（计算机系统结构专业论文）反内核模式驱动级病毒技术研究及策略分析.pdf

摘要 近几年来计算机病t 瓢木马数量成指数增长，泛滥成灾，严重威胁着网络安 全。病毒从原来简瞥的破坏系统快速的蜕变到f 法分子窃取用户虚拟财，虹的工 具。计算机病毒制造的模块化、专业化以及病毒“运营”模式，在互联网上l 经 形成了病毒产业链。近期m 现的内核模式驱动级病毒是集特洛伊木马病毒、下载 器病毒、后门病毒、r o o t k it 技术为一体的复合型病毒。它们的特征是运行在内 核驱动级、能与安全软件抗衡、不对系统进行破坯但为别的病毒提供下载支持。 如今这些内核驱动级的痫毒成为病毒产业链的“源头”。本课题一是针对这种现 象，致力于分析内核级驱动病毒的技术，并对其中相应的一些检测技术展开了研 究和改进，最后对提h 的改进检测技术进行模块程序实现和实验检测。 本文首先叙述了病毒的定义、特征和类型并对内核模式驱动级病毒进行了简 要的介绍，然后介绍了内核模式驱动级病毒相关的w i n d o v e s n t 操作系统内核原 理。接着对内核驱动级病毒所使用的技术进行了深入的研究，其中包括p e 文件 感染技术、应用层挂钩技术、内核层挂钩技术、进程隐藏技术。然后从用户层和 内核层两个层面对典犁的内核模式驱动级病毒进行代码级的剖析。最后经过对 s s d t 挂钩检测、驱动挂钩检测、隐藏进程检测的研究提出了改进方案并进行了 模块设计和实验检测。 本课题主要解决的难点问题包括：深入剖析了当前流行内核模式驱动级病毒 的技术，如提取病毒内核层资源的“d r o p ”技术、“直接硬盘访闯文件”技术、 应用层挂钩技术、内核挂钩技术( s s d t 挂钩、驱动挂钩) 、进程隐藏技术等；对 内核模式驱动级病毒的一些检测技术进行了研究，提出了改进方案，进行模块程 序设计，并进行了实验检测。 关键词：内核驱动级病毒；内核挂钩技术；s s d t 挂钩检测：驱动挂钩检测；隐 藏进程检测 a b s t r a c t i nr e c e n ty e a r sc o m p u t e rv i r u s e s ，t r o j a n s ，t h en u m b e ro fe x p o n e n t i a lg r o w t h ， p r o l i f e r a t i o n ，as e r i o u st h r e a tt on e t w o r ks e c u r i t y v i r u sf r o mt h eo r i g i n a ls y s t e m ，t h e r a p i dd e s t r u c t i o no fas im p l ec h a n g e t ot h el a w l e s se l e m e n t so ft h et h e f to fat o o lf o r u s e r so fv i r t u a lp r o p e r t y c o m p u t e rv i r u s e st oc r e a t em o d u l a r , p r o f e s s i o n a la sw e l la s t h ev i r u s o p e r a t i n g ”m o d e t h ei n t e r n e th a sb e c o m eav i r u si n d u s t r yc h a i n t h er e c e n t k e r n e l m o d ed r i v e rv i r u si st r o j a nh o r s ev i r u s ，d o w n l o a d e rv i r u s ，b a c k d o o rv i r u s r o o t k i tt e c h n o l o g ya saw h o l ec o m p l e xo ft h ev i r u s c h a r a c t e r i z e db yt h e i ro p e r a t i o n i nt h ek e r n e ld r i v e rl e v e lt oc o n t e n dw i t hs o f t w a r ea n ds e c u r i t y , a n dd on o tb r e a kt h e s y s t e mb u tf o rt h eo t h e rr i n ga v a i l a b l ef o rd o w n l o a di ns u p p o r to ft h ev i r u s t o d a y , t h e s ec o r ed r i v ef o rv i r u s e sa n dv i r u s - c l a s si n d u s t r i a lc h a i n ，”t h es o u r c e ”t h et o p i cf o r t h i s p h e n o m e n o n i st o a n a l y z e t h ev i r u s - d r i v e