渗透测试之内核安全系列课程：Rootkit技术初探（一）

今天，我们来讲一下内核安全！

本文章仅提供学习，切勿将其用于不法手段！

目前，在渗透测试领域，主要分为了两个发展方向，分别为Web攻防领域和PWN（二进制安全）攻防领域。在PWN的二进制领域，免杀技术，一直是后渗透利用阶段的重要安全技术之一。

想要免杀，需要了解的安全技术知识包括软件加壳、代码混淆（例如，使用花指令）、隐匿技术（例如，Rootkit技术）、动态加密等内容。

今天，我们主要讲一下，Rootkit 技术 !

Rootkit 是一种隐匿网络攻击的新技术！

Rootkit 通过修改操作系统内核或更改指令执行路径，来隐藏系统对象（包括文件、进程、驱动、注册表项、开放端口、网络连接等），以逃避（或者说是，规避）标准系统机制的程序。

Rootkit 也是一种软件，只不过，是一种比较特殊的软件！

利用 Rootkit 技术，编写而成的 Rootkit 程序，一般情况下，都可以被称之为是 Rootkit 软件。

Rootkit 软件的开发者，可以借助于 Rookit 隐遁技术，在渗透测试行为的后渗透阶段，对已被渗透的目标网络系统进行更深一层的渗透测试行为！

由于 Rootkit 技术的高隐匿特性，一般的安全防护手段，可能难以对其进行有效防御和行为拦截！

很多能力较强的渗透测试工程师，会使用 Rootkit 隐匿攻击技术，去逃避安全检测和渗透行为取证！

由于 Windows 系列操作系统，在一些地区的拥有较高的市场份额占有率，因此，我们也主要来讨论 Rootkit 技术在 Windows 系统环境中的技术实现，以及与之相对应的安全检测手段1

Rootkit 的中文翻译为：恶意获取管理员特权的工具！

利用 Rootkit 技术，渗透测试工程师，往往可以在靶机系统管理员毫不知情的情况下，悄悄获取目标靶机的控制权！

Rootkit 的核心特性，即为高隐匿特性！使用 Rootkit 技术编写的远程控制程序，可以避开大部分安全软件或杀毒软件的安全检测，有效突破靶机的防御环境！

Rootkit 技术，为什么强大呢？

Rootkit 软件，一般工作在 R0 层！

注意，很多安全软件，也是运行于 R0 层！

所以，这意味着，Rootkit 软件和安全软件工作于同一层次！它们，对于操作系统内核而言，具备同等的操作权限！无论是 Rootkit 软件，还是其它杀毒软件，想要驻留在内核层！就必须要注册成为驱动程序！什么是驱动程序呢？简单点说，在Windows 系列的操作系统环境中，就是文件扩展名以 .sys 结尾的那些文件！

想要编写 Rootkit 软件，想要开发针对 Rootkit 软件的检测程序，我们就必须要学会编写驱动程序！也就是说，我们必须要学会内核编程！

想要进行内核编程！我们需要知道，什么是特权指令！

注意，内核级的软件程序，是可以访问所有内存地址空间的！

这意味着，内核级的软件，可以读写任意地址空间中的数据内容！

这才是内核编程的巨大魅力所在！

我们来科普一下，比较重要的操作系统内核级编程，需要用到的相关知识！

我们要知道物理内存分段和编址机制！

学习操作系统内核编程，我们一定要首先学会汇编语言！

如果你接触过汇编语言，你会知道，汇编语言中，存在段和物理内存地址的概念！

在汇编语言的程序设计领域中，存在实模式编程和保护模式编程的区别！

在操作系统的实模式环境下，内存地址等于内存物理地址！

在操作系统的保护模式下，内存地址等于线性虚拟地址！

注意：线性虚拟地址体现了操作系统对于物理内存地址的保护作用！

在操作系统的实模式环境下，一个汇编语言编写的程序，通常分为代码段（ .text ）、数据段（ .data ）、栈段（ .stack ）等实模式下的物理内存分段！

在操作系统的保护模式环境下，一个汇编语言编写的程序，通常分为代码段（ .text .plt ）、数据段（ .data .rodata .bss .got ）、栈段（ .stack ）等保护模式下的物理内存分段！

