详解编辑本段回目录
Greg Hoglund是Hbgary公司创始人兼CEO,从1998年开始,Hoglund就开始研究Rootkit和缓冲区溢出技术了,之后他创建了Rootkit网站,与人合著了《Rootkit:摧毁Windows内核》(原书名:Rootkits, Subverting the Windows Kernel)和《攻击软件》(原书名:Exploiting Software),他最难忘的功绩是曝光了网游《World of Warcraft》(即魔兽世界)的漏洞,在与安全专家Gary McGraw合著的《攻击在线游戏》(原书名:Exploiting Online Games)一书中详细介绍了发现这些漏洞的过程。
格雷格-霍格伦德(Greg Hoglund)是一位依靠自学成才的天才黑客。 十几年前,计算机安全还是一个全新的领域,没有任何正式的课程可以用来借鉴和开发成学习课件。事实上直到今天,对黑客进行深入探讨的技术材料依然很少。Greg Hoglund和许多出生在他那个时代的年轻人一样,在恰当的时间进入了计算机安全领域,并且成就了一番事业。Greg发现自己能够将黑客行业复杂的信息通过解释和重组让人理解清楚,便自然而然地便成为了专业的培训师和兼作家。
他一直用"做自己的事情,让别人说去吧"来激励自己,Greg成立了一系列的从事计算机安全方面的公司,其中包括著名的Cenzic和BugScan。他的座右铭也成为了这些公司企业文化的精髓。目前Greg正打理他自己创立的第三家公司--HBGary (http://www.hbgary.com),专门致力于如何在黑客正在入侵和破解的时候迅速地捕捉到黑客信息,主要的服务对象是美国国防部。
Greg在计算机安全方面的兴趣点集中在找到bug和反编译底层代码上。许多年来,他一直都在与低级的机器代码打交道,直到他后来迷上了破解网络游戏。他对黑客事业的激情因此被重新点燃,近几年来他都一直在研究暴雪娱乐的《魔兽世界》,同时研究的游戏还有阿瑟龙的召唤II、EVE Online,Lineage系列以及Vanguard等。
Greg曾联名出版了两本技术含量非常高的书籍并且畅销一时。这两本书分别是与Jamie Butler合著的《攻克Windows核心》,以及与Gary McGraw合著的《击破代码:如何防止黑客入侵》。他还同时运营了热点网站http://rootkit.com。
在生活中,Greg不仅与美国政府签订了百万美金的合同,同时每年还多次举办著名的"Rootkit"开发高级课程。Greg希望有朝一日能开发一款网络游戏,实战了解一些游戏安全方面的知识。他和妻子Penny Hogland 有个11岁的女儿,还养了三条狗。不忙于安全方面工作的时候,Greg喜欢待在他位于加州Camel沿海的别墅里,捣腾自己的小帆船,即使偶尔修理不利让他倍感挫败,但依旧乐此不疲。
加里·麦克格劳 博士 (Gary McGraw) 是全球公认的软件安全权威,频频出席各类国际大型研讨会担任主要发言人,为财经、游戏,电子商务等行业的高层、技术和运营专家们提供策略咨询。目前他的身份是Cigital公司的CTO,董事会成员,掌管Fortify软件公司的技术顾问团,同事担任Raven White公司的高级顾问。Gary还积极参加学术活动,是维吉尼亚大学和加州大学的计算机系学术顾问,以及印第安纳大学信息学院的顾问团成员。在2005年的美国国家网络安全峰会上,Gary发表了他著名的研究著作《贯穿软件开发的生命线--软件安全》。
Gary在网络安全方面著有多本著作,其中六本长居畅销书排行榜前茅:2001年和John Viega 联名著有《构造软件安全》,是软件安全行业的奠基之作。这本书中介绍的理念在他的后一本著作《巩固软件安全》中得以进一步深化和延伸。除此之外的其他著作有《Java安全》(1996)、《Java安全防范知识》(1999)、《治愈软件缺陷》(1998)和《软件开发》(1999)。他是著名的Addison-Wesley网络安全丛书的编辑,出版了90多篇文章。他还是darkreading.com网站的专栏作家,精彩的言论被广泛引用。他拥有维吉尼亚大学认知学的博士学位,是美国国家电气和电子工程师协会安全隐私小组和计算机安全小组成员,并为协会的月刊编写文章。
去掉专家,科学家、作家、发言人等这些辉煌的头衔,Gary还有一个头衔不为众人所知,那就是--音乐家。Gary早在三岁就开始学习小提琴,大学开始能够即兴创作,弹起曼陀铃和吉他也是一把好手,经常和乐队一起演奏并曾经录制自己原创音乐的光碟。他的音乐风格广泛,从怀旧民歌到现代爵士样样精通。Gary和他的妻子Amy Barley以及两个儿子一起,住在Shenandoah河畔的庄园里,旁边是个野生动物园,从房间的窗户望去,便是美丽的蓝脊山脉。
著作编辑本段回目录
Greg Hoglund is a well known member of the security community including the Black Hat Society and a published author on the subject of computer security and computer hacking. He is, among other things, the author of Exploiting Online Games. Hoglund drew the attention of the media when he exposed the functionality of Blizzard Entertainment's Warden software.