nc o r e t e c h n o l o g y , a n d t h e c o r r e s p o n d i n go n eo fan u m b e ro fd e t e c t i o nt e c h n i q u e sc a r r i e do u tr e s e a r c ha n d i m p r o v e m e n t ，t h el a s to ft h ep r o p o s e dt e c h n o l o g yt oi m p r o v et h ed e t e c t i o nm o d u l e a n de x p e r i m e n t a lt e s t i n gp r o g r a m t h i sp a p e rf i r s td e s c r i b e dt h ev i r u sd e f i n i t i o n s ，c h a r a c t e r i s t i c sa n dt y p ea n dl e v e l k e r n e lm o d ed r i v e rv i r u si n t r o d u c t i o nb r i e f l y , a n dt h e ni n t r o d u c e dak e r n e l m o d e d r i v e r - c l a s s r e l a t e dp r i n c i p l e so ft h ew i n d o w s n to p e r a t i n gs y s t e mk e r n e l t h e nt h e k e r n e ld r i v e rl e v e lt ot h ev i r u su s e dt oc a r r yo u ta ni n d e p t ht e c h n i c a ls t u d y , i n c l u d i n g t h ep ef i l ei n f e c t i o nt e c h n i q u e s ，a p p l i c a t i o nl a y e rl i n k e dt ot e c h n o l o g y , l i n k e dt ot h e i n n e rn u c l e a rl a y e rt e c h n o l o g y , t h ep r o c e s so fh i d i n g a n dt h e nf r o mt h eu s e rl a y e r a n di n n e rn u c l e a rl a y e ra tt w ol e v e l so fat y p i c a lc l a s so fk e r n e l m o d ed r i v e rc o d e v i r u s c l a s sa n a l y s i s a f t e rt h ef i n a lt e s t i n go ft h el i n ks s d t , d r i v e r sl i n k e dt o d e t e c t i o n ，d e t e c t i o no fh i d d e nr e s e a r c hp r o c e s st oi m p r o v et h ep r o g r a ma n dam o d u l a r d e s i g na n de x p e r i m e n t a lt e s t i n g t h em a i ni s s u e st or e s o l v ed i f f i c u l ti s s u e s ，i n c l u d i n g ：i n d e p t ha n a l y s i so ft h e c u r r e n tp r e v a l e n c eo ft h ev i r u sl e v e lk e r n e lm o d ed r i v e rt e c h n o l o g y , s u c ha se x t r a c t i o n o fr e s o u r c e s ，i n n e rn u c l e a rl a y e ro ft h ev i r u s ”d r o p ”t e c h n o l o g y , ”d i r e c th a r dd r i v et o a c c e s sf i l e s ”t e c h n i c a l ，a p p l i c a t i o nl a y e rl i n k e dt ot e c h n o l o g y , w i t hl i n k e dt on u c l e a r t e c h n o l o g y ( s s d th o o k ，d r i v e rh o o k ) ，t h ep r o c e s so fh i d d e nt e c h n o l o g