[原创]分享比较完整的ROOTKIT DEMO! 原来Shadow Hook和SSDT Hook一样容易！-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]分享比较完整的ROOTKIT DEMO! 原来Shadow Hook和SSDT Hook一样容易！

发表于: 2008-8-5 23:37 106614

[原创]分享比较完整的ROOTKIT DEMO! 原来Shadow Hook和SSDT Hook一样容易！

embedlinux 活跃值

2008-8-5 23:37

106614

这里写的ROOTKIT比较简单(有些代码是消化别人的代码后改写过来的)，高手跳过.......
包含以下内容：(详细请看源代码)
SSDT Hook
//hook system call
#define HOOK_SYSCALL(FuncName, pHookFunc, pOrigFunc ) \
      pOrigFunc = (PVOID)InterlockedExchange( \
      (PLONG)&MappedSystemCallTable[ SYSCALL_INDEX(FuncName) ], \
      (LONG)pHookFunc)

//unhook system call
#define UNHOOK_SYSCALL(FuncName, pHookFunc, pOrigFunc ) \
      InterlockedExchange( \
      (PLONG)&MappedSystemCallTable[ SYSCALL_INDEX(FuncName) ],\
      (LONG)pOrigFunc)
SSDT HOOK了如下函数：
ZwQueryValueKey
ZwEnumerateValueKey
ZwQueryDirectoryFile
ZwOpenProcess
ZwDeleteKey
ZwDeleteValueKey
ZwSaveKey
ZwLoadDriver
ZwSetSystemInformation
ZwTerminateProcess

Shadow Hook
仿照SSDT HOOK，下面定义两个宏，让Shadow Hook和SSDT Hook一样简单!
//hook shadow system call
#define HOOK_SHADOW_SYSCALL(SysCallIndex, pHookFunc, pOrigFunc ) \
      pOrigFunc = (PVOID)InterlockedExchange( \
      (PLONG)&MappedSystemCallTable[ (SysCallIndex) ], \
      (LONG)pHookFunc)

//unhook shadow system call
#define UNHOOK_SHADOW_SYSCALL(SysCallIndex, pHookFunc, pOrigFunc ) \
      InterlockedExchange( \
      (PLONG)&MappedSystemCallTable[ (SysCallIndex) ],\
      (LONG)pOrigFunc)
上周一接到腾讯的电话面试，由于有一段时间没研究HOOK了，问到Shadow Hook时没回答好！汗！
现在把Shadow Hook重新整理了一下！
Shadow Hook了如下函数，程序框架比较好，容易加入新挂钩函数
NtUserFindWindowEx
NtUserGetForegroundWindow
NtUserQueryWindow
NtUserBuildHwndList
NtUserWindowFromPoint
NtUserSetWindowsHookEx
NtUserGetDC
NtUserGetDCEx
NtUserSendInput

为了保护进程，研究了终止进程的方法
WINDOWS内核定时器
老土的文件/目录隐藏
注册表键值隐藏
驱动隐藏
系统线程
IRP文件操作

多种加载内核级ROOTKIT方法
Ring3中恢复SSDT(ZwSystemDebugControl)
从资源释放文件
远程进程注入
消息钩子注入DLL
查找窗口
查找进程

注意：不要随便运行程序，最好在虚拟机下运行！此程序仅供学习WINDOWS内核驱动编程用！
在自己的ntddk.h中的结构IO_STACK_LOCATION添加如下代码才能顺利通过编译:
//Parameters for IRP_MJ_DIRECTORY_CONTROL
struct {
ULONG Length;
PUNICODE_STRING FileName;
FILE_INFORMATION_CLASS POINTER_ALIGNMENT \
FileInformationClass;
} QueryDirectory;
下面两图分别是程序启动信息和在Ring0恢复SSDT:

[课程]Android-CTF解题方法汇总！

上传的附件：

CCRootkit-V0.1.rar （503.01kb，2269次下载）
启动-1.jpg （165.06kb，7316次下载）
从Ring0中恢复SSDT.jpg （173.62kb，7324次下载）