有些童鞋儿说，LINUX 和 WINDOWS 的保护模式的汇编源码中，是没有栈段（.stack）的，但我想说，不要被现有系统的设计局限住，只要CPU的技术体系支持，那么一切能够实现的，应该实现的，还是要去实现它。虽然在 WINDOWS 和 LINUX 源代码中没有对于栈段的定义，但是在程序载入内存，形成进程之后，栈段（.stack）是真实存在的！也许栈段（.stack）是由操作系统自动创建的，但是，那也意味着，栈段，是真实存在的！

对于保护模式下的线性虚拟地址而言，涉及到的知识点，包括 GDT（全局描述符表）、LDT（本地描述符表）、PD（页目录表）、IDT（中断描述符表）、SSDT（系统服务描述表）、IRP（I O 操作调度表）等！

下面，我们就来讲解一下，这些基础知识内容！

对于这些知识的透彻理解，是进行操作系统内核编程的基础！

下面，我们以 32 位操作系统为例，进行相关知识点的内容讲解（向下兼容的特性需求）！

我们所编写的程序，应该是在 32位系统和 64位系统中，都能够正常运行的！

说到 GDT 全局描述符表，我们就必须要提一下，GDTR 全局描述符表寄存器！

在实模式环境下，CS 寄存器，存储 CS 段（ .text 代码段）的起始地址！

在实模式环境下，DS 寄存器，存储 DS 段（ .data 数据段）的起始地址！

在实模式环境下，SS 寄存器，存储 SS 段（ .stack 栈段）的起始地址！

我们需要知道段寄存器（CS、DS、SS、ES、FS）的存储空间，都是 16 位的！

在实模式环境下，段地址是20位的！而段寄存器只能存储16位大小的数据！

在实模式环境下，段地址 = 段寄存器内容乘以 16 ！段地址的最后一位，一定是 0 ！

在实模式环境下，内存物理地址 = 段地址 + 偏移地址！

注意，代码段的偏移地址，存储在 IP 寄存器中！在无跳转的情况下，IP寄存器的值，向上递增！

但是！在有跳转的情况下，例如、JMP指令、CALL 、RET 等指令，都可以改变IP寄存器的值！

在 JMP、CALL、RET 等跳转指令的影响下，IP寄存器的值，并不一定是一直递增的！IP寄存器的值是进行增加操作，还是进行减少操作，取决于跳转指令所指向的内存地址比IP寄存器中的当前值，是大，还是小！如果是大，执行的就是增加操作！如果是小，执行的就是减少操作！

注意，栈段的偏移地址，存储在 SP 寄存器中！在数据入栈的时，SP寄存器的值，向下递减！

注意，栈段的偏移地址，存储在 SP 寄存器中！在数据出栈的时，SP寄存器的值，向上递增！

对于栈段的操作，主要使用 PUSH 数据入栈指令和 POP 数据出栈指令。

PUSH 数据入栈指令，等同于首先 SUB SP , 2 ，然后 MOV SS : [ SP ] , DATA 。

PUSH 数据出栈指令，等同于首先 MOV [ DATA ADDR ] , SS : [ SP ] , 然后 ADD SP , 2 。

PUSH 数据入栈指令，等同于首先 SUB ESP , 4 ，然后 MOV SS : [ SP ] , DATA 。

PUSH 数据出栈指令，等同于首先 MOV [ DATA ADDR ] , SS : [ ESP ] , 然后 ADD ESP , 4 。

PUSH 数据入栈指令，等同于首先 SUB RSP , 8 ，然后 MOV SS : [ RSP ] , DATA 。

PUSH 数据出栈指令，等同于首先 MOV [ DATA ADDR ] , SS : [ RSP ] , 然后 ADD SP , 8 。

SUB 指令，是递减指令，ADD 指令，是递增指令！

话题，回到 GDTR 全局描述符表寄存器上来！

在保护模式环境下，CS、DS、SS 、ES、FS 等段寄存器中，不再存储段地址数据！

在保护模式环境下，CS、DS、SS 、ES、FS 等段寄存器中，被用于存储各自段的 “ 段选择子 ” 内容！那么，什么是 “ 段选择子 ” 呢？说到 “ 段选择子 ”，我们就必须要提一下，段描述符表！