y ；o ft h e i j k e r n e l m o d ed r i v e r - c l a s sv i r u sd e t e c ti o nt e c h n o l o g yh a v e b e e ns o m es t u d i e st o i m p r o v et h ep r o g r a mm o d u l et op r o g r a md e s i g na n de x p e r i m e n t a lt e s t i n g k e yw o r d s ：k e r n e l m o d ed r i v e rv i r u s ；k e r n e lh o o kt e c h n o l o g y ；s s d th o o k d e t e c t i o n ；d r i v eh o o kd e t e c t i o n ；h i d d e np r o c e s sd e t e c t i o n 1 1 i 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 ： 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得或其他教育机构的学位或证书而使用过的材料。与我一同工作 的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表 示谢意。 学位论文作者签名：签字日期：年月 日 学位论文版权使用授权书 本学位论文作者完全了解江西师范大学研究生院有关保留、使用 学位论文的规定，有权保留并向国家有关部门或机构送交论文的复印 件和磁盘，允许论文被查阅和借阅。本人授权江西师范大学研究生院 可以将学位论文的全部或部分内容编入有关数据库进行检索，可以采 用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名： 签字日期：年月 日 导师签名： 签字日期：年 月 日 反内核模式驱动级病毒技术研究及策略分析 1 1 研究背景及意义 第一章引言 随着计算机和互联网的广泛普及和应用，它们触及到人们生活的各个角落， 一些生活方式也相应发生了改变。根掘第2 1 次互联网调查报告来看，目自舀 我国网民网络购物比例是2 2 1 ，购物人数规模达到4 6 4 0 力。参加过网上购物 的网民个人半年网上购物累计金额平均是4 6 6 元，购物会额在1 0 0 0 元以上的比 例占到1 9 1 。通过网上支付、网上银行进行网上理财、网上交易等网络会融活 动同益频繁。 与此同时最近几年互联网上盗窃网络无形财产犯罪频繁发生，互联网一k 病毒 和木马的数量成指数增长，泛滥成灾严重的影响了网民的虚拟财产和私有机密信 息安伞。病毒旱现出了新特征，从原来简单的破坏系统蜕变到不法分子窃取用户 虚拟财产、其他隐私文件的工具。计算机病毒已经发展成模块化制造、专业化以 及“运营”模式化为一体的互联网病毒产业链。根据国家计算机网络应急技术处 理协调中心统计显示，2 0 0 8 年上半年，我四被植入木马的主机i p 远超过2 0 0 7 年全年，增幅达2 1 倍。网络信息安全形势不容乐观。当今流行的内核模式驱动 级病毒是融合特洛伊木马下载器和r o o t k it 技术为一身的恶意病毒，如机器狗、 a v 终结者、磁碟机等病毒。内核模式驱动级病毒本身虽然不具备盗号功能，但 它具备对抗安全软件及系统自带的安全工具的功能。这类病毒在病毒产、l p 链中起 着核心作用，它一般先会对安全软件进行劫持、关闭防火墙、阻止系统升级，当 成功后再下载大量其它木马病毒，损害网民的虚拟财产。 所以研究反内核驱动级病毒技术对于互联网安全具有及其深远的意义。 1 2 本文研究内容 本文首先叙述了病毒的定义、特征和类型并对内核模式驱动级病毒进行了简 要的介绍，然后介绍了内核模式驱动级病毒相关的w i n d o w s n t 操作系统内核原 理。接着对内核模式驱动级病毒所使用的技术进行了深入的研究，其中包括p e 硕士学位论文 文件感染技术、应用层择钩技术、内核层挂钩技术、进程隐藏技术。然后从用j 、 层和内核层两个层面埘典型的内核模式驱动级病毒进行代码级的剖析。最后经过 对s s d t 挂钩检测、驱动扑钧榆测、隐藏进程检测的研究提出了改进方案并进ij ： 了模块程序设计和实验检测。 本文研究内容包括以卜疗面： ( 1 ) 对w i n d o w s n t 系统内核原理，如用户模式与内核模式的划分、n t 系统内核总 体构架、应用程序从川p 模式到内核模式的执行流程、系统服务调用表、硬 件结构和w i n d o w s 文f ， ：系统进行分析。 ( 2 ) 内核模式驱动级病毒的w i n 3 2 p e 文件感染技术、“d r o p ”技术、“直接硬盘访 问文件”技术、应用层挂钩技术、内核挂钩技术( s s d t 挂钩、驱动挂钩) 、 进程隐藏技术。 ( 3 ) 对典型内核模式驱动级病毒，从用户层和内核层进行代码级深入的剖析。 ( 4 ) 对s s d t 挂钩检测技术、驱动挂钩检测技术、隐藏进程检测技术进行研究， 并提出新型检测技术设计方案及其模块的实现和实验测试。 