McAfee首席反病毒專家Rachit Mathur研究過一種被認(rèn)為是 TDL3 rootkit 變種的rootkit，這個rootkit就是用來隱藏臭名昭Google Redirect 病毒的程序。但是這個rootkit的行為有些怪異。Mathur在接受ZDNet的采訪時解釋說：

一些反rootkit工具無法通過hooks直接識別出這個rootkit，另外，它還不允許外部debug工具(Windbg等)進(jìn)行中斷調(diào)試，這一點(diǎn)很讓人郁悶。

Mathur還補(bǔ)充說：

反rootkit工具之所以沒有發(fā)現(xiàn)可疑的hooks，是因?yàn)檫@些工具所檢測的內(nèi)存本身就是偽造的。

很明顯，rootkit開發(fā)人員使用這種技術(shù)的目的就是為了防止被反病毒工具發(fā)現(xiàn)并被系統(tǒng)管理者注意到。

偽造內(nèi)存成為可能?

聽到這個結(jié)論，我的第一反應(yīng)是，“內(nèi)存是怎么被偽造出來的呢?”

Mathur擁有計(jì)算機(jī)科學(xué)碩士學(xué)位，專攻逆向工程，程序轉(zhuǎn)換以及惡意軟件變種研究。Mathur在McAfee Labs的博客上也有一篇專門針對這個rootkit技術(shù)的文章：Memory Forging Attempt by a Rookit. 我嘗試著閱讀了一下，但是指針，寄存器設(shè)置以及debug工具等弄的我有些頭大。于是在采訪中，我請求McAfee公關(guān)部的Joris Evers先生和H3O Communications的Ian Bain先生幫我聯(lián)系了Mathur先生。下面就是我對Mathur先生的采訪內(nèi)容。

記者: 我承認(rèn)，我還是沒明白內(nèi)存是如何偽造出來的。您能不能比較淺顯的解釋一下這個技術(shù)。

Mathur: 我可以先介紹一些背景知識。 Rootkits 一般會修改當(dāng)前操作系統(tǒng)在內(nèi)存中的某個特定區(qū)域，從而劫持操作系統(tǒng)的控制功能。這么做會迫使操作系統(tǒng)對掃描軟件(反病毒軟件或反rootkit軟件)反饋錯誤的結(jié)果。

比如rootkit會隱藏文件，注冊表項(xiàng)目，進(jìn)程等，防止檢測軟件掃描這些內(nèi)容。所以，一般來說rootkit都會修改內(nèi)存。而反rootkit工具則是通過檢測內(nèi)存區(qū)域，發(fā)現(xiàn)此類可疑修改，并通知用戶。

我們今天所說的這個rootkit也同樣修改內(nèi)存的存儲單元(安裝hook)阻止檢測軟件的磁盤訪問動作。我們假設(shè)這個存儲單元的位置是X，而這個X是大多數(shù)rootkit都會使用的位置，我們所說的這個rootkit也毫無例外的使用了這個位置。

那么對于反rootkit軟件來說，由于大部分rootkit都會修改X位置的內(nèi)容，因此反rootkit軟件就會檢查X位置所存儲的內(nèi)容，看其是否被修改過。

記者: 抱歉我打斷一下，這個rootkit就是在這里做文章的嗎?

Mathur : 恩，我們今天說的這個rootkit，會將原先X位置的內(nèi)容搬到Y(jié)位置存儲起來。當(dāng)反rootkit軟件掃描X位置時，它會將Y位置的內(nèi)容提供給檢測軟件。這樣檢測軟件就不會發(fā)現(xiàn)X位置有任何異常了。

記者: 您剛才提到了 X位置和 Y位置。我想到一個問題：既然檢測軟件會掃描X位置，為什么rootkit還要將自身信息放在X位置呢?

Mathur: 惡意軟件之所以必須修改 X位置的數(shù)據(jù)，是因?yàn)椴僮飨到y(tǒng)使用X位置來調(diào)用處理磁盤訪問的特定代碼。這樣，在磁盤訪問過程中，惡意軟件就可以決定是否允許程序讀取磁盤上某個文件或向其中植入惡意代碼。這就是所謂的調(diào)度表hook或IRP hook。

記者: 您是說，惡意軟件或rootkit有足夠的智能，能夠分辨哪些程序試圖訪問X位置?這是怎么實(shí)現(xiàn)的呢?

Mathur: 惡意軟件一定需要判斷讀取請求來自何處。只有當(dāng)惡意軟件確定操作系統(tǒng)需要讀取X位置的代碼來進(jìn)行磁盤訪問時，惡意軟件才會放心的把惡意代碼傳送給操作系統(tǒng)。而其它程序，包括反病毒軟件需要讀取X位置的內(nèi)容時，惡意軟件會將Y位置的原始內(nèi)容反饋給程序。

當(dāng)發(fā)生 X位置的讀取請求時，由于CPU硬件中斷設(shè)置，會觸發(fā)一個例外事件。而由于惡意軟件同時修改了操作系統(tǒng)變量KiDebugRoutine, 惡意代碼會在該例外觸發(fā)時被啟動，取得控制權(quán)。

這時惡意軟件已經(jīng)能獲知指令試圖讀取的內(nèi)存地址了。惡意軟件會將此地址與預(yù)先設(shè)置的地址列表進(jìn)行比對，看是否允許繼續(xù)讀取該內(nèi)存地址的內(nèi)容。指令中需要讀取的地址可以分成兩類，一類是地址中包含操作系統(tǒng)數(shù)據(jù)，另一類是地址包含了惡意代碼。

如果指令讀取的地址與地址列表上的相符，那么惡意代碼不會提供偽造內(nèi)存。相關(guān)的代碼可以從博客中的圖片“KiDebugRoutine Handler: Snippet 3″中看到。

接下來的代碼是對比一個特定的地址。如果相匹配，那么該異常被設(shè)定為不需要偽造內(nèi)存，讀取命令會繼續(xù)執(zhí)行，讀取“真實(shí)”的內(nèi)存內(nèi)容：

cmp eax, dword_41D810 ; compare EIP with pre-defined locations that are allowed to read correct memory

jz loc_403BC5 ; set as handled and return

記者: 這個rootkit有名字嗎?