在保护模式环境下，段寄存器，也叫做 “ 段选择器 ”，段选择器中存储的 “ 段选择子 ” 存储着段描述符表中各子项（段描述符）所对应的索引信息、段选择子的请求特权级（ RPL ）信息、段选择子的表指示位（ TI ）信息！

注意，本章中的比特位排序，是从数字 1 开始计算的，第N位对应的比特位索引为第N位 - 1 。

注意，本章中的字节排序，是从数字 1 开始计算的，第N个字节对应的字节索引为第N位 - 1 。

什么是 ” 段选择子 ” 呢？段选择器（保护模式下的段寄存器）的内容值，就是段选择子！

在段选择器中，段选择子的高13位，是指向段描述符表中对应着段描述符的段描述表子项的相应索引信息！

在段选择器中，段选择子的第1-2位共同代表当前段选择子的 RPL 优先级（ 0、1、2、3，数字越大，权限越小）！RPL 优先级，主要被用于进行特权检查！RPL 优先级，决定了段描述符是否能够被成功使用！注意，使用段描述符，是需要权限的，而 RPL 优先级，则对应了相关的使用权限！

在段选择器中，段选择子的第3位，代表段描述符的所在位置，值为 0 ，代表段描述符在 GDT 全局描述符表中，值为 1 ，代表段描述符在 LDT 本地描述符表中！

注意，段描述符表的各子项内容，即为段描述符！段描述符，是8个字节（64位）大小的！段描述符中存储着指定段的起始位置、段的大小长度、段的访问控制权限的状态信息！

段描述符中，存储着最为关键的 3 个类型的字段内容，类型分别为：段基地址、段限长、段属性！

段基地址，顾名思义，这里讲的就是段的起始地址！

注意，这里的段基地址，不是实模式下的物理地址！而是虚拟线性地址！

注意，段描述符中，第17-32位，存储着段地址的第1-16位，第33-40位，存储着段地址的第17-24位，第57-64位，存储着段地址的第25-32位。

段限长，顾名思义，这里代表的就是段的长度大小！

注意，这里的段限长的含义，受段描述符（64位）中的第 56 位影响！

如果段描述符（64位）中的第 56 位，内容为 0 ，则段限长最大为 1 MB，基础单位为 1 B 。

如果段描述符（64位）中的第 56 位，内容为 1 ，则段限长最大为 4 GB，基础单位为 4 K B 。

注意，段描述符中，第1-16位，存储着段限长的第1-16位，第48-52位，存储着段限长的第17-20位。

段的属性，顾名思义，这里代表着每个段是会存在相应的属性信息的！

注意，段描述符中，第 56 位，存储着颗粒度标志 G ，其影响着，段限长的长度含义！

注意，段描述符中，第 55 位，存储着 D / B 位，其影响着，段的寻址方式！如果第55位的值为 1 ，则代表着采用 32位的寻址方式，如果第 55位的值为 0 ，则代表着采用 16位的寻址方式！

注意，段描述符中，第 54 位，是保留位，暂时未作为具体用途使用！

注意，段描述符中，第 53 位，是 AVL 位，这是一个灵活度较高的自定义用途位，可以由软件程序自定义其所代表的含义！

注意，段描述符中，第 48 位，是 P 位，其代表着对应的段是否存在！如果值为 1 ，则代表这个段是存在的！如果值为 0 ，则代表着对应的段，是不存在的！如果值为 0 ，意味着，这个段描述符，也会是无效的！

注意，段描述符中，第 46-47 位，是 DPL ，其代表着段描述符的访问权限！它，也是段描述符的特权级别！如果段选择子的 RPL 优先级权限数字大于或者等于段描述符的 DPL 中存储的代表段描述符访问权限的数字时，通过段选择子才能有权限去访问对应的段描述符中的数据！换句话说，如果段选择子的 RPL 优先级权限数字小于段描述符中的 DPL 的数字，那么，通过段选择子去访问对应段描述符的行为，只会失败，而不会成功！

