AK922: 突破磁盘低级检测实现文件隐藏

AK922: 突破磁盘低级检测实现文件隐藏
作者：Azy
email: Azy000@gmail.com
完成于：2007-08-08

   目前，一些已公开的主流anti-rootkit检测隐藏文件主要有两种方法：第一种是文件系统层的检测，属于这一类的有icesword，darkspy，gmer等。第二种便是磁盘级别的低级检测（Disk Low-Level Scanning），属于这一类的ark也很多，典型代表为rootkit unhooker，filereg（is的插件），rootkit revealer，blacklight等。当然，还有一些工具，它们在应用层上通过调用ZwQueryDirectoryFile来实施检测。
   驱动也好，应用也罢，说白了就是直接或间接发送IRP到下层驱动。第一类的发送到FSD中（fastfat.sys/ntfs.sys），第二类被发送到磁盘驱动（disk.sys），而后IRP便会携带相应的文件信息返回，这时上层应用再根据返回信息进行处理和判断。但是由于Disk级比FS级更底层，IRP返回给我们的是更加接近数据原始组织方式的磁盘扇区信息，所以在Disk层上实施文件检测可以得到更令人信服的结果。但这并不等于说这类检测不能被击败。本文就将介绍一种绕过该类检测的实现方法，当然，这也是在AK922中使用的。
   对于要实现文件隐藏的RK，与其说是“绕过”，还不如说是“拦截” -- 挂钩某些内核函数调用，以便在返回上层之前我们有机会过滤掉待隐藏文件的信息。
   AK922采用的方法是Hook内核函数IofCompleteRequest。这个函数很有意思，因为它不仅是一个几乎在任何驱动中都要调用的函数，而且参数中正好含有IRP。有了IRP，就有了一切。这些特性决定了它很适合做我们的“傀儡”。但更重要的是，一般在驱动中调用IofCompleteRequest之时IRP操作都已完毕，IRP中相关域已经填充了内容，这就便于我们着手直接进行过滤而不用再做诸如发送IRP安装完成例程之类的操作。
   下面就着重说一下工作流程：
   首先，判断MajorFunction是不是IRP_MJ_READ以及IO堆栈中的Device是否是磁盘驱动的设备对象，因为这才是我们要处理的核心IRP，所有ark直接发送到Disk层的IRP在这里都可以被拦截到。
   接下来的处理要特别注意，进入到这里时IRQL是在APC_LEVEL以上的，因此我们不能碰任何IRP中的用户模式缓冲区，一碰极有可能蓝，也就是说我们不能直接处理相关磁盘扇区信息，而必须通过ExQueueWorkItem排队一个WorkItem的方法来处理。除此之外，由于Disk层在设备堆栈中处于*下的位置，大部分IRP发到这里时当前进程上下文早已不是原始IRP发起者的进程上下文了，这里的发起者应理解为ark进程。幸运的是在IRP的Tail.Overlay.Thread域中还保存着原始ETHREAD指针，为了操作用户模式缓冲区，必须调用KeAttachProcess切到IRP发起者的上下文环境中，而这个工作只能在处于PASSIVE_LEVEL级上的工作者线程中执行。在DISPATCH_LEVEL级上，做的事越少越好。
   刚开始我还分两种情况进行处理：因为并不是所有的IRP都不处在原始上下文中，比如icesword发的IRP到这里还是处在icesword.exe进程中的，这时我认为可以不用排队工作项，这样就可以节省很多系统资源，提高过滤效率。于是我试图在DISPATCH_LEVEL级上直接操作用户缓冲区，但这根本行不通。驱动很不稳定，不一会就蓝了。故索性老老实实地排队去了，然后再分情况处理。代码如下：

// 处理Disk Low-Level Scanning
if(irpSp->MajorFunction == IRP_MJ_READ && IsDiskDrxDevice(irpSp->Device) && irpSp->Parameters.Read.Length != 0)
{    
        
    orgnThread = Irp->Tail.Overlay.Thread;
    orgnProcess = IoThreadToProcess(orgnThread);