Windows內(nèi)核級(jí)防護(hù)系統(tǒng)

孟晨宇+史淵+王佳偉+周潔+康曉鳳

摘要：Windows操作系統(tǒng)是當(dāng)今應(yīng)用最廣泛的個(gè)人計(jì)算機(jī)操作系統(tǒng)，針對(duì)這一操作系統(tǒng)的病毒和木馬層出不窮。大多數(shù)殺毒軟件主要依賴特征碼識(shí)別技術(shù)、校驗(yàn)和技術(shù)、軟件模擬技術(shù)檢測(cè)病毒。本系統(tǒng)從手動(dòng)殺毒角度出發(fā)，變被動(dòng)防御為主動(dòng)查殺，特別是Rootkit保護(hù)的內(nèi)核級(jí)木馬，通過(guò)檢測(cè)相應(yīng)的被掛鉤函數(shù)，內(nèi)核中被修改的地址，找到相應(yīng)的進(jìn)程，從而實(shí)現(xiàn)了木馬進(jìn)程的強(qiáng)殺、相應(yīng)內(nèi)核內(nèi)容的恢復(fù)等功能，更有效的保護(hù)計(jì)算機(jī)操作系統(tǒng)的安全。

關(guān)鍵詞：內(nèi)核防護(hù)；手動(dòng)殺毒；信息安全；Rootkit

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A DOI：10.3969/j.issn.1003-6970.2016.03.004

0引言

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)在人民生活中的地位越來(lái)越重要。計(jì)算機(jī)在給人民的生活和工作帶來(lái)極大便利的同時(shí)，也帶來(lái)了信息安全問(wèn)題。Windows操作系統(tǒng)是當(dāng)今應(yīng)用最廣泛的個(gè)人計(jì)算機(jī)操作系統(tǒng)，針對(duì)這一操作系統(tǒng)的病毒和木馬層出不窮。而且更為嚴(yán)重的是內(nèi)核級(jí)Rootkit的誕生，給系統(tǒng)安全帶來(lái)了極大的破壞性。內(nèi)核是操作系統(tǒng)的核心，內(nèi)核的完整性保護(hù)對(duì)維護(hù)操作系統(tǒng)至關(guān)重要。所以本系統(tǒng)旨在從內(nèi)核出發(fā)，全方位的利用多種綜合檢測(cè)技術(shù)維護(hù)系統(tǒng)內(nèi)核的安全性以及完整性。

1系統(tǒng)設(shè)計(jì)

1.1系統(tǒng)整體設(shè)計(jì)方案

本系統(tǒng)主要分為用戶層和內(nèi)核層，用戶層利用VC++6.0開(kāi)發(fā)，采用C++語(yǔ)言實(shí)現(xiàn)，內(nèi)核層利用WDK開(kāi)發(fā)，采用C語(yǔ)言實(shí)現(xiàn)。用戶層是與用戶交互的界面，用戶層通過(guò)調(diào)用DeviceloControl函數(shù)，實(shí)現(xiàn)3環(huán)與0環(huán)的通信。內(nèi)核層實(shí)現(xiàn)系統(tǒng)各個(gè)模塊的具體功能，從內(nèi)核維護(hù)監(jiān)測(cè)系統(tǒng)安全。如圖1系統(tǒng)架構(gòu)設(shè)計(jì)圖所示。

本系統(tǒng)主要包括七個(gè)功能模塊，分別為內(nèi)核監(jiān)測(cè)模塊，系統(tǒng)鉤子檢測(cè)模塊，隱藏進(jìn)程檢測(cè)模塊，隱藏端口檢測(cè)模塊，系統(tǒng)服務(wù)描述符表監(jiān)測(cè)模塊，IDT監(jiān)測(cè)模塊，過(guò)濾驅(qū)動(dòng)枚舉模塊。通過(guò)這些模塊從而實(shí)現(xiàn)系統(tǒng)內(nèi)核的實(shí)時(shí)監(jiān)測(cè)，隱藏進(jìn)程、端口、鉤子的檢測(cè)等功能。

1.2系統(tǒng)流程設(shè)計(jì)

系統(tǒng)啟動(dòng)后，先將內(nèi)核模塊加載到操作系統(tǒng)中，呈現(xiàn)程序主界面，等待用戶點(diǎn)擊主界面，發(fā)送指令，再調(diào)用各功能模塊完成相應(yīng)的操作。若所需完成的操作需要調(diào)用內(nèi)核函數(shù)才能完成，則通過(guò)相關(guān)處理將指令發(fā)送至內(nèi)核模塊，調(diào)用相應(yīng)的分發(fā)函數(shù)，獲取信息或完成相應(yīng)的操作，并將執(zhí)行結(jié)果反饋給用戶層應(yīng)用程序。軟件的運(yùn)行流程圖如圖2所示：

