今天,我们来讲一下内核安全!
本文章仅提供学习,切勿将其用于不法手段!
目前,在渗透测试领域,主要分为了两个发展方向,分别为Web攻防领域和PWN(二进制安全)攻防领域。在PWN的二进制领域,免杀技术,一直是后渗透利用阶段的重要安全技术之一。
想要免杀,需要了解的安全技术知识包括软件加壳、代码混淆(例如,使用花指令)、隐匿技术(例如,Rootkit技术)、动态加密等内容。
接上一篇文章,我们来继续讲述下 Rootkit技术 的相关基础知识点内容!
我们来继续讲一些 实战类 的 技术干货 !
上篇文章的内容中,讲述了 在 Windows 环境下 进行 驱动开发 的 两大 工具类型 !
WDM Windows 驱动程序 模型 和 WDF Windows 驱动开发 框架 !
WDM Windows 驱动程序 模型 采用 面向过程 的 编程方法 进行 Windows 环境下的 驱动程序开发 !
WDF Windows 驱动程序 框架 采用 面向对象 的 编程方法 进行 Windows 环境下的 驱动程序开发 !
WDM Windows 驱动程序 模型 的 开发工具包 为 DDK Driver Developer Kit !
WDF Windows 驱动程序 模型 的 开发工具包 为 WDK Windows Driver Kit !
今天,我们来继续科普一些 驱动开发领域 的 基础知识 !
在进行驱动程序开发时,我们优先推荐使用 DDK( Driver Developer Kit )进行驱动程序开发工作!原因相对简单, DDK( Driver Developer Kit )如同 Windows API 一样,接近于底层空间!
Windows API ,在 用户态 的 软件程序 开发领域 中,是最接近于 操作系统底层 的 存在!
Windows API ,直接与 操作系统内核 进行 数据通信 !
大家可以理解为, Windows API 是 用户态软件程序 和 操作系统内核 进行 数据通信 的一座桥梁!相对于 MFC 类库 而言,Windows API 函数,在使用方面,更加的灵活 !MFC 类库,是按照面向对象的程序设计方法,对 Windows API 函数 的一次 封装 !
DDK( Driver Developer Kit ),直接与底层硬件通信,大家可以理解为,DDK 中的 函数方法 是最接近于硬件底层的 !DDK 如同 Windows API 一样,使用面向过程的程序设计方法,进行 驱动程序 的 开发工作 !
DDK( Driver Developer Kit ),接近于 硬件底层,DDK( Driver Developer Kit )在 驱动程序开发领域的功能实现方面,也是最为灵活的 ! 我们需要知道,DDK 在 驱动程序的功能开发实现方面 ,要比 WDK( Windows Driver Kit )更加 灵活 !
Windows 驱动程序,主要分为 两大类 ,分别为 NT 式 驱动程序 和 WDM 驱动程序 。
NT 式 驱动程序,是一类比较古老的、不支持 即插即用功能 的 驱动程序 !Windows 2000、Windows XP 系统 的 驱动程序,就是属于 NT 式 驱动程序 !NT 式 驱动程序的明显不足为
并不支持即插即用功能 !
WDM 驱动程序,是一类相对较新的、支持 即插即用功能 的 驱动程序 !目前 Windows 系列的 主流 操作系统 ,都是支持 WDM 类型 的 驱动程序 的 !
WDK( Windows Driver Kit ),属于 DDK( Driver Developer Kit )的升级版本,采用 面向对象的程序设计方法,进行驱动程序开发工作 !但是 !WDK( Windows Driver Kit )如同 MFC 一样,都是 采用面向对象的程序设计方法 对 底层函数 进行了 相应的封装 !不同的是,MFC 类库 封装的对象是 Windows API 函数 ,而 WDF( Windows Driver Kit )封装的对象 , 则是 DDK( Driver Developer Kit )!
现在,我们来介绍一下,在 Windows 驱动程序 的 开发 工作中,需要使用到的一些非常重要的数据结构 ! 学会它们,是进行 Windows 驱动程序 开发工作 的 知识基础 !