1 3 本文结构 本文共分七章，内容安排如下： 第一章绪论，介绍了内核模式驱动级病毒的研究背景，国内外研究的现状，论 文研究内容以及本论文的结构安排。 第二章计算机病毒概述，本章阐述了计算机病毒的定义、特征及类型，并对内 核驱动级病毒进行了介绍。 第三章相关w i n d o w s n t 系统内核原理，本章阐述了与内核模式驱动级病毒相 关的w in d o w sn t 系统内核原理，其中包括w i n d o w s n t 系统总体构架、w i n d o w s n t 应用程序执行流程、系统服务调用表( s s d t ) 、硬盘结构和w i n d o w s 文件系统， 这些都是后续章节研究的理论基础。 第四章内核模式驱动级病毒技术，本章对内核模式驱动级病毒采用的些技术 如：w i n 3 2p e 文件感染技术分析、“d r o p ”技术、“直接硬盘访问文件 技术、 应用层h o o k 技术、内核h o o k 技术、进程隐藏技术，进行了深入的研究。 2 反内核模式驱动级病毒技术研究及策略分析 第“章典型内核模式驱动级病毒的剖析， 行了代码级的深入剖析。 本章对媳型的内核模式驱动级病毒进 第六章内核模式驱动级病毒检测技术与实现，奉汪对一些内核模式驱动级病毒 检测技术，如：s s d t 挂钩检测技术、驱动挂钩检测、隐藏进程检测，进行研究。 并在它们的基础上进行了改进，并进行了程序模块实现和实验检测。 第七章结束语，本章对本文的研究成果进行了总结，并展望了后续工作。 3 硕士学位论文 第二章计算机病毒概述 2 1 计算机病毒的定义和特征 计算机病毒( c o m p u t e rv i r u s ) 最早是由美因数学家f r e d e r i c kc o h e n 博士所 提出。c o h e n 对计算机病毒的非形式化定义式：“计算机病毒是一种计算机程 序，它通过修改其他程序把它自己的一个拷贝或其演化的拷贝插入到其他程序 中，从而感染它们”。这蝗程序之所以被称为病毒，主要是因为它们与生物医学 上的病毒有很多相同点：具有寄生性、传染性和破坏性。有些恶意代码会像尘物 病毒隐藏和寄生在其他生物细胞中那样寄生在计算机用户的正常文件中，而且会 伺机发作，并大量的复制病毒体，感染本机的其他文件和网络中的计算机。与生 物病毒不同的是，计算机病毒并不是天然存在的，而是由别有用心的人利用计算 机软、硬件所固有的安全缺陷有目的地编写而成的。 在1 9 9 4 年中华人民共和国国务院颁布的中华人【c 共和国计算机信息系统 安全保护条例中，对计算机病毒有明确定义：“指编制或者在计算机程序中插 入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计 算机指令或者程序代码”。 计算机病毒的特征可以概括为具有以下几点乜3 。： ( 1 ) 传染性 计算机病毒具有传染性是指病毒具有将自身复制到其他程序的能力。计算机 病毒是一段人为编制的计算机程序代码，当它一旦在计算机内执行就会搜寻其他 符合其传染条件的程序或存储介质，如果符合就会把自身代码插入其中，达到自 我繁殖的能力。计算机病毒可通过各种可能的渠道，如u 盘、计算机网络去传染 其他的计算机。判别一个程序是否为计算机病毒的最重要条件是看它的传染性。 病毒程序通过修改磁盘扇区信息或文件内容并把自身嵌入到其中的方法达到病 毒的传染和扩散。被嵌入的程序叫做宿主程序； ( 2 ) 寄生性 计算机病毒具有寄生性，当在其程序之中，当执行这个程序时，病毒就起破 坏作用，而在未启动这个程序之前，它是不易被人发觉的。 ( 3 ) 潜伏性 4 反内核模式驱动级炳毒技术研究及策略分析 大部分的病毒感染系统后一般f ：二：马j ：发作，以保持长期隐藏在系统中。只 有在满足其特定条件时才启动其破坏f 受块。 ( 4 ) 隐蔽性 计算机病毒为了延长自己的生命 j 期，都会具有隐蔽性。计算机一般都能在 中毒后继续运行。币是由于隐蔽性，i l 算机病毒得以在没被察觉的情况下扩散到 其它机器中。 ( 5 ) 破坏性 病毒程序或多或少都会对操作系统的运行造成不同程度的影响。轻者只是占 用系统资源使系统更慢，重者会破坏数据、对文件进行不同程度的损坏，甚至导 致系统崩溃。 ( 6 ) 可触发性 病毒为了不被发现会隐蔽自己，既要隐蔽又要维持杀伤力，它必须具有可触 发性。计算机病毒具有预定的触发条件，这些条件可以是特定字符、特定文件、 特定时l 日j 同期等。如果满足其触发条件，就会激活病毒的传染机制进行传染或激 活病毒破坏部分进行破坏。当触发条件越多，这个病毒的感染性就越强。 ( 7 ) 不可预见性 从病毒检测方面来说，病毒具有不可预见性。对于不同种类的病毒，它们的 代码千差力别，但有些操作具有共性，如常驻内存、修改中断等。现在一些安全 软件就是针对这些共性制作了检测病毒的程序。由于有些正常程序也使用了这些 共性操作，应用这种检测程序就可能造成较多的误报。并且病毒技术始终处于 “攻”的角色上，对反病毒软件永远是超自仃的。 2 2 计算机病毒类型 计算机病毒有很多分类标准，如按照计算机病毒攻击的操作系统分类、按照 计算机病毒的攻击类型分类、按照计算机病毒的链接方式分类、按照计算机病毒 的破坏情况分类、按传播媒介分类、按寄生方式和传染途径分类等。