2系統(tǒng)的實(shí)現(xiàn)

2.1內(nèi)核監(jiān)測(cè)模塊

內(nèi)核模塊（“軟件驅(qū)動(dòng)”）是運(yùn)行在系統(tǒng)核心層，惡意軟件為了獲取更強(qiáng)的系統(tǒng)權(quán)限，往往會(huì)利用驅(qū)動(dòng)加載技術(shù)向操作系統(tǒng)中加載自己的模塊，因此監(jiān)測(cè)系統(tǒng)中內(nèi)核模塊，有利于發(fā)現(xiàn)惡意軟件的蹤跡。

該模塊能夠從用戶層尋找保存內(nèi)核模塊信息的對(duì)象，完成對(duì)其獲取和分析，從其中找到需要的信息，包括模塊名、內(nèi)核模塊基址、內(nèi)核模塊大小、內(nèi)核模塊標(biāo)志、內(nèi)核模塊加載順序、內(nèi)核模塊加載次數(shù)，模塊路徑等，并將信息呈現(xiàn)給用戶。雖然內(nèi)核模塊運(yùn)行在內(nèi)核層，但是監(jiān)測(cè)內(nèi)核模塊卻可以在用戶層利用Windows API實(shí)現(xiàn)。點(diǎn)擊主界面上工具欄的第二個(gè)按鈕開(kāi)始檢測(cè)操作系統(tǒng)中內(nèi)核模塊。在系統(tǒng)上列舉的內(nèi)核模塊加載情況如圖3所示。

2.2系統(tǒng)鉤子檢測(cè)模塊

系統(tǒng)鉤子可以攔截事件消息，在窗口響應(yīng)前完成對(duì)消息的處理，也可以攔截應(yīng)用層Windows API對(duì)內(nèi)核函數(shù)的調(diào)用，因此惡意軟件很有可能對(duì)系統(tǒng)關(guān)鍵進(jìn)程安裝鉤子，以期獲取更高的權(quán)限和更好的隱蔽效果。本模塊就是要從用戶層進(jìn)入系統(tǒng)核心層，將系統(tǒng)中的所有鉤子檢測(cè)出來(lái)，明確每個(gè)鉤子的句柄，鉤子相應(yīng)的處理，以及鉤子的類型，還有每個(gè)鉤子“掛鉤”的進(jìn)程，線程。

點(diǎn)擊主界面上工具欄的第二個(gè)按鈕開(kāi)始檢測(cè)操作系統(tǒng)中系統(tǒng)鉤子。在系統(tǒng)上列舉的系統(tǒng)鉤子情況如圖4所示：

2.3隱藏進(jìn)程檢測(cè)模塊

在隱藏進(jìn)程檢測(cè)模塊中，首先采用在用戶態(tài)，調(diào)用Windows API，獲取進(jìn)程信息，然后在內(nèi)核態(tài)枚舉高端內(nèi)存，獲取進(jìn)程信息，其后比較兩次信息，確定隱藏進(jìn)程。用戶態(tài)通過(guò)調(diào)用API ZwQuery-SystemInformation方法，內(nèi)核態(tài)通過(guò)遍歷PspCidTable句柄表、遍歷csrss.exe進(jìn)程的HandleTable表等兩種方法獲取到系統(tǒng)所有進(jìn)程信息。

點(diǎn)擊主界面上工具欄的第三個(gè)按鈕開(kāi)始檢測(cè)操作系統(tǒng)中所有進(jìn)程。在系統(tǒng)上檢測(cè)到所有進(jìn)程圖5所示：

從圖5中，可以看到，當(dāng)前系統(tǒng)中的所有進(jìn)程的PID，進(jìn)程名和EPROCESS，系統(tǒng)中沒(méi)有隱藏進(jìn)程，和任務(wù)管理器中的獲取的進(jìn)程信息是一致的。

2.4隱藏端口檢測(cè)模塊

在內(nèi)核態(tài)獲取端口信息，主要是通過(guò)直接獲取設(shè)備對(duì)象/device/tcp和/device/udp，繼而獲取文件操作對(duì)象，隨后構(gòu)造IRP請(qǐng)求信息獲取端口信息。該模塊繞過(guò)中間步驟，直接調(diào)用內(nèi)核，獲取內(nèi)核中設(shè)備對(duì)象，獲取端口信息，從而使隱藏端口無(wú)處藏身。

點(diǎn)擊主界面上工具欄的第四個(gè)按鈕開(kāi)始檢測(cè)操作系統(tǒng)中所有正在通信進(jìn)程。在系統(tǒng)上檢測(cè)到所有端口如圖6所示：