首先,我们要认识到,每一个驱动程序,都会存在对应的 驱动对象( DRIVER_OBJECT ),DRIVER_OBJECT 是一种 数据结构 !在驱动程序被加载时,操作系统内核 中的 对象管理程序 利用 DRIVER_OBJECT 数据结构 去创建 实例化 的 驱动程序对象 !驱动程序对象 的 数据结构 是使用 DRIVER_OBJECT 进行表示的 !因此,熟悉 DRIVER_OBJECT 的 数据结构 定义 ,是非常重要的 !下面,介绍一下,驱动程序对象 DRIVER_OBJECT 的 数据结构 定义 !
typedef struct _DRIVER_OBJECT {
CSHORT Type ; //结构体类型( 始终为 DRIVER_OBJECT_TYPE )
CSHORT Size ; //结构体大小( 以 Bypte 字节 为单位 )
PDEVICE_OBJECT DeviceObject ; //DEVICE_OBJECT结构指针(设备对象指针)
ULONG Flags ; //32位掩码(驱动程序属性)
PVOID DriverStart ; //驱动程序代码入口点(DriverEntry函数在内存空间中的线性地址)
ULONG DriverSzie ; //驱动程序代码长度(驱动程序代码占用的内存空间大小(字节))
PVOID DriverSection ; //内存区对象(节)指针(指向驱动程序的配置信息的内存描述表)
PDRIVER_EXTENSION DriverExtension ; //指向驱动扩展的指针(允许添加额外功能)
UNICODE_STRING DriverName ; //驱动程序名称
PUNICODE_STRING HardwareDatabase ; //指向注册表中的硬件信息路径(特定的配置参数)
PFAST_IO_DISPATCH FastIoDispatch ; //指向FAST_IO_DISPATCH结构体的指针
PDRIVER_INITIALIZE DriverInit ; //指向特定驱动程序的入口点函数的指针(初始化)
PDRIVER_STARTIO DriverStartIo ; //指向特定驱动程序的入口点函数的指针(启动I/O操作)
PDRIVER_UNLOAD DriverUnload ; //指向特定驱动程序的入口点函数的指针(卸载驱动)
PDRIVER_DISPATCH MajorFunction [ IRP_MJ_MAXIMUM_FUNCTION + 1 ] ; //一个函数指针数组,包含了驱动程序能够处理的各种主要I/O请求的函数指针。
} DRIVER_OBJECT ;
typedef struct _DRIVER_OBJECT * PDRIVER_OBJECT ;
注意,typedef 关键字,用于 自定义数据类型 ,C语言 中 有相关的 用途说明 介绍 !
注意,struct 关键字,用于 创建 结构体 结构 ,C语言 中 有相关的 用途说明 介绍 !
PDRIVER_OBJECT 数据类型 是 DRIVER_OBJECT 对象 指针 类型 !
下面,我们来重点地讲解一下, DRIVER_OBJECT 对象 的 相关字段 用途 !
