還原系統(tǒng)保護(hù)技術(shù)原理和攻防

1、還原系統(tǒng)保護(hù)技術(shù)原理和攻防3 月 19 日，由中國(guó)最大的互聯(lián)網(wǎng)綜合服務(wù)提供商騰訊發(fā)起和組織的互聯(lián)網(wǎng)安全峰會(huì)進(jìn)入第二天。包括微軟、盛大、新浪等互聯(lián)網(wǎng)界各大巨頭的技術(shù)專家，學(xué)者和專業(yè)人士參與了此次的交流。此次峰會(huì)是今年以來(lái)首場(chǎng)由中國(guó)互聯(lián)網(wǎng)各頂尖企業(yè)共同參與的大型網(wǎng)絡(luò)安全專業(yè)盛會(huì)。來(lái)自奇虎的反木馬專家鄭文彬，在現(xiàn)場(chǎng)發(fā)表演講。以下為文字實(shí)錄：鄭文彬：大家好！我今天給大家介紹這幾個(gè)方面：背景、還原系統(tǒng)技術(shù)原理概覽、流行還原系統(tǒng)穿透技術(shù)介紹、通用還原系統(tǒng)保護(hù)技術(shù)、演示 &GuardField 、還原系統(tǒng)保護(hù)之未來(lái)趨勢(shì)。最近一段時(shí)間，有機(jī)器狗這類病毒工具對(duì)還原系統(tǒng)攻擊，使用還原系統(tǒng)環(huán)境的用戶一般都不

2、會(huì)安裝其他的防護(hù)軟件，一旦還原軟件被穿透的話，會(huì)帶來(lái)比較大的安全威脅。還原系統(tǒng)技術(shù)原理： 基本原理是磁盤設(shè)備過(guò)濾驅(qū)動(dòng)。比較常用方法是自己會(huì)建一個(gè)磁盤卷設(shè)備，在 harddiskX進(jìn)行文件過(guò)濾。過(guò)濾驅(qū)動(dòng)如何做到還原？首先還原系統(tǒng)會(huì)在磁盤上分配一塊預(yù)留的區(qū)域，應(yīng)用程序以為他已經(jīng)寫到真實(shí)磁盤，實(shí)際上被分配到一塊內(nèi)容區(qū)域里，真實(shí)磁盤根本就沒(méi)有被寫入。下面介紹一下還原軟件怎么更新過(guò)濾。首先是一個(gè)普通的Windows 程序，會(huì)調(diào)用 Win32API，從用戶模式到內(nèi)存模式，這些函數(shù)調(diào)用 Windows 內(nèi)核，把文件請(qǐng)求發(fā)到文件系統(tǒng)上，根據(jù)磁盤卷分區(qū)格式不同來(lái)創(chuàng)建。文件系統(tǒng)設(shè)備會(huì)將上層發(fā)來(lái)的文件讀寫請(qǐng)求轉(zhuǎn)化磁

3、盤讀寫請(qǐng)求，在harddisk volume 之前會(huì)有還原系統(tǒng)過(guò)濾驅(qū)動(dòng)。再往下會(huì)根據(jù)硬盤接口不同而有不同。如果IDE 結(jié)構(gòu)硬盤，會(huì)發(fā)布到電源系統(tǒng)。api 最終會(huì)調(diào)用函數(shù)讀寫端口。如果是 USB設(shè)備，會(huì)發(fā)送到 usb stor。剛才說(shuō)了還原系統(tǒng)的一些基本原理，知道原理之后對(duì)如何穿透還原也就很簡(jiǎn)單了。既然還原系統(tǒng)都在磁盤上過(guò)濾驅(qū)動(dòng)， 只要我們解除過(guò)濾驅(qū)動(dòng)與真實(shí)磁盤之間的關(guān)系，繞過(guò)過(guò)濾關(guān)系的話，就等于直接穿透了還原。第一種方法： DR0設(shè)備過(guò)濾設(shè)備鏈摘鏈。這種方法其實(shí)就是摘除一個(gè)harddiskDR0 上的過(guò)濾設(shè)備。指明設(shè)備上會(huì)有哪些過(guò)濾設(shè)備，第一代機(jī)器狗病毒將這個(gè)域給清零，導(dǎo)致還原系統(tǒng)設(shè)備被清除，

