎng)景：截獲所有數(shù)據(jù)內(nèi)容
14.2.1協(xié)議隧道
14.2.2DNS
14.2.3ICMP
14.2.4外圍設(shè)備問(wèn)題
14.3Windows TCPIP棧
14.3.1Windows Sockets 2
14.3.2原始套接字
14.3.3Winsock內(nèi)核API
14.3.4NDIS
14.3.5不同任務(wù)使用不同的工具
14.4DNS隧道
14.4.1DNS查詢
14.4.2DNS應(yīng)答
14.5DNS隧道：用戶模式
14.6DNS隧道：WSK實(shí)現(xiàn)
14.6.1初始化應(yīng)用程序的上下文
14.6.2創(chuàng)建內(nèi)核模式套接字
14.6.3確定本地傳輸?shù)刂?br /> 14.6.4綁定套接字與傳輸?shù)刂?br /> 14.6.5設(shè)置遠(yuǎn)程地址（C2客戶端）
14.6.6發(fā)送DNS查詢
14.6.7接收DNS應(yīng)答
14.7NDIS協(xié)議驅(qū)動(dòng)程序
14.7.1創(chuàng)建并運(yùn)行NDISProt6.0示例
14.7.2客戶端代碼概要
14.7.3驅(qū)動(dòng)程序代碼概要
14.7.4Protocol*()例程
14.7.5缺失的特征
14.8被動(dòng)的隱秘通道

第15章 轉(zhuǎn)到帶外
15.1 附加處理器模式
15.1.1系統(tǒng)管理模式
15.1.2流氓管理程序
15.1.3白帽成員對(duì)策
15.1.4流氓管理程序與SMM rootkit
15.2固件
15.2.1主板BIOS
15.2.2ACPI組件
15.2.3擴(kuò)展ROM
15.2.4UEFI固件
15.3遠(yuǎn)程管理設(shè)施
15.4不太明顯的備用方案
15.4.1板載閃存
15.4.2電路級(jí)伎倆
15.5總結(jié)

第四部分結(jié) 束 語(yǔ)

第16章 rootkit之道
16.1核心策略
16.1.1尊重你的對(duì)手
16.1.2五指穿心掌
16.1.3忍耐強(qiáng)行奪取的欲望
16.1.4研究你的目標(biāo)
16.2識(shí)別隱藏之門(mén)
16.2.1對(duì)付專有系統(tǒng)
16.2.2監(jiān)視內(nèi)核
16.2.3重要特點(diǎn)：硬件是新軟件
16.2.4充分利用現(xiàn)有研究
16.3建筑領(lǐng)域的訓(xùn)誡
16.3.1首先加載，深度加載
16.3.2為自主性而奮斗
16.3.3Butler Lampson：策略與機(jī)制分離
16.4設(shè)計(jì)rootkit
16.4.1隱身與開(kāi)發(fā)努力
16.4.2使用定制工具
16.4.3穩(wěn)定性很重要：致力于最佳實(shí)踐
16.4.4逐步提高
16.4.5容錯(cuò)移轉(zhuǎn)：自我修復(fù)的rootkit
16.5處理感染