1、Type:此字段标识该结构体的类型,通常设置为DRIVER_OBJECT_TYPE,用于表明这是一个驱动对象结构体。
2、Size:此字段表示该结构体的大小,以字节为单位,帮助内核和驱动程序识别结构体的内存布局。
3、DeviceObject:这是一个指针,指向驱动程序所创建的设备对象链表的头部。每个设备对象代表着一个设备或者驱动程序创建的一种虚拟设备。驱动程序通过IoCreateDevice等函数创建设备对象,并通过此字段与内核交互。
4、DriverStart:这是一个指针,指向驱动程序代码的入口点,即DriverEntry函数。当驱动程序被加载时,DriverEntry函数会被调用,用于初始化驱动对象和其他资源。
5、DriverSize:表示驱动程序的大小,用于内核管理驱动程序映像的内存占用情况。
6、DriverSection:指向驱动程序映像的内存区对象,用于内核管理驱动程序在内存中的布局和访问权限。
7、DriverExtension:指向驱动扩展的指针,允许驱动程序添加额外的信息或功能到驱动对象中。
8、DriverName:一个UNICODE_STRING类型,表示驱动程序的名称。这有助于系统日志、调试工具和其他组件识别驱动程序。
9、HardwareDatabase:指向注册表中的硬件信息路径,为驱动程序提供设备特定的配置和参数( 在Windows内核模式驱动程序中,硬件数据库用于存储有关系统中所有设备实例的信息,如设备的设备路径、设备对象指针等 )。
10、FastIoDispatch:一个指向FAST_IO_DISPATCH结构体的指针。FAST_IO_DISPATCH结构体包含了一组回调例程,这些例程允许文件系统驱动程序或文件系统筛选器驱动程序(旧)提供快速I/O处理。通过这组回调例程,驱动程序能够直接处理某些常见的I/O操作,从而提高性能并减少内核模式的转换次数。
11、DriverInit:这些字段是指向特定驱动程序的入口点函数的指针,用于执行初始化任务。
12、DriverStartIo:这些字段是指向特定驱动程序的入口点函数的指针,用于执行启动I/O操作任务。
13、DriverUnload:这些字段是指向特定驱动程序的入口点函数的指针,用于执行卸载驱动任务。
14、MajorFunction:一个函数指针数组,包含了驱动程序能够处理的各种主要I/O请求的函数指针。每个数组元素对应一种I/O请求类型,当系统需要处理这种请求时,会调用相应的函数。
注意,以大小字母 P 开头的 数据类型 一般 是 指针数据 类型 ,这是命名定义上的 习惯性 约定 !
DRIVER_OBJECT是 驱动程序 的存在形式,它是一个 结构体 。在Windows内核中,每个设备驱动程序都需要一个DRIVER_OBJECT对象,DRIVER_OBJECT对象 由系统创建并传递给驱动程序的 DriverEntry函数 或 AddDevice函数 的 参数 。
驱动程序使用此对象来注册与设备对象和其他系统对象的交互,并在操作系统需要与驱动程序进行交互时使用此对象。DRIVER_OBJECT对象还包含了与驱动程序所管理的设备对象相关联的设备扩展结构,以及用于处理I/O请求的函数指针等信息。它是驱动程序与操作系统内核之间的桥梁,用于协调设备的操作和管理 。
具体来说,DRIVER_OBJECT结构体包含了一系列字段,用于描述驱动程序的特定属性。例如,它包含驱动类型、驱动大小、驱动对象、驱动标志、驱动的起始位置、驱动的大小、指向驱动程序映像的内存区对象、驱动的扩展空间、驱动名字等。
请注意,DRIVER_OBJECT在驱动开发中是一个核心概念,其细节和具体实现可能因不同的Windows版本和硬件平台而有所不同。
扩展知识:
NDIS 中间层 驱动程序,处于 网络协议 驱动程序 和 网络硬件 驱动程序 中间。NDIS 中间层 驱动 程序 非常强大 !NDIS中间层驱动程序 可以看到 操作系统 中的全部 网络通信 的 数据流量信息 ! 网络协议 驱动程序,仅能发现 接收到 的 网络数据包。中间层驱动程序,被通常用于 数据包过滤 和 防火墙软件开发 ,但是 NDIS 中间层 驱动程序 也可以被用于 网络通信数据流量 隐藏 !
Rootkit 类型 的 远控程序 ,想要 隐藏自身 并 监听 、修改 、发送 网络协议层 的 通信数据 ,就 势必 会 进行 NDIS 层面 的 驱动程序开发 !因此,当我们想要 检测 与 取证 NDIS 层面 的 Rootkit 远控程序 的 软件行为,就必须要对 NDIS 相关的基础知识,有所了解 !
下一章内容中,将重点介绍 WDM 驱动开发工作中 , 会使用到的 另一个非常重要的 数据结构 DEVICE_OBJECT 设备对象 !
请关注下一篇,渗透测试之内核安全系列课程:Rootkit技术初探(七)