4、所有請(qǐng)求就不通過(guò)還原系統(tǒng)直接到達(dá)過(guò)濾磁盤設(shè)備。對(duì)于沒(méi)有防備的還原系統(tǒng)就被成功攻破了。國(guó)內(nèi)大部分還原系統(tǒng)都沒(méi)有辦法對(duì)抗這種技術(shù)。但是這種技術(shù)也是有一些缺陷的，只能摘除在DR0上的物理設(shè)備。文件請(qǐng)求先到達(dá)磁盤卷，磁盤卷上的過(guò)濾設(shè)備摘除的話對(duì)系統(tǒng)有影響。所以第一代機(jī)器狗病毒使用了自己解析文件系統(tǒng)方式進(jìn)行感染，這是它的缺陷。第二種方法： 會(huì)自己創(chuàng)建虛擬磁盤設(shè)備，作為磁盤卷掛載到文件系統(tǒng)上，對(duì)虛擬磁盤讀寫影射到真實(shí)磁盤，將請(qǐng)求下發(fā)到下層設(shè)備。相對(duì)第一代機(jī)器狗來(lái)說(shuō)，這種方法不需要對(duì)磁盤系統(tǒng)摘除，可以通過(guò)文件對(duì)虛擬磁盤操作，操作結(jié)果是和對(duì)真實(shí)磁盤操作是一樣的，可以成功穿透還原。在這里還用一種方式就是他沒(méi)有直

5、接發(fā)送磁盤讀寫請(qǐng)求，發(fā)送 SCSI-REQUEST-BLOCK下發(fā)到下層磁盤設(shè)備。還有一種方法， 這是方法不使用驅(qū)動(dòng)程序，直接在用戶模式穿透還原系統(tǒng)。磁盤系統(tǒng)提供一套passthrough指令，不向磁盤發(fā)送直接請(qǐng)求，就可以獲取磁盤信息甚至直接讀寫磁盤扇區(qū)。IDE/SCSI/ATA Pass Through指令穿透還原，RING3下使用 Devicelocontrel函數(shù)發(fā)送請(qǐng)求。大多數(shù)還原系統(tǒng)對(duì)此過(guò)濾不嚴(yán)或根本未過(guò)濾，導(dǎo)致在RING3下即可達(dá)成攻擊。其他一些方法，比如說(shuō)直接操作端口驅(qū)動(dòng)，比如 USB，更底層的磁盤操作：端口驅(qū)動(dòng)、直接 IO 等等，缺點(diǎn)是難度大，通用較麻煩。另外的方法是可以摘除其

6、他一些過(guò)濾設(shè)備， Attach 到還原系統(tǒng)上，先于磁盤系統(tǒng)獲得磁盤的請(qǐng)求，可以做一個(gè)繞過(guò)動(dòng)作?？梢栽诖疟P卷設(shè)備保存指針上所手腳。方法很多，不再一一解釋了。主要是兩類，第一類是新的磁盤技術(shù)或者磁盤卷繞過(guò)或者穿透的一些技巧。通用還原系統(tǒng)的保護(hù)技術(shù)， GuardField 。還原系統(tǒng)脆弱的原因是什么呢？剛才也說(shuō)過(guò)了他是通過(guò)磁盤設(shè)備上的過(guò)濾驅(qū)動(dòng)，也就是說(shuō)他跟磁盤設(shè)備沒(méi)有緊密聯(lián)系，只要被攻擊者使用、摘除或者繞過(guò)方法就可以把磁盤請(qǐng)求發(fā)送到真實(shí)磁盤上。穿透基本原理：必須使讀寫請(qǐng)求不經(jīng)過(guò)還原系統(tǒng)物理驅(qū)動(dòng)，而是到了下層的物理磁盤設(shè)備。這里就有一個(gè)穿透思路，一個(gè)磁盤請(qǐng)求是從上層逐層發(fā)布到下層，我們只要監(jiān)控發(fā)送路徑