收藏・93

免费・7

支持

最新回复 (116) 1 2 3 4 5 ▶
embedlinux 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 47 粉丝 0 关注私信	embedlinux 1 2 楼自己顶一下！ 2008-8-5 23:46 0
笨奔雪币： 415 活跃值： (34) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 748 粉丝 1 关注私信	笨奔 1 3 楼晕，一上来就碰到如此好贴，赞个先。受教了。 2008-8-5 23:54 0
embedlinux 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 47 粉丝 0 关注私信	embedlinux 1 4 楼欢迎对程序提出意见，多多交流！ 2008-8-6 00:00 0
yjcpu 雪币： 241 活跃值： (38) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 38 粉丝 0 关注私信	yjcpu 1 5 楼 [QUOTE=;]...[/QUOTE] 又见RootKit，危险 2008-8-6 00:22 0
embedlinux 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 47 粉丝 0 关注私信	embedlinux 1 6 楼 ROOTKIT主要看是用在哪些地方啊！有时也是很多帮助的！这里只是为了学习WINDOWS底层HOOK编程！ 2008-8-6 00:28 0
nevergone 雪币： 63 活跃值： (17) 能力值： ( LV8，RANK：130 ) 在线值：发帖 5 回帖 270 粉丝 0 关注私信	nevergone 3 7 楼学习 LZ代码写得很好 2008-8-6 07:49 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 8 楼谢谢分享。学习～ 2008-8-6 08:42 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 9 楼可以做个OD插件。 2008-8-6 10:22 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 10 楼其实那个宏可以简化一点的。虽然那样写看着方便但是没必要。 /////// 写得不错额~ 不过感觉那个HookOfZwOpenProcess这样写不通用。 push 0C4h //push 0C4h 68c4000000 用WinDbg查看 push 804daa90h //push 804daa90 6890aa4d80 jmp [JmpNtOpenProcessAddr] 2008-8-6 10:26 0
embedlinux 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 47 粉丝 0 关注私信	embedlinux 1 11 楼 HookOfZwOpenProcess这样写主要为了对付inline hook! 2008-8-6 13:38 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 12 楼还算不错，综合里几年来的开源工程，大家应该谢谢楼主的分享。在pediy混的写木马哥们赶紧膜拜楼主吧~~ 2008-8-6 13:57 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 13 楼我第一个膜拜1下 2008-8-6 15:11 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 14 楼 u一下： lkd> u NtOpenProcess nt!NtOpenProcess: 80573d06 68c4000000 push 0C4h 80573d0b 6810b44e80 push offset nt!ObWatchHandles+0x25c (804eb410) 2008-8-6 15:34 0
lOOp 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 260 粉丝 0 关注私信	lOOp 15 楼学习一下 2008-8-6 18:16 0
xss 雪币： 471 活跃值： (3703) 能力值： ( LV9，RANK：170 ) 在线值：发帖 9 回帖 314 粉丝 5 关注私信	xss 4 16 楼谢谢楼主的分享. 2008-8-6 18:48 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 17 楼楼主的代码不错，学习～ 2008-8-6 20:55 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 18 楼 XP SP3下驱动测试蓝了。 2008-8-6 22:51 0
embedlinux 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 47 粉丝 0 关注私信	embedlinux 1 19 楼只在XPSP2下测试过，用IDA反汇编一下user32.dll、gdi32.dll，看看shadow Hook的函数索引号是否和XPSP2下的相同？ 2008-8-7 01:21 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 20 楼 XP SP2 干净系统情况下，直接用KmdManager.exe加载蓝屏，LZ源程序改一下才能加载成功，因为系统在D盘。LZ驱动稳定性有待解决。有一个区别是本人的系统是美化版系统。 2008-8-7 07:33 0
boywhp 雪币： 1233 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 595 粉丝 26 关注私信	boywhp 12 21 楼呵呵不错！省得有些小东西还到处找 2008-8-7 08:10 0
dayed 雪币： 225 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 222 粉丝 1 关注私信	dayed 1 22 楼非常谢LZ,顶 2008-8-7 09:07 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 23 楼你看那个NtOpenProcess的Hook就可以看出点问题了。 2008-8-7 09:55 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 24 楼楼主说了是Demo啊，又不是成品，学习为主～ 2008-8-7 10:44 0
embedlinux 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 47 粉丝 0 关注私信	embedlinux 1 25 楼热烈欢迎自己修改程序,加强稳定性和增加功能! 修改后也不要忘了分享一下哦! 2008-8-7 11:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