但是每种分 类方法都有共同的缺点就是不同种类之间总会有重叠，如有些种类之间有可能互 相成为对方的子类别。下面是当今几种具有代表性的病毒类型： ( 1 ) 蠕虫病毒。蠕虫病毒是网络病毒，主要在网络上进行复制传播。一般，它会 在某台远程机器上自动运行不用感染宿主程序，利用网络从一台机器的内存 传播到其它机器的内存，而不需要用户的任何干预。但有些蠕虫，如邮件投 递者蠕虫，如果没有用户的干预，并不会自动运行。如果某种病毒的主要传 播媒介是网络，那么它应该被归类为蠕虫。 硕士学位论文 ( 2 ) 逻辑炸弹病毒。逻辑炸弹病毒是合法的应用程序，l 足在编程时被故意写入 的某种“恶意功能”。例如，作为某种版权保护力案，当某个应用程序有可 能会在几次后就在磁盘卜将自身删除。 ( ： ) 特洛伊木马病毒。该病毒通过一些有用的功能来j l 起用户的兴趣，从而诱使 用户运行木马程序。有两类特洛伊木马病毒。炎是完全的木马程序。另一 类是对原始应用程序进行精心修改从而加入额外n 勺功能，如在开源程序罩加 入后门功能。 ( 1 ) 后门病毒。该病毒属于恶意黑客选择用来远程连拨系统的工具。经典的后门 会在运行它的主机上打肝个网络端口( u d p t c p ) ，然后侦听的后门程序会 等待攻击者的远程连接。通常会和木马病毒混用。 ( 5 ) f 载器病毒。该病毒会在被感染的机器上安装一组其他的程序，这些程序会 从某个w e b 网站或其他地方下载恶意的内容，然后释放并运行这些恶意内容。 ( 6 ) r o o t k i t 。r o o t k i t 是一组特殊的黑客工具，它在攻击者成功入侵了某个计算 机系统并获得r o o t 级权限后使用。r o o t k i t 分为两类。一类是用户模式 r o o t k it ，一般是通过利用漏洞入侵系统，并安装一些常用工具的修订版本， 它们在用户模式下运行。另一类是内核模式r o o t k i t ，它们可以改变内核的 行为，甚至可以隐藏一些连内核级防护软件都无法检测到的对象。如隐藏进 程、隐藏文件、隐藏注册表的键和值或隐藏其它恶意组件隐蔽的功能。 2 3 内核模式驱动级病毒介绍 本文中讨论的内核模式驱动级病毒是集特洛伊木马病毒、下载器病毒、后门 病毒、r o o t k it 技术为一体的复合型病毒。该病毒具有特洛伊木马病毒的诱使运 行自身病毒的特性，具有下载者病毒的下载其它木马的特性，具有后门病毒的侦 听后门端口进行远程连接控制的特性，还利用了r o o t k i t 技术的内核挂钩技术接 管代码执行流程、隐藏自身内核模块、隐藏自身进程功能。 在w i n d o w s9 x 和w i n d o w sm e 系统下的内核模式驱动级病毒，在早期是使用 了9 x 系统的内核模式驱动模式驱动模式程序v x d 进入系统内核层，再通过驱动程 序使用像i f s m g r i n s t a l l f il e s y s t e m a p i h o o k 0 这样的a p i 函数h 。但随着病毒 作者们技术的进步，在w i n d o w s9 x 系统下，并不需要v x d 驱动文件使用普通的 p e 文件就可以( 用一些技巧如c a l lg a t e 机制) 调用内核模式的函数。典型的 病毒有w 9 5 c i h ，它就是利用内核模式访问端口损害系统硬件一重写f l a s hb i o s 的内容。 在w i n d o w s n t 2 0 0 0 x p 系统环境下的内核模式驱动病毒是通过加载一个设 6 反内核模式驱动级病毒技术研究及策略分析 备驱动程序，使，巧毒e i 身具有系统至高的控制权。内核模式驱动级编t 霉所要加载 的驱动程序一一般怂以二进制码形式隐藏在病毒资源节内，当病毒头j ，：触发时，就 会使用一种“d r ( ) p ”的技术，在磁盘上动态的生成驱动程序。然后i ：通过s c m ( 服务控制管王牡器) 进行注册，并最终调用s t a r t s e r v i c e 来使驱动氍序得以运 行。 内核模式驱z 力级病毒一旦获得了控制权，它就从未分页内存中分配出一个缓 冲区，并把自己的一个完整的拷贝从文件映像( s y s ) 复制到该缓冲l 茎内，接着 病毒就会使用应j | j 层挂钩和内核层挂钩技术接管代码执行流程去隐臧自身模块、 关闭安全软件等操作。 7 硕士学位论文 第三章相关w i n d o w s n t 系统内核原理 冬章重点阐述w i n d o w sm 系统内核中跟驱动级炳，靠相关的基本原理。包括 操作系统的调用机制，文件系统等。 3 1 用户模式与内核模式 为了避免低级别的代码恶意的或无意的访问或修改关键的操作系统数据， w i n d o w s 使用了两种处理器访问模式：用户模式和内核模式n h 。i n t e lx 8 6 处理 器系列在体系结构上定义了四种特权级( 四个还) 。w i n d o w s 使用特权级0 ( 或 o 还) 作为内核模式，特权级3 ( 或3 还) 作为用户模式。