也谈rootkit 注册表信息隐藏

最新推荐文章于 2024-05-12 00:12:13 发布
原创 最新推荐文章于 2024-05-12 00:12:13 发布 · 1.5k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#配置管理 #null #descriptor #integer #windows #security

本文深入探讨了Windows注册表的隐藏技术,包括用户态和核心态下的隐藏方法,重点介绍了通过修改hive内存结构中的特殊指针hook来实现注册表项的隐藏。文章详细解析了注册表的结构,如HIVE_BLOCK、CELL_DATA、HBIN等,并展示了如何通过hook GetCellRoutine函数来达到隐藏注册表项的目的。此外,还提供了隐藏注册表项的示例代码,揭示了注册表隐藏的具体实现过程。 
注册表是Windows系统存储关于计算机配置信息的数据库,包括了系统运行时需要调用的运行方式的设置,是系统的核心。操作系统是用特殊的文件 (Hive文件)来存储注册表的内容,并提供给用户相关的编程接口(APIs)来进行注册表的操作,例如Advapi32.dll中的Registry Functions(如:RegEnumKey)。在Windows操作系统中,函数的调用有着极其规范的层次结构,如下图所示是系统实现 RegEnumKey函数的调用体系。
名称:  2.JPG
查看次数: 389
文件大小:  24.9 KB
注册表隐藏就是将系统呈现给用户的注册表信息进行修改,使得用户或检测工具无法直观地发现事实上存在的注册表内容。目前的注册表隐藏,大都采用的是Hook技术。根据它们不同的运行环境和模式,把常见的注册表隐藏技术称为用户态下注册表隐藏技术和核心态下注册表隐藏技术。它们通常是利用IAT Hook, Inline Hook、远程线程注入、SSDT Hook等方式来实现。网上比较多见的核心态隐藏技术是ssdt hook NtEnumerateKey 和inline hook CmEnumerateKey。然而这些方法已经很容易被防御体系发现。

本文是通过修改hive内存结构中的特殊指针hook实现注册表项的隐藏。关于hive文件结构,论坛中曾经有两人写过相关的文章,一篇是炉子大牛写的《HIVE格式解析》,另一篇是HSQ大牛写的《注册表监控弱点演示程序 v0.2 逆向ASM源码及相关资料》,另外,Petter Nordahl-Hagen写过一个hive文件存取库,我整理了下,也附在本篇文章之后,方便大家查阅。

相信看过网上这几篇的朋友一定还有些疑虑,到底注册表的工作原理是怎样的呢?我们今天通过一个驱动代码来揭开它神秘的面纱。

在磁盘上,注册表并不是简单的一个大文件,而是一组称为hive的单独文件。每个hive文件包含了一颗注册表树。有一个键作为该树的根。子键和他们的值存储在根的下面。当配置管理器(注册表的执行体子系统)加载hive的时候,会在HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet /Control/hivelist子键下的注册表值中记录下每个hive的路径。下面是我本机注册表hivelist子键导出的信息:

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/hivelist]

"//REGISTRY//MACHINE//HARDWARE"=""

"//REGISTRY//MACHINE//SECURITY"="//Device//HarddiskVolume1//WINDOWS//system32//config//SECURITY"

"//REGISTRY//MACHINE//SOFTWARE"="//Device//HarddiskVolume1//WINDOWS//system32//config//SOFTWARE"

"//REGISTRY//MACHINE//SYSTEM"="//Device//HarddiskVolume1//WINDOWS//system32//config//SYSTEM"

"//REGISTRY//USER//.DEFAULT"="//Device//HarddiskVolume1//WINDOWS//system32//config//DEFAULT"

"//REGISTRY//MACHINE//SAM"="//Device//HarddiskVolume1//WINDOWS//system32//config//SAM"

"//REGISTRY//USER//S-1-5-20"="//Device//HarddiskVolume1//Documents and Settings//NetworkService//NTUSER.DAT"

"//REGISTRY//USER//S-1-5-20_Classes"="//Device//HarddiskVolume1//Documents and Settings//NetworkService//Local Settings//Application Data//Microsoft//Windows//UsrClass.dat"

"//REGISTRY//USER//S-1-5-19"="//Device//HarddiskVolume1//Documents and Settings//LocalService//NTUSER.DAT"