Hoglund has published numerous works in the field of security
Active Reversing: The Next Generation of Reverse Engineering, BlackHat 2007 USA/Europe,
Exploiting Online Games, Addison Wesley, 2007, (official book page)
Rootkits, Subverting the Windows Kernel, ISBN 0321294319, ISBN 9780321294319(Related book page)
Hacking World of Warcraft: An Exercise in Advanced Rootkit Design, BlackHat 2005/2006 USA/Europe/Asia,
Exploiting Software, Addison Wesley, 2004, ISBN 0-201-78695-8 (official book page)
VICE - Catch the Hookers!, BlackHat 2004 USA,
Runtime Decompilation, BlackHat Windows Security 2003 Asia,
Exploiting Parsing Vulnerabilities, BlackHat 2002 USA/Asia,
Application Testing Through Fault Injection Techniques, BlackHat Windows Security 2002 USA/Asia,
Kernel Mode Rootkits, BlackHat 2001 USA/Europe/Asia, (Hoglund)
Advanced Buffer Overflow Techniques, BlackHat 2000 USA/Asia, (Hoglund)
A *REAL* NT Rootkit, patching the NT Kernel, 1999, Phrack magazine, (Phrack Magazine article)
Hoglund also founded and operates a popular site devoted to the subject of rootkits, (rootkit.com)
Hoglund founded several security startup companies which are still in operation today:
HBGary, Inc. Focused on reverse engineering malware and insider threat response. (hbgary.com)
Cenzic, Inc. Focused on web application security for the Fortune-500. (cenzic.com)
Bugscan, Inc. Developed an appliance that would scan software for security vulnerabilities without sourcecode. Acquired in 2004 by LogicLibrary, Inc.
Rootkits的原理与防御对策编辑本段回目录
what?
什么是Rootkits?许多人可能回答:Rootkits是一种木马(病毒),答案肯定是不对的,Rootkits是一种技术,病毒也在使用,杀毒软件也在使用。
Rootkits技术最初为攻击unix系统开发,1999年出现了第一个Windows Rootkits(即NT Rootkits)。发明这个的人名字叫Greg Hoglund,大家记住了!