w i n d o w s 系统采用两 级是为了支持一些早期的硬件体系结构，像c o m p a qa l p h a 和s i l i c o ng r a p h i c s m i p s ) ，它们只实现了两个特权级，如图3 1 。 潮j 如缓攫昝 、 l | t ； ? ， | 图3 - 1c p u 特权图 应片】程序代码运行在处理器的用户模式下，每个用户模式的进程有其私有的 地址空| 目j ，它们在用户模式，无法执行特权指令，对系统数据，地址空间，硬件 设备的访问是有严格限制的。如果在进程中调用了系统服务，则会切换到内核模 式下运行，但足这种情况下，用户模式是无法控制它的。直到从内核返回，才能 重新获得控制权。 操作系统内核代码运行在处理器的内核模式下。设备驱动程序代码和操作系 反内核模式驱动级病毒技术研究及策略分析 统内核代码共享同样的受保护的内核模式内存窄川，旦加载到系统的地址窄l h j 罩，就成为了系统的一部分，不加任何限制。可以乃所欲为的执行所有特卡义指令、 操作系统代码和数据、通过h a l 操作设备等。 3 2w i n d o w s n t 系统总体构架 w i n d o w sn t ( w in d o w sn t 为n t 4 ，2 0 0 0 ，x p ，2 0 0 3 系列的简称) ，根据地 址空间、代码权限和职责的不同，被分成有明确界限的两部分。地址的分配非常 简单，在3 2 位系统q ，4 g b 的地址空问被分成两个相等的部分。前面供用户模 式使用( 低位地址范闱0 0 0 0 0 0 0 0 7 f f f f f f f h ) ，后面贝u 属于内核空间( 高化地址 范围8 0 0 0 0 0 0 0 h o f f f f f f f f h ) ，供操作系统的终1 成部分柬使用，如设备驱动程 序、系统内存池、系统使用的数据结构等。w i n d o w s n t 系统总体构架图，如图3 - 2 。 系统支持进程1 服务进程 i 用户心用程序 j 土上 f 了系统d l l i 执行体 内核 l 设备驱动程序 硬件抽蒙层( h a l ) f 环境产系统 图3 2w in d o w s n t 系统总体构架 用户模式主要由下列部分组成n h 町阳1 ： ( 1 ) 系统支持进程( s y s t e ms u p p o r tp r o c e s s e s ) ：其中包括的是硬性指定的系统 进程，如会话控制器、w i n l o g o n 、l s a s s 、服务控制管理器等进程： ( 2 ) 进程服务( s e r v i c ep r o c e s s e s ) ：包括的是一些w in d o w s 服务进程，如任务 管理器( t a s ks c h e d u l e r ) 、假脱机服务、w i n d o w s 服务器应用、s e r v i c e s e x e 、 s p o o l s v e x e 、w i n m g t e x e 、s v c h o s t e x e 等一些以w i n d o w s 服务方式来运行 的组件； ( 3 ) 用户应用程序( u s e ra p p li c a ti o n s ) ：包括六种类型，w in d o w s 3 2 位、 w i n d o w s 6 4 位、w i n d o w s 3 11 6 位、m s - d o s1 6 位、p o s i x3 2 位或o s 23 2 位； ( 4 ) 环境子系统( e n v ir o n m e n ts u b s y s t e m s ) ：包含3 个环境子系统， w i n 3 2 ( s y s t e m r o o t s y s t e m 3 2 c s r s s e x e ) ， 9 硕十学位论之 p o sl x ( s y s t e m r o o t s y s t e m 3 2 p s x s s 川x e ) ， 0 5 2 ( s y s t e 羽r ( ) o t s y s t e m 3 2 o s 2 s s l l x e ) ： ( 5 ) 予系统动态链接库( d l l 。) ：即n t d l l d l i ，作w in d o w s 下用户应用程序通过它来 将一个已文档化的函数转化为相应的未文档化的w i n d o w s 系统服务调用； 内核模式主要由下列部分组成： ( 1 ) w i n d o w s 执行体( e x e c u t i v e ) ：包含基本的操作系统服务，比如内存管理、进 程和线程管理、安全性、i o 、网络和岭进程通信； ( 2 ) w in d o w s 内核( k e r n e l ) ：由一组低层次的操作系统功能构成，l lt l l 线程调度、 中断、异常分发、多处理器同步等； ( 3 ) 设备驱动程序( d e v i c ed r i v e r s ) ：包括硬件设备驱动程序、文件系统和网络 驱动程序。硬件设备驱动程序将用户的l o 函数调用转换成特定的硬件i o 请求。 ( 4 ) 硬件抽象层( h a l ，h a r d w a r ea b s t r a c t i o nl a y e r ) ：是一层特殊代码，它 把内核、设备驱动程序和w i n d o w s 执行体的其余部分，跟与平台相关的硬件 差异隔离开来。 ( 5 ) 窗口和图形系统( w i n d o w i n ga n dg r a p h i c ss y s t e m ) ：实现图形用户界面( g u i ， g r a p h i cu s e ri n t e r f a c e ) 函数，比如对窗口的处理、用户界面控件、以及 绘制等； 3 3w i n d o w s n t 应用程序执行流程 w i n d o w s n t 操作系统是基于分层设计思路设计的，每一层有若干组件组成。 操作系统作为一个整体，它的运行依赖于上层组件对下层组件的调用。在前面已 经介绍了操作系统被分成用户模式和内核模式，操作系统内核代码是执行在内核 模式下。为了保护内核，用户模式下的应用程序是不能直接访问内核的。当要和 操作系统交互时，它们直接或许由其它子系统调用w i n 3 2 子系统动态库( 包括 u s e r 3 2 d 1 1 ，g d i 3 2 d l l ，k e r n e l 3 2 d l l 等) 提供的w i n 3 2a p i ，w i n 3 2a p i 又去调 用n t d l l d 1 1 导出的、能为内核所理解的n a t i v ea p i 。n a t i v ea p i 再经过软中 断模式穿越进入内核模式。在不同版本的w i n d o w s 操作系统下软中断的实现方式 有所不同，w i n d o w s 2 0 0 0 下是通过“i n t2 e h 进入内核模式。w i n d o w sx p 操作 系统下采用的是“s y s e n t e r 指令进入。软中断将n a t i v ea p i 中的参数和系统 服务号的参数一同传进内核模式。系统调度程序利用传递进来的参数，根据 n a t i v ea p i 对应的系统服务号到系统服务调度表( s s d t s y s t e ms e r v i c e d i s p a t c ht a b l e ) 中查出对应系统服务函数的函数地址。系统服务函数通过i o 管理器将信息传递给驱动程序引。驱动程序通过硬件抽象层与具体硬件进行操 作，如图3 3 。 1 0 反内核模式驱动级病毒技术研究及策略分析 图3 3w i n d o w s n t 应用程序执行流程 3 4 系统服务调用表( s s d t ，s y s t e ms e r v i c ed i s p a t c ht a b l e ) w i n d o w s 有两个内置的系统服务表，它最多可以支持4 个系统服务表。一个 主要的默认数组表( k e s e r v i c e d e s c r i p t o r t a b l e ) 定义了w i n d o w s 系统内核服务进程 ( n t o s r k n l e x e ) 中实现的核心执行体系统服务。另一个默认数组表 ( k e s e r v i c e d e s c r i p t o r t a b l e s h a d o w ) 包含了在w i n d o w s 子系统的内核模式部分 w i n 3 2 k s y s 中实现的w i n d o w su s e r 和g d i 服务。当w i n d o w s 线程第一次调用 一个w i n d o w su s e r 和g d i 服务时，该线程的系统服务表的地址被改变成指向 一个包含w i n d o w su s e r 和g d i 服务的表格。w i n 3 2 k s y s 和其他的设备驱动程 序可以使用k e a d d s y s t e m s e r v i c e t a b l e 函数添加系统服务表。除了w i n 3 2 k s y s 服 务表以外，其它通过k e a d d s y s t e m s e r v i c e t a b l e 函数添加的服务表同时会被拷贝 到k e s e r v i c e d e s c r i p t o r t a b l e 数组和k e s e r v i c e d e s c r i p t o r t a b l e s h a d o w 数组中。 硕士学位论文 系统服务描述表数圳纪构如下： t y p e d e fs t r u c t s y s t e ms e r v i c et a n ，fn t o s k r n l ：n t o s k r n l e x e 导出函数 s y s t e ms e r v i c e _ t a b l e i n 3 2 k ：w i n 3 2 k s y s 导出函数 s y s t e m _ s e r v i c e _ t a b i f 1 1 a hie 3 ：未使用 s y s t e ms e r v i c e _ t a b l e i a b l e 4 ：未使用 s e r v i c ed e s c r i p t o r t a b l e ，* p s e r v i c e _ d e s c r i p t o r t a b l e ： 