注意，段描述符中，第 45 位，是 S 位，其代表着段描述符的类型！如果段描述符中第 44 位的内容值为 1 ，则代表这个段描述符是代码段描述符或数据段描述符！如果段描述符中第 45 位的内容值为 0 ，则代表这个段描述符是系统段描述符（例如，调用门，中断门等）！

注意，段描述符中，第 41-44 位，是 TYPE ，其配合段描述符中的第 45 位 S 位的值，来确定当前段描述符所指向的段空间是数据段空间，还是代码段空间！如果段描述符的第 41-44 位的 TYPE 类型值小于数字 8 ，则代表这个段描述符指向的段空间是数据段空间！如果段描述符的第 41-44 位的 TYPE 类型值大于或等于数字 8 ，则代表这个段描述符指向的段空间是代码段空间！

注意，下面是段描述符中，第 41-44 位 TYPE 类型字段，不同的值，代表的不同访问权限！

第 41-44 位 TYPE 类型字段，值为 0 时，其代表的访问权限为只读！

第 41-44 位 TYPE 类型字段，值为 1 时，其代表的访问权限为只读，已访问！

第 41-44 位 TYPE 类型字段，值为 2 时，其代表的访问权限为可读，可写！

第 41-44 位 TYPE 类型字段，值为 3 时，其代表的访问权限为可读，可写，已访问！

第 41-44 位 TYPE 类型字段，值为 4 时，其代表的访问权限为向下扩展，只读！

第 41-44 位 TYPE 类型字段，值为 5 时，其代表的访问权限为向下扩展，只读，已访问！

第 41-44 位 TYPE 类型字段，值为 6 时，其代表的访问权限为向下扩展，可读，可写！

第 41-44 位 TYPE 类型字段，值为 7 时，其代表的访问权限为向下扩展，可读，可写，已访问！

第 41-44 位 TYPE 类型字段，值为 8 时，其代表的访问权限为可执行！

第 41-44 位 TYPE 类型字段，值为 9 时，其代表的访问权限为可执行，已访问！

第 41-44 位 TYPE 类型字段，值为 10 时，其代表的访问权限为可读，可执行！

第 41-44 位 TYPE 类型字段，值为 11 时，其代表的访问权限为可读，可执行，已访问！

第 41-44 位 TYPE 类型字段，值为 12 时，其代表的访问权限为一致性段，可执行！

第 41-44 位 TYPE 类型字段，值为 13 时，其代表的访问权限为一致性段，可执行，已访问！

第 41-44 位 TYPE 类型字段，值为 14 时，其代表的访问权限为一致性段，可读，可执行！

第 41-44 位 TYPE 类型字段，值为 15 时，其代表的访问权限为一致性段，可读，可执行，已访问！

注意，说到，一致性段！就一定要了解一下特权级 CPL、DPL、RPL ！

RPL ，我们已经了解过了，就是段选择器中代表当前段选择子访问权限的字段！

DPL ，我们已经了解过了，就是段描述符中代表当前段描述符访问权限的字段！

那么，CPL 是什么呢？

CPL 中的 C ，指的是 CPU !

顾名思义，CPL 是存在于 CPU 的 CS 寄存器中的！

CPL ，直接受 RPL 的影响， RPL 会刷新 CPL 中的值！

CPL ，是指当前执行任务的或程序的特权级！

CPL，经常与 DPL 一起，用来共同决定，下一个中断，是否能够被执行！如果 DPL 中的数字小于 CPL 中的数字，则会产生一个 General protection 异常（一般保护错误，是在英特尔x86架构、AMDx86-64架构，以及其它架构中被定义的一种错误！或者说，是一种中断！对于错误的处理，有些时候，也是基于中断的！General protection 是指，正在运行的内核态程序或用户态程序，违反了处理器架构中的保护措施后发生的情况！例如，产生了这个异常）！

我们再来复习和预习一下，特权级的相关类型！

1、请求特权级（ RPL ，Request Privilege Level ）；

2、描述符特权级（ DPL ，Descriptor Privilege Level ）；

3、当前特权级（ CPL ，Current Privilege Level ）；

4、输出特权级（ IOPL ，I/O Privilege Level ）。

以