7、，進(jìn)行對(duì)比操作，就可以作為一個(gè)還原穿透的角色。這是我們上周發(fā)布的 360GuardField 文件，給大家演示一下效果。 這是一臺(tái) XP虛擬機(jī)， 安裝了冰點(diǎn)的還原系統(tǒng)，這個(gè)還原系統(tǒng)正常會(huì)被第一代機(jī)器狗穿透。這是我們第一代機(jī)器（圖）。這個(gè)系統(tǒng)已經(jīng)安裝了還原保護(hù)?？梢钥吹竭€原攻擊已經(jīng)被攔截了，這個(gè)時(shí)候看到攻擊者已經(jīng)沒(méi)有了。然后使用微軟工具查看一下，可以看到攻擊者攻擊是失敗的。這是第二代機(jī)器狗樣本，它可以直接對(duì)文件操作，不需要感染。他可以在啟動(dòng)目錄上拷貝一個(gè)文件，因?yàn)樗谴┩高€原去拷貝文件，所以重啟后就無(wú)法被還原了。這里會(huì)有第三種攻擊方法， passthrouh ，它可以破壞磁盤數(shù)據(jù)。我們用 Win

8、hex 看一下。攻擊演示就做到這里?？梢钥吹轿覀?cè)趯?duì)待第一、二、三代攻擊都成功做到保護(hù)。現(xiàn)在說(shuō)一下GuardField原理，首先在啟動(dòng)時(shí)手機(jī)、掛鉤還原系統(tǒng)的磁盤過(guò)濾驅(qū)動(dòng)，監(jiān)視磁盤IRP 發(fā)送。之后我們掛鉤底層磁盤設(shè)備，監(jiān)視磁盤IRP 達(dá)到，如果數(shù)據(jù)結(jié)構(gòu)里沒(méi)有磁盤IRP，我們就認(rèn)為磁盤IRP 沒(méi)有經(jīng)過(guò)還原系統(tǒng)到達(dá)下層。我們首先對(duì)系統(tǒng)做一個(gè)檢查、修復(fù)，檢查之前保存的磁盤過(guò)濾設(shè)備鏈有沒(méi)有被摘除，如果摘除了，我們恢復(fù)。然后會(huì)將這個(gè)信息發(fā)送到Ring3 服務(wù)進(jìn)程。我剛才說(shuō)的第一種攻擊手段，它以后讀寫都不會(huì)再成功了。后面請(qǐng)求的時(shí)候都會(huì)被還原系統(tǒng)攔截到。第二代虛擬磁盤方式，每次讀寫都穿透還原，所以每次穿透還

9、原都會(huì)攔截掉。我們掛鉤還原系統(tǒng)在磁盤卷上的過(guò)濾驅(qū)動(dòng)，進(jìn)行收集在磁盤設(shè)備下層也會(huì)掛鉤，GuardField分析 IRP。IRP 操作，下面還原系統(tǒng)在磁盤上的過(guò)濾驅(qū)動(dòng)，然后IRP 監(jiān)視回收，他不一定會(huì)發(fā)送到下層。可能在磁盤卷或者過(guò)濾設(shè)備上被取消或者直接完成掉，沒(méi)有往下傳送。數(shù)據(jù)始終保持在數(shù)據(jù)結(jié)構(gòu)里沒(méi)有被清除。Lofreelrp是用于 IRP 取消或者完成來(lái)釋放的。他jmpds_Plofreelrp。每次當(dāng) IRP 回收的時(shí)候，我們從數(shù)據(jù)結(jié)構(gòu)里可以得到一個(gè)監(jiān)視。對(duì)抗 passthrough ，因?yàn)槲覀儝煦^下層磁盤設(shè)備， TM都會(huì)使用 passthrough 這些指令，他是通過(guò)這些指令獲取磁盤信息。分