Mathur: McAfee 將其定為 TDSS.e!rootkit.

記者: 我很好奇，您到底是如何認(rèn)定這個rootkit偽造了內(nèi)存呢?

Mathur: 最初在分析惡意軟件樣本時，常用的掃描工具都沒有報告出可疑的rootkit活動。但是隨著深入研究和debug分析，我們確定其中確實(shí)有一個hook，并且它就位于那些掃描工具最常掃描的地址段內(nèi)。但是這些掃描工具確實(shí)什么也沒發(fā)現(xiàn)。這非常奇怪，所以引起了我的注意。

索性這個rootkit設(shè)計(jì)的并不完美，隨著研究的深入，我還是發(fā)現(xiàn)了它的蛛絲馬跡。我發(fā)現(xiàn)通過兩種不同方式檢查該地址段，所獲得的反饋內(nèi)容是不同的。這是個意料之外的線索。

因?yàn)槲覀冎雷约涸谡沂裁?，所以很快我們就發(fā)現(xiàn)到硬件中斷(DR0 寄存器)設(shè)置到X位置，而惡意軟件試圖保護(hù)自身。剩下的工作就是通過標(biāo)準(zhǔn)的逆向工程來還原出rootkit的工作細(xì)節(jié)。

記者: 發(fā)現(xiàn)這個rootkit的機(jī)制后，行業(yè)會有什么動作嗎?另外，既然這個rootkit已經(jīng)流傳出去了，會不會有更多的惡意軟件開發(fā)者利用它或者將其進(jìn)一步改進(jìn)?

Mathur: 這個問題問得好。目前該技術(shù)確實(shí)已經(jīng)被一些惡意軟件利用了，而我們也必然會看到反rootkit工具會增加對這種技術(shù)的檢測功能，比如在訪問內(nèi)存特定區(qū)域前，監(jiān)視硬件中斷的活動，或者檢查KiDebugRoutine hook等。

另外，由于使用這個技術(shù)需要設(shè)置硬件中斷點(diǎn)，因此它可能不會廣泛的被各種惡意軟件利用。因?yàn)橐坏┲懒怂墓ぷ髟恚胍獧z測或避免被這種技術(shù)感染的方法并不難。

但是，為反rootkit工具增加針對這種技術(shù)的檢測功能需要一段時間。因此，在未來一小段時間內(nèi)，我們可能會發(fā)現(xiàn)有部分惡意軟件利用了這種技術(shù)，而且有可能會出現(xiàn)這種技術(shù)的變種。

估計(jì)最開始是那些設(shè)計(jì)精巧的惡意軟件首先采用該技術(shù)，然后是設(shè)計(jì)較好的惡意軟件采用該技術(shù)。雖然這都是預(yù)想，但是還是比較靠譜的。

記者: 作為普通用戶，我們該如何防范采用這種技術(shù)的惡意軟件呢?

Mathur: 從用戶的角度說，一般的防范措施，比如瀏覽安全的網(wǎng)站，保持軟件和系統(tǒng)及時更新等，會有一定的幫助。當(dāng)然，所安裝的安全軟件需要進(jìn)行更新，才可能支持對這種新技術(shù)的檢測和防范。因此用戶需要隨時關(guān)注新版安全軟件的推出，并及時更新病毒庫。

記者: 在您的博客中，您提到這個技術(shù)已經(jīng)存在一段時間了，就是之前一直沒有被利用。是不是還有某些新技術(shù)也是處于這種狀態(tài)呢?

Mathur:這種技術(shù)以前就被人提起過，但是一直沒有惡意軟件使用該技術(shù)的報告出現(xiàn)，直到這次。不幸的是，我還沒有注意到有類似的技術(shù)被雪藏。我們認(rèn)為惡意軟件制作者們會繼續(xù)改進(jìn)技術(shù)，實(shí)現(xiàn)更好的隱藏機(jī)制。

這也是我們將要在今年的Virus Bulletin Conference 上討論的話題之一。

總結(jié)

病毒和反病毒的斗爭一直在持續(xù)，未來也是一樣。我們感謝像Mathur這樣的專家能夠認(rèn)真的研究和分析新的病毒技術(shù)，為我們的反病毒斗爭帶來希望。

【編輯推薦】

1. 邁克菲躋身“內(nèi)容感知型 DLP”魔力象限領(lǐng)導(dǎo)者地位
2. 邁克菲表示其黑客調(diào)查報告沒有明確入侵國
3. 安全Web網(wǎng)關(guān)魔力象限報告中邁克菲位列領(lǐng)導(dǎo)者象限
4. 解析內(nèi)存中的數(shù)據(jù)安全隱患
5. 微軟發(fā)布64個安全漏洞 邁克菲提醒用戶及時升級