系统服务调用表数捌结构如f ： t y p e d e fs t r u c t p n t p r o cs e r v i c e t a b l e ：一存储服务例程的函数指针数组 p d w o r dc o u n t e r t a b l e ：使用计数 d w o r ds e r v i c e l i m i t ：函数例程的个数 p b y t ea r g u m e n t t a b l e ：输入参数的长度 s y s t e m _ s e r v i c e _ t a b l e ，* p s y s t e m s e r v i c e _ t a b l e ； 3 5 硬盘结构 3 5 1 硬盘的物理参数( c h s ) 磁盘的物理参数用于描述磁盘结构，它由每盘片柱面数、每柱面的读写磁头 数和每道扇区数构成。 柱面数( c y li n d e r s ) ：表示硬盘每一面盘片上有几条磁道，最大为1 0 2 3 ( 用1 0 个二进制位存储) 。范围为( o 一1 0 2 3 ) 。 磁头数( h e a d s ) ：表示硬盘总共有几个磁头即有几面盘片，硬盘是由多个盘片组 成的，而每个盘片上都有一个读写磁头负责该盘片的读写操作，磁头数最大为 2 5 5 ( 用8 个二进制位存储) 。范围为( 0 - 2 5 5 ) 。 扇区数( s e c t o r s ) ：表示每条磁道上有几个扇区，最大为6 3 ( 用6 个二进制位 存储) 。每个扇区一般是5 1 2 个字节。范围为( 卜6 3 ) 。所以一个硬盘实际最大容 量为：2 5 5 1 0 2 3 6 3 5 1 2 1 0 4 8 5 7 6 = 8 0 2 4 m b ( 1 m = 1 0 4 8 5 7 6 b y e t e s ) 他们之间存在如下关系： ( 1 ) 每盘片柱面数等于每个盘片表面的磁道数。 ( 2 ) 总磁道数等于柱面数与每柱面读写磁头数的乘积。 1 2 反内核模式驱动级病毒技术研究及策略分析 3 5 2 主引导扇区( b o o ts e c t o r ) 主引产翰区( b o o ts e c t o r ) ：就惩硬盘的第一个扇区( 0 丰1 l f l f0 磁道l 扇区) ， 它是由i ：0 l 导记录( m a i nb o o tr e c o r d ，m b r ) 、硬盘主分区表td is kp a r t i t i o n t a b l e ，d i r l ) 和引导扇区标记( b o o tr e c o r di d ) 三部分组成。j l 占用5 1 2 字节。 该扇区足亿硬盘分区时由分区软件( 如f d i s k ) 写入该扇区。 主引导记爿之( m b r ) ：占用引导扇区( b o o ts e c t o r ) 的前4 4 6 个字1 7 ( 0 到o x l b d h ) ， 它罩面存放着系统主引导程序( 负责从活动分区中装载并运行系统引导程序) 。 硬盘主分【x 表( d p t ) ：占用6 4 个字节( o x l b e h 到o x l f d h ) ，罩面记录了磁盘的 基本分区信息。它分为四个分区项，每项1 6 字节，分别记录了每个主分区的信 息。 引导区标记( b o o tr e c o r di d ) ：占用两个字节( o x l f e h 和o x l f f h ) ，对于合法 引导区，它等于0 x a a 5 5 ，这也是判别引导区是否合法的标志，如图3 - 4 。 3 5 1 3 分区表( d p t ) 0 0 0 0 h 0 0 b d h 0 1 b e h 0 i c d h 0 1 c e h 0 1 d d h oj d e h 0 1 e d h o l e e h o l f d h 主引导记录m b r ( 4 4 6 字节) 分区信息1 ( 1 6 字节) 分信息2 ( 1 6 字节) 分区信息3 ( 1 6 字节) 分区信息4 ( 1 6 字节) o l f e ho l f f h 5 5 a a 图3 - 4 主引导扇区的结构 操作系统为了方便用户对磁盘的管理，将一块磁盘在逻辑上划分为几块。并 用分区表记录磁盘的基本分区的信息。分区表由四个分区项构成，并以1 6 个字节 为分区表项单位描述一个分区的属性。 结构如下： b y t es t a t e ：分区状态，o = 未激活，0 x 8 0 = 激活； b y t es t a r t h e a d ：分区起始磁头号； w o r ds t a r t s c ：分区起始扇区和柱面号，低字节的低6 位为扇区号，高2 位为柱 面号的第9 、1 0 位，高字节为柱面号的低8 位； 硕十学位论文 l j l et y p e ：分区类型，如o x o b ：f a t 3 2 ，o x 8 3 = l i n u x 等，0 0 表示此项未用； l 刚ee n d h e a d ：分区结束磁头号： w ) l de n d s c ：分区结束扇区和柱面号 i ) w o r d r e l a t i v e ：在线性寻址方式下的分区相对扇l 地址( 对于基本分区即为绝 埘地址) ： d w