資源描述:
《基于IAT表的木馬自啟動技術(shù)(1)》由會員上傳分享����,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫��。
1�����、學(xué)術(shù)研究AcademicResearch基于IAT表的木馬自啟動技術(shù)鄧樂��,李曉勇(上海交通大學(xué)信息安全與工程學(xué)院,上海200230)【摘要】隨著注冊表監(jiān)視軟件的普及以及系統(tǒng)文件保護(hù)機(jī)制的增強(qiáng)���,木馬如何安全隱蔽的隨機(jī)自啟動成為一個挑戰(zhàn)。論文描述了在WindowsXPSP2環(huán)境中如何突破系統(tǒng)文件保護(hù)�����,實(shí)現(xiàn)基于IAT表的木馬隱蔽自啟動技術(shù)��?����!娟P(guān)鍵詞】安全�����;自啟動��;木馬【中圖分類號】TP393【文獻(xiàn)標(biāo)識碼】A【文章編號】1009-8054(2007)02-0151-03AutomaticstartupofTrojanhorsebasedonIATtableDENGLe
2�����、,LIXiaoyong(SchoolofInformationSecurityEngineering,ShanghaiJiaoTongUniversity,Shanghai200230,China)【Abstract】Astheregistrymonitoringsoftwareisbecomingmoreandmorepopularandmeanwhilethesystemfileprotectionisenhanced,howtostartupTrojanhorsewhensystembootstroublesus.Thepaperproposeawayo
3、fbreakingwindowsfileprotectionandstartinguptheTrojanhorsewhensystemboots.【Keywords】security;automaticstartup;Trojanhorse換正在使用的系統(tǒng)文件���,同時利用構(gòu)造輸入表(IAT)的方1引言法,達(dá)到隱蔽啟動木馬的目的����。為了提高操作系統(tǒng)的穩(wěn)定性與可靠性����,Windows操作系統(tǒng)家族從Windows2000開始使用一種叫做WFP2基本原理(WindowsFileProtection)的機(jī)制�。WFP可防止程序替換Windows文件保護(hù)機(jī)制WFP重要的Windo
4、ws系統(tǒng)文件�。WFP功能使用兩種機(jī)制為系統(tǒng)文件提供保護(hù):第一WFP把某些文件認(rèn)為是非常重要的系統(tǒng)文件(例如,種機(jī)制在后臺運(yùn)行�,在WindowsXP環(huán)境中���,其實(shí)現(xiàn)的帶有.dll、.exe�、.ocx和.sys擴(kuò)展名的文件及某些TrueType代碼在sfc_os.dll中實(shí)現(xiàn)�����。在Windows啟動階段����,字體)���,如果備份在%SYSTEMROOT%system32dllcacheWinlogon進(jìn)程加載sfc_os.dll,調(diào)用其中一函數(shù)的文件由于某些原因也不可用�����,那么Windows就會要求插SfcInitProt(),SfcInitProt函數(shù)為每一個包含系統(tǒng)保護(hù)
5、文入系統(tǒng)光盤��,以便從光盤上恢復(fù)�����。因此系統(tǒng)文件保護(hù)機(jī)制使件的文件夾創(chuàng)建一個“SFC監(jiān)視線程”,每一個監(jiān)視線程得對系統(tǒng)文件的修改成為一個挑戰(zhàn)�。與此同時�,系統(tǒng)管理員會為每個受到保護(hù)的系統(tǒng)文件創(chuàng)建一個改變通知事件,然的安全意識逐步提高����,簡單的修改注冊表的啟動項(xiàng)已經(jīng)很后調(diào)用WaitForMultipleObjects函數(shù)等待這些事件的發(fā)難達(dá)到隱蔽的隨系統(tǒng)啟動的目的。生�����。一旦受保護(hù)的系統(tǒng)文件被修改�,WFP會根據(jù)dllcache本文提出并實(shí)現(xiàn)了一種隱蔽啟動木馬的方法�,該方法中的文件情況來決定是自動的替換被修改的文件還是通知在WindowsXPSP2環(huán)境下突破了文件保護(hù)機(jī)制����,
6���、能夠替用戶插入系統(tǒng)光盤�����。WFP功能提供的第二種保護(hù)機(jī)制是系統(tǒng)文件檢查器(Sfc.exe)工具���。收稿日期:2006-8-73PE(PortableExcutable)文件加載DLL的過程作者簡介:鄧樂,1982年生����,男���,碩士研究生,研究方向?yàn)镻E文件是Win32平臺下可執(zhí)行文件的默認(rèn)格式��。Win-網(wǎng)絡(luò)安全�、高性能網(wǎng)絡(luò)����。李曉勇�,1973年生����,副教授�����,研究dows環(huán)境中,可執(zhí)行文件(.exe)���、動態(tài)鏈接庫(.DLL)、內(nèi)方向?yàn)楦咝阅芫W(wǎng)絡(luò)�����、信息安全���。核驅(qū)動程序(.sys)都使用PE文件格式,所有的代碼和數(shù)據(jù)信息安全與通信保密·2007.2151學(xué)術(shù)研究Academic
7���、Research都在一個文件中����,以連續(xù)的平面地址空間存儲����。當(dāng)PE文件中IMAGE_IMPORT_BY_NAME結(jié)構(gòu)。的可執(zhí)行代碼引用外部DLL中的代碼時����,對外部代碼的定位OriginalFirstThunk和FirstThunk分別都指向一個信息都保留在PE文件中的輸入表,只有當(dāng)PE文件裝入內(nèi)存IMAGE_THUNK_DATA數(shù)組�,其中由FirstThunk指向的后,Windows的PE裝載器才將相關(guān)的DLL裝入�����,并將調(diào)用IMAGE_THUNK_DATA數(shù)組會在PE加載器加載PE文件輸入函數(shù)的指令和函數(shù)的實(shí)際所處地址聯(lián)系起來���,即動態(tài)鏈時重寫��。接���。輸入表中保存的
8、是函數(shù)名和其駐留的DLL名等動態(tài)鏈接P