embedlinux

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (116) 1 2 3 4 5 ▶
embedlinux 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 47 粉丝 0 关注私信	embedlinux 1 2 楼自己顶一下！ 2008-8-5 23:46 0
笨奔雪币： 415 活跃值： (34) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 748 粉丝 1 关注私信	笨奔 1 3 楼晕，一上来就碰到如此好贴，赞个先。受教了。 2008-8-5 23:54 0
embedlinux 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 47 粉丝 0 关注私信	embedlinux 1 4 楼欢迎对程序提出意见，多多交流！ 2008-8-6 00:00 0
yjcpu 雪币： 241 活跃值： (38) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 38 粉丝 0 关注私信	yjcpu 1 5 楼 [QUOTE=;]...[/QUOTE] 又见RootKit，危险 2008-8-6 00:22 0
embedlinux 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 47 粉丝 0 关注私信	embedlinux 1 6 楼 ROOTKIT主要看是用在哪些地方啊！有时也是很多帮助的！这里只是为了学习WINDOWS底层HOOK编程！ 2008-8-6 00:28 0
nevergone 雪币： 63 活跃值： (17) 能力值： ( LV8，RANK：130 ) 在线值：发帖 5 回帖 270 粉丝 0 关注私信	nevergone 3 7 楼学习 LZ代码写得很好 2008-8-6 07:49 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 8 楼谢谢分享。学习～ 2008-8-6 08:42 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 9 楼可以做个OD插件。 2008-8-6 10:22 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 10 楼其实那个宏可以简化一点的。虽然那样写看着方便但是没必要。 /////// 写得不错额~ 不过感觉那个HookOfZwOpenProcess这样写不通用。 push 0C4h //push 0C4h 68c4000000 用WinDbg查看 push 804daa90h //push 804daa90 6890aa4d80 jmp [JmpNtOpenProcessAddr] 2008-8-6 10:26 0
embedlinux 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 47 粉丝 0 关注私信	embedlinux 1 11 楼 HookOfZwOpenProcess这样写主要为了对付inline hook! 2008-8-6 13:38 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 12 楼还算不错，综合里几年来的开源工程，大家应该谢谢楼主的分享。在pediy混的写木马哥们赶紧膜拜楼主吧~~ 2008-8-6 13:57 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 13 楼我第一个膜拜1下 2008-8-6 15:11 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 14 楼 u一下： lkd> u NtOpenProcess nt!NtOpenProcess: 80573d06 68c4000000 push 0C4h 80573d0b 6810b44e80 push offset nt!ObWatchHandles+0x25c (804eb410) 2008-8-6 15:34 0
lOOp 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 260 粉丝 0 关注私信	lOOp 15 楼学习一下 2008-8-6 18:16 0
xss 雪币： 471 活跃值： (3703) 能力值： ( LV9，RANK：170 ) 在线值：发帖 9 回帖 314 粉丝 5 关注私信	xss 4 16 楼谢谢楼主的分享. 2008-8-6 18:48 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 17 楼楼主的代码不错，学习～ 2008-8-6 20:55 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 18 楼 XP SP3下驱动测试蓝了。 2008-8-6 22:51 0
embedlinux 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 47 粉丝 0 关注私信	embedlinux 1 19 楼只在XPSP2下测试过，用IDA反汇编一下user32.dll、gdi32.dll，看看shadow Hook的函数索引号是否和XPSP2下的相同？ 2008-8-7 01:21 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 20 楼 XP SP2 干净系统情况下，直接用KmdManager.exe加载蓝屏，LZ源程序改一下才能加载成功，因为系统在D盘。LZ驱动稳定性有待解决。有一个区别是本人的系统是美化版系统。 2008-8-7 07:33 0
boywhp 雪币： 1233 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 595 粉丝 26 关注私信	boywhp 12 21 楼呵呵不错！省得有些小东西还到处找 2008-8-7 08:10 0
dayed 雪币： 225 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 222 粉丝 1 关注私信	dayed 1 22 楼非常谢LZ,顶 2008-8-7 09:07 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 23 楼你看那个NtOpenProcess的Hook就可以看出点问题了。 2008-8-7 09:55 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 24 楼楼主说了是Demo啊，又不是成品，学习为主～ 2008-8-7 10:44 0
embedlinux 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 47 粉丝 0 关注私信	embedlinux 1 25 楼热烈欢迎自己修改程序,加强稳定性和增加功能! 修改后也不要忘了分享一下哦! 2008-8-7 11:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复