"//REGISTRY//USER//S-1-5-19_Classes"="//Device//HarddiskVolume1//Documents and Settings//LocalService//Local Settings//Application Data//Microsoft//Windows//UsrClass.dat"

"//REGISTRY//USER//S-1-5-21-1550111154-316279633-4274931122-1006"="//Device//HarddiskVolume1//Documents and Settings//Jason//NTUSER.DAT"

"//REGISTRY//USER//S-1-5-21-1550111154-316279633-4274931122-1006_Classes"="//Device//HarddiskVolume1//Documents and Settings//Jason//Local Settings//Application Data//Microsoft//Windows//UsrClass.dat"

通过这个信息我们看到,在C:/WINDOWS/system32/config目录中存储着HKLM所有项的hive文件以及一个HKU的DEFAULT hive文件,其他的HKU下的hive文件存储在c:/Documents and Settings等子目录下。在hivelist记录的这些信息中,我们看到hive文件只能加载到HKLM和HKU下。如图:
名称:  1.JPG
查看次数: 695
文件大小:  30.7 KB

配置管理器从逻辑上将一个hive分成一些称为block的分配单元。如图:
名称:  3.jpg
查看次数: 683
文件大小:  12.3 KB

其方式类似于文件系统将一个磁盘分成簇。根据定义,注册表block的大小为4096字节(4kb)。当新的数据要扩展一个hive时,该hive总是按照 block的粒度来增加。hive的第一个block称为base block. 里面包含了一些全局信息,包括一个特征签名regf、更新的序列号,时间戳,hive格式版本号、校验和以及该hive的内部文件名(如:/Device /HarddiskVolume1/WINDOWS/system32/config/SECURITY)。

结构如下:
lkd> dt _hbase_block

nt!_HBASE_BLOCK
   +0x000 Signature         : Uint4B
   +0x004 Sequence1         : Uint4B
   +0x008 Sequence2         : Uint4B
   +0x00c TimeStamp         : _LARGE_INTEGER
    +0x014 Major             : Uint4B
    +0x018 Minor             : Uint4B
    +0x01c Type              : Uint4B
    +0x020 Format            : Uint4B
    +0x024 RootCell          : Uint4B
    +0x028 Length            : Uint4B
    +0x02c Cluster           : Uint4B
    +0x030 FileName          : [64] UChar
   +0x070 Reserved1         : [99] Uint4B
    +0x1fc CheckSum          : Uint4B
    +0x200 Reserved2         : [894] Uint4B
    +0xff8 BootType          : Uint4B
    +0xffc BootRecover       : Uint4B
windows将一个hive所存储的注册表数据组织在一种称为cell的容器中。一个cell可以容纳一个键、一个值、一个安全描述符、一列子键或者一列键值。其对应的结构如下:

typedef struct _CELL_DATA
{
     union _u
    {
         CM_KEY_NODE       KeyNode;
         CM_KEY_VALUE      KeyValue;
         CM_KEY_SECURITY   KeySecurity;     // Variable security descriptor length
         CM_KEY_INDEX      KeyIndex;        // Variable sized structure
         CM_BIG_DATA       ValueData;       // This is only for big cells; a list of cells
                                          // all of the length CM_KEY_VALUE_BIG

         HCELL_INDEX       KeyList[1];      // Variable sized array
         WCHAR             KeyString[1];    // Variable sized array
     } u;
} CELL_DATA, *PCELL_DATA;

该结构中嵌套了一个联合体,用于代表cell可以存放的不同类型的数据。

下面给出CELL_DATA可以存放的几种不同类型的cell结构:

lkd> DT _CM_KEY_NODE
nt!_CM_KEY_NODE
    +0x000 Signature         : Uint2B
    +0x002 Flags             : Uint2B
    +0x004 LastWriteTime     : _LARGE_INTEGER
    +0x00c Spare             : Uint4B
    +0x010 Parent            : Uint4B
    +0x014 SubKeyCounts      : [2] Uint4B
    +0x01c SubKeyLists       : [2] Uint4B
    +0x024 ValueList         : _CHILD_LIST
    +0x01c ChildHiveReference : _CM_KEY_REFERENCE
    +0x02c Security          : Uint4B
    +0x030 Class             : Uint4B
    +0x034 MaxNameLen        : Pos 0, 16 Bits
    +0x034 UserFlags         : Pos 16, 4 Bits
    +0x034 VirtControlFlags : Pos 20, 4 Bits
    +0x034 Debug             
最低0.47元/天 解锁文章
[转贴]利用伪造内核文件来绕过IceSword的检测
享受开发,颠倒银河
09-16 2356
[转贴]利用伪造内核文件来绕过IceSword的检测 作者:倪茂志邮件:backspray008@gmail.com完成于:2005.12.20文章分为八个部分:  一、为什么需要伪造内核  二、伪造内核文件  三、隐藏进程  四、隐藏内核模块  五、隐藏服务  六、隐藏注册表  七、隐藏文件
Rootkit隐形技术入门
xuplus的专栏
04-14 1693
Rootkit隐形技术入门这篇文章的作者: 宇文 出处:51CTO摘要:在安全界,rootkit已越来越引起人们的关注,而rootkit技术的过人之处就在于它的隐形技术,本文旨在向读者打开一扇通向rootkit隐形技术的大门。 一、综述本文将引领读者打造一个初级的内核级Rootkit,然后为其引入两种简单的隐形技术:进程隐形技术和文件隐形技术。同时,为了让读者获得rootk
实现kernel-mode inline function hook的简单方法
08-14 1182
看了uty的《kernel inline hook 绕过vice检测》,思路很好,但实现起来麻烦了点。这里以CmEnumerateKey为例介绍实现inline hook的简单方法,尽量依靠编译器做更多的事情。1、编写fake_CmEnumerateKey,在其中对CmEnumerateKey的调用做后续处理。NTSTATUSfake_CmEnumerateKey(IN PCM_KEY_CON
ring0 rootkit隐藏注册表中的项.zip
01-24
ring0 rootkit隐藏注册表中的项.zip
ring0驱动内核级的ROOTKIT实现隐藏文件,隐藏注册表项,隐藏端口.zip
01-27
ring0驱动内核级的ROOTKIT实现隐藏文件,隐藏注册表项,隐藏端口.zip
rootkit,文件,进程隐藏
11-05
rootkit,backdoor,系统调用劫持,ps进程隐藏,ls文件隐藏,代码
一段隐藏注册表项的代码
08-22 928
发一段隐藏注册表项的驱动代码,可以过目前最新的IceSword1.22。以前驱动开发网悬赏挑战IceSword时写的,不过最后没公开。那时流氓软件势头正劲,我可不想火上浇油。现在反流氓软件日渐成熟,也就没关系了。知道了原理,防御是非常容易的。原理很简单,实现的代码也很短,啥都不用说,各位直接看示例代码吧。#include #define GET_PTR(ptr, offset) (
隐藏注册表键代码
04-16 1340
#include #define CM_KEY_INDEX_ROOT      0x6972         // ir#define CM_KEY_INDEX_LEAF      0x696c         // il#define CM_KEY_FAST_LEAF       0x666c         // fl#define CM_KEY_HASH_LEAF       0x686c 
20年时候收集的一些信息安全岗面试题
课嗨教育的专栏
05-02 8429
目录 面试一 面试二 面试三 更多资料可:渗透测试基础课-课程进度_课嗨教育的博-优快云博 面试一 个人介绍: 自我介绍要点:不要用长逻辑句,短小精悍 控制在3-4分钟 1、自我介绍姓名年龄哪里人学校情况不是重点,作为顺滑开场 2、经历与技能啥时候开始学web攻防,实习经历(神舟,做了什么;尚然,做了什么),让人家清楚历史引入技术主题,挑重点 3、业绩/成绩: 研究类:freebuff SRC I春秋...
网络安全之内存取证
qidiandexiaowu
11-17 2361
