1. 打开文件用IoCreateFile,其他比较好发irp的(比如删除操作)走FSD irp
删除文件部分处理了删除正在运行的exe镜像部分,做法是方法是IAT Hook MmFlushImageSection
但是这样对于独占文件依旧不能处理,只好等到关机回调的时候ZwClose一下在检验
对于鬼影这种hook住微端口驱动的StartIo这种,直接判断驱动名字” hello_tt.sys” or “beep.sys”从里面硬编码一个原始StartIo的全局变量恢复,虽然看着比较2,但目前市面上就这一版鬼影在传播也就还好
而且并不是所有人的小端口驱动都是atapi,也许是为了处理nvgts之类的玩意儿。
2. 恢复FSD钩子,打开文件用IoCreateFile,其他比较好发irp的(比如删除操作)走irp,
hook MmFlushImageSection,然后删除文件之前先跑到其他进程里去关人家的句柄,这让可以删掉市面上大多数应用层***了。
3. 自己实现了所有Nt系列操作文件的功能(详见WRK),对文件的所有操作(包括目录的遍历)都会直接发送到FSD (为了实现这个目标还要自己实现一些Obxxxx的代码),当然FSD的irp/inline hook要处理
有一些irp操作不是你直接调用的,比如IRP_MJ_CLEANUP 是在ZwClose里面间接调用的,这里用到的方法是自己创建一个对象类型代替File类型,在打开文件时对对象类型进行了替换,这样ZwClose调用CloseProcedure就不再是IopCloseFile而是自己的函数。
文件删除部分有关闭其他进程里的句柄,IRP_MJ_LOCK_CONTROL,MJ的XCB大法(这个很久的文章以前分析过了)
这个文件穿透还是很强大的~~ 绕过了绝大多数菜鸟rootkit,大街上好rootkit还是太少了。
针对鬼影恢复了StartIo,目前只支持atapi的
还有一个功能貌似是测试网络连通性= =
这一篇和上一篇一样,读取和删除文件&注册表是查杀rootkit***用到的技术,“思路”的意思其实就是国内三款主流产品的一些原理= =
有兴趣的自己逆一下吧~