2.5系統(tǒng)服務(wù)描述符表監(jiān)測(cè)模塊

系統(tǒng)服務(wù)描述符表SSDT不僅是一個(gè)地址索引表，還包含很多其他信息，比如地址索引的基地址、服務(wù)函數(shù)個(gè)數(shù)。點(diǎn)擊主界面上工具欄的第五個(gè)按紐開(kāi)始檢測(cè)操作系統(tǒng)中所有SSDT表項(xiàng)。在系統(tǒng)上檢測(cè)到SSDT信息如圖7所示：

2.6 IDT監(jiān)測(cè)模塊

IDT（Interrupt Descriptor Table中斷服務(wù)表）是一個(gè)有256入口函數(shù)線形表，每個(gè)IDT的入口是8個(gè)字節(jié)說(shuō)明符，所以整個(gè)IDT表字節(jié)數(shù)是8*256—2048 bytes。檢測(cè)IDT鉤子同樣可以使用對(duì)比函數(shù)原始地址和函數(shù)內(nèi)存地址的方法。[2lIDT在內(nèi)存中的地址可以通過(guò)sidt指令I(lǐng)DTR寄存器內(nèi)容，IDTR中存放著IDT中斷服務(wù)入口信息，從而在其中獲取IDT服務(wù)函數(shù)的內(nèi)存地址。

IDT服務(wù)函數(shù)的原始地址可以在ntoskrnl.exe中獲取，通過(guò)獲取ntoskrnl.exePE文件在內(nèi)存中的基地址，然后獲取鏡像文件的INIT段，讀取該段內(nèi)容后，匹配特征“＼xB9＼x00＼x08＼x00＼x00＼xCl＼xE9＼x02＼xF3＼xA5”，特征后就是IDT服務(wù)函數(shù)的原始地址。

點(diǎn)擊主界面上工具欄的第八個(gè)按紐開(kāi)始檢測(cè)操作系統(tǒng)中所有IDT表項(xiàng)。在系統(tǒng)上檢測(cè)到IDT如圖8所示：

2.7過(guò)濾驅(qū)動(dòng)枚舉模塊

所謂過(guò)濾就是在本來(lái)已有的設(shè)備棧中加入一個(gè)自己的設(shè)備。在這里把插入設(shè)備棧的用戶設(shè)備叫做過(guò)濾設(shè)備，建立這個(gè)設(shè)備并使其具有特殊功能的驅(qū)動(dòng)叫做過(guò)濾驅(qū)動(dòng)。本模塊所實(shí)現(xiàn)的功能就是枚舉操作系統(tǒng)中所有已加載的過(guò)濾驅(qū)動(dòng)，并將驅(qū)動(dòng)路徑、驅(qū)動(dòng)對(duì)象名、類型設(shè)備宿主驅(qū)動(dòng)對(duì)象名等信息顯示在列表框中。點(diǎn)擊主界面上工具欄的第九個(gè)按紐開(kāi)始檢測(cè)操作系統(tǒng)中所有已加載過(guò)濾驅(qū)動(dòng)。在系統(tǒng)上檢測(cè)到過(guò)濾驅(qū)動(dòng)如圖9所示：

3結(jié)語(yǔ)

本系統(tǒng)在充分研究病毒、木馬原理和Windows內(nèi)核編程的基礎(chǔ)上，設(shè)計(jì)實(shí)現(xiàn)了一個(gè)界面友好，使用方便，高效便捷的內(nèi)核級(jí)手動(dòng)殺毒系統(tǒng)。主要實(shí)現(xiàn)了監(jiān)視內(nèi)核模塊、監(jiān)視系統(tǒng)鉤子、檢測(cè)隱藏進(jìn)程、檢測(cè)隱藏端口、監(jiān)視SSDT、IDT監(jiān)視、過(guò)濾驅(qū)動(dòng)枚舉等功能。本系統(tǒng)從手動(dòng)殺毒角度出發(fā)，變被動(dòng)防御為主動(dòng)查殺，更有效的查殺計(jì)算機(jī)感染的病毒及木馬，特別是Rootkit保護(hù)的內(nèi)核級(jí)木馬，通過(guò)檢測(cè)相應(yīng)的被掛鉤函數(shù)，內(nèi)核中被修改的地址，找到相應(yīng)的進(jìn)程，從而實(shí)現(xiàn)了木馬進(jìn)程的強(qiáng)殺、相應(yīng)內(nèi)核內(nèi)容的恢復(fù)等功能，保護(hù)了計(jì)算機(jī)操作系統(tǒng)的安全。在經(jīng)濟(jì)利益的驅(qū)使下，木馬編寫者也在不斷研究新型的隱藏技術(shù)，逃避傳統(tǒng)的檢測(cè)技術(shù)，本系統(tǒng)也可以與時(shí)俱進(jìn)，研究新的隱藏技術(shù)，并將對(duì)應(yīng)的檢測(cè)技術(shù)加入到系統(tǒng)中。