简介:网络与信息技术的加速渗透和深度应用以及软件漏洞不断涌现,导致网络攻击和网络犯罪频发,造成了严重的网络安全威胁.计算机取证是打击计算机与网络犯罪的关键技术,其目的是将犯罪者留在计算机中的“攻击痕迹”提取出来,作为有效的诉讼证据提供给法庭,以便将犯罪嫌疑人绳之以法。作为一种实时提取数字证据、对抗网络攻击、打击网络犯罪的有力武器,内存取证已成为信息安全领域研究者所共同关注的热点。 内存的获取方法: 基于硬件的内存获取基于软件的内存获取 Windows操作系统平台支持内存获取的常见工具有: .
史上最全网络安全面试题总结
热门推荐
03-17 2万+
新的一年,难免有不少小伙伴面临跳槽或者找工作,本文总结了常见的安全岗位面试题,方便各位复习。祝各位事业顺利,财运亨通。 php爆绝对路径方法? 单引号引起数据库报错 访问错误参数或错误路径 探针类文件如phpinfo 扫描开发未删除的测试文件 google hacking phpmyadmin报路径:/phpmyadmin/libraries/lect_lang.lib.php 利用漏洞读取配置文件找路径 恶意使用网站功能,如本地图片读取功能读取不存在图片,上传点上传不能正常导入的文件 你常用的渗
python修改注册表终止360进程实例
12-24
本文实例讲述了python修改注册表终止360进程的实现方法。分享给大家供大家参考。 具体实现代码如下: import _winreg import os import shutil #复制自身 shutil.copyfile(K3.exe,c:WINDOWSsystem32K3.exe) #把360启动改为自身 run = _winreg.OpenKey( _winreg.HKEY_LOCAL_MACHINE, "SOFTWAREMicrosoftWindowsCurrentVersionRun",0,_winreg.KEY_WRITE ) _winreg.SetValueEx(
hook KeyControlBlock方式注册表隐藏
11-26
hookKeyControlBlock 方式隐藏注册表文件
Hook HvpGetCellMapped干涉注册表操作
08-21 1456
KeyObject的结构KeyObject+0x04为Key Control Block(简称KCB)Key_Control_Block结构在2000,和2000以后版本是变动的XP以XP以后版本下kcB+0x10HiveHive+0x04为HvGetCellRoutine这是一个指向处理例程的指针所有Cm*Key系列函数都会在函数中调用这个Routine该Routine的原型为HvpGetCe
r77-Rootkit后渗透技战术分析
m0_71746299的博客
02-13 2655
r77-Rootkit是一个Ring3级别的RootkitRootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。Rootkit并不一定是用作获得系统root访问权限的工具。比起攻击,Rootkit更倾向于被使用于隐藏踪迹和保留root访问权限的工具。
rootkit学习总结2
bcbobo21cn的专栏
04-13 6821
关于rootkit小资料 一,前言 二,简介 三,rootkit的一些以公开的隐藏技术 四,一些隐藏技术的应对方法 五,about ring0 rootkit 六,rootkit的检测 七,参考资料,推荐 ************************* 一.先说几句与技术无关的话。 ************************* 二.简单的说说rootkit.
Rootkit---进程隐藏
q759451733的博客
04-16 5506
进程隐藏
windows@注册表介绍@注册表的查看和编辑操作
最新发布
xuchaoxin1375的博客
05-12 4108
Windows注册表是Microsoft Windows操作系统中的一个核心数据库,用于存储系统和应用程序的设置信息。早在Windows 3.0推出OLE技术时,注册表就已经出现,但直到Windows 95操作系统开始,注册表才真正成为Windows用户经常接触的内容,并在其后的操作系统中继续沿用。注册表在整个系统中起着核心作用,直接控制着Windows的启动、硬件驱动程序的装载以及一些Windows应用程序的运行。本文介绍注册表的基本信息和查看操作,修改注册表的方法详见参考文档。
注册表信息隐藏
大爷饭
06-30 1228
理论:注册表Windows系统存储关于计算机配置信息的数据库,包括了系统运行时需要调用的运行方式的设置,是系统的核心。操作系统是用特殊的文件(Hive文件)来存储注册表的内容,并提供给用户相关的编程接口(APIs)来进行注册表的操作,例如Advapi32.dll中的Registry Functions(如:RegEnumKey)。在Windows操作系统中,函数的调用有着极其规范的层次结构,如下
掌握注册表隐藏技术:使用Rootkit实现注册表键值隐蔽
标题“隐藏注册表”和描述中所指的技术概念属于系统编程和系统安全领域中的一部分,尤其是涉及到恶意软件(通常称为Rootkit)的实现。Rootkit是一种恶意软件,它的主要功能是隐藏其自身或其他恶意软件的存在,使它们...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值