Rootkits具有很强的两面性,它是系统开发特别是安全开发的关键技术,杀软在使用,HIPS,防火墙都在使用,甚至一些ANTI-Rootkits软件本身也使用Rootkits技术。
How?(以下Rootkits也表示使用Rootkits技术的恶意程序)
Rootkits技术的目的是持续在系统中保持控制权和隐藏。Rootkits一般分为两种,用户Rootkits和内核Rootkits。用户Rootkits修改(替换)系统的EXE或者库文件达到目的,其影响范围一般是一台计算机上的一个或者几个用户。而内核Rootkits则直接运行于内核中,修改了内核数据结果,其影响范围是整个计算机。显而易见,内核Rootkits比用户Rootkits影响范围要大,更加隐蔽,危害也越大(戏剧性的是,ANTI-Rootkits软件检测出了有害Rootkits也并不全部推荐移除,原理就是因为Rootkits的底层性)。
无论是用户Rootkits还是内核Rootkits,其目的一般只有两个,隐藏和攻击。相比较而言,Rootkits技术更加倾向与隐藏自身。下面,我们介绍一下Rootkits的一些惯用的作案方式。
一、修改执行路径
这是Rootkits最惯用的一种方法,为了以下能看懂,我先扫个盲:应用程序通过调用各种API来完成基本的操作,各种API被windows组织在各个DLL文件中(比如user32.dll),这些DLL受到调用的时候把消息传个NTDLL.DLL这个文件,由它向内核通信。
<1 修改IAT表
我们知道,每一个PE文件(最常见的PE文件:DLL,EXE)有两个表,一个是IAT表,另一个是EAT表,IAT是输入地址表,它记录了程序调用了哪些系统函数以及输出这些函数的DLL文件。在需要调用API函数的应用程序运行时系统会加载这些DLL文件,同时填写应用程序内存映象(即程序的内存拷贝)中IAT表结构的系统调用函数的实际内存地址。这样,程序调用函数时系统根据IAT表中函数的实际内存地址跳到函数实际执行代码处执行函数调用。而Rootkits可以使用自己的函数地址来替换IAT表中正确的地址,实现的方法很多常见的是DLL注入,值得的注意的是:通常用于替换的攻击者函数只是真正函数的包装,攻击者函数会在执行时调用真正函数,实现调用功能的还是原来的真正函数,攻击者函数只是实现通过过滤返回值中需要隐藏的信息。
<2 改EAT表
我们前面还说了PE文件的另一个表,EAT表,它指定其所有输出函数的函数名和函数地址,和IAT表一样,在DLL文件装入内存之后,输出函数的地址同样可能被替换成攻击者的函数地址,不过和IAT表有一个区别是,如果程序动态的加载DLL,写入IAT表的时间则会可能使修改IAT表的方法失败,而修改EAT表则不会出现这种情况。
<3 直接修改DLL中的函数
这种方法是在DLL文件装后找到函数的地址,并修改其中的代码!比如DLL A装入了内存,恶意程序B则可以找到A中的函数地址,B可以恶意的修改代码,把原函数开头加上JMP到自己的函数,最后在JMP回来。
以上的方法是运行在用户模式下的,内核Rootkits也有自己的方法:
<4 修改SSDT表
SSDT表记录着系统内核函数的内存地址,如果恶意程序把某一个函数地址修改了,无疑是影响很大的,所以windows下SSDT是只读的,不过仍然可以通过特殊方法解除保护。
<5 修改IRP表
IRP函数是驱动程序用来处理用户的请求的(比如读,写),各个IRP函数组合在一起组成了IRP表,恶意程序可以修改一些表项来完成隐藏(文件,进程,注册表等)
以上的无论是用户模式下的攻击还是内核模式下的都是通过修改执行路径来完成的,我们可以称之为“挂钩”,许多杀软也使用了挂钩,下面我们介绍只有最NB的恶意程序才会使用的技术。
二、修改系统内核对象
对系统熟悉的朋友都知道,windows有一个用来用户模式下与内核模式下代码进行交互的基本接口。虽然软件开发人员经常会创建,打开内核对象,但内核对象很多并没有公布,盲目的修改内核对象可能对系统造成不可逆的损害!但如果成功的修改了内核对象的话,恶意程序遍得到了系统下最高的特权,比如来一个根本没有结束可能的进程……具体的实现我也不知道,也没有教程,也根本不敢去尝试,大家知道一下就是了。
What can we do?
既然Rootkits这么厉害,我们该怎么防御呢?
<1 预防
Rootkits的弱点是安装得有系统管理员权限,即系统必须被黑客控制之后才能安装,所以预防黑客很重要。
<2 检测
不过防不胜防,如果真的有黑客进来了我们怎么办?首先断开和黑客的连接,并且检测系统有没有被安装Rootkits,我推荐一些ANTI-ROOTKITS软件来检测。
<3 应对
如果已经被安装了Rootkits请赶快下载一个ANTI-ROOTKITS软件进行清除,如果你运气不错,遇到一个垃圾Rootkits,那也就好办了,但如果遇到一些厉害的Rootkits,即使ANTI-ROOTKITS软件检测出来了,它也不推荐你清除,为什么?一清除系统就挂了!遇到这种Rootkits只有两种方法,1.还原2.重装!
参考文献编辑本段回目录
http://book.51cto.com/art/200912/172407.htm
http://en.wikipedia.org/wiki/Greg_Hoglund
http://www.kafan.cn/news/3/2009/200902013718.html