10、析 passthrough 請(qǐng)求包意圖。攔截惡意攻擊者的 passthrough 指令。同時(shí)還結(jié)合傳統(tǒng)反病毒技術(shù)，為什么還會(huì)使用傳統(tǒng)反病毒技術(shù)呢？主要原因是Ringo 攻擊者同我們處在同一水平，除非阻止其進(jìn)入RING0，不可能完全對(duì)其進(jìn)行防御。GuardField使用方法，通過(guò) Mmloadsystemlmage函數(shù)。如果是一個(gè)已知的驅(qū)動(dòng)的話，我們會(huì)阻止，最大可能樂(lè)觀防止攻擊者攻擊。還原系統(tǒng)未來(lái)趨勢(shì)。我們現(xiàn)在有GuardField的保護(hù)，惡意攻擊者肯定會(huì)開發(fā)出一些新的更新，對(duì)抗GuardField 。他們可能會(huì)使用哪些手段，猜測(cè)主要有兩方面：第一，更底層或者更新的磁盤讀寫技術(shù)，繞過(guò)磁盤 IRP

11、 分析，直接寫入磁盤。第二，針對(duì)GuardField本身的工具，對(duì)GuardField進(jìn)行破壞、脫鉤。我們發(fā)布之后，大概不到兩天時(shí)間就有新的驅(qū)動(dòng)出來(lái)，對(duì)我們GuardField脫鉤。如何防御：更底層的磁盤讀寫監(jiān)視。他們開發(fā)起來(lái)難度比較大，短期內(nèi)沒(méi)有辦法形成比較大的規(guī)模。 GuardField 這套系統(tǒng)如果有一定時(shí)間可以進(jìn)行修改的話，還是可以用現(xiàn)有系統(tǒng)兼容，對(duì)磁盤底盤操作進(jìn)行監(jiān)視。我們知道 atapi.sys IRP 還是存在的，對(duì)這一層做 hook。針對(duì)第二種方法脫鉤，可以適量的自我保護(hù)、恢復(fù)。就我個(gè)人來(lái)看，針對(duì)性攻擊不足為懼。如果攻擊者對(duì)防御者產(chǎn)生一些針對(duì)性攻擊，等于攻擊者容易落入一個(gè)被動(dòng)捱打的局面。如果已經(jīng)到脫鉤了，說(shuō)明攻擊者已經(jīng)比較窮了。還原系統(tǒng)在軟件方面的對(duì)抗應(yīng)該是沒(méi)有止境的。有什么問(wèn)題大家可以問(wèn)。以下是現(xiàn)場(chǎng)問(wèn)答部分：?jiǎn)枺何医o鄭文彬補(bǔ)充一些數(shù)據(jù)，根據(jù)權(quán)威部門統(tǒng)計(jì)，盜號(hào) 70%是來(lái)自網(wǎng)吧。而網(wǎng)吧幾乎備。剛才鄭文彬也介紹了還原設(shè)備的攻防。其實(shí)還原系統(tǒng)是很重要的一塊。100%安裝了還原設(shè)問(wèn)：我想請(qǐng)問(wèn)一下您剛才介紹的還原系統(tǒng)軟件原理、實(shí)現(xiàn)方法，能不能介紹還原卡硬件的原理？鄭文彬：對(duì)于還原卡來(lái)說(shuō)，一般有兩種。現(xiàn)在市面上的還原卡都不是真正的硬件上的還原卡，他們使用技術(shù)就是 PCI 設(shè)備，可以在OS啟動(dòng)之前獲得控制權(quán)，在OS無(wú)整個(gè)過(guò)程中監(jiān)控磁盤讀寫，但是實(shí)質(zhì)上是通過(guò)磁盤驅(qū)動(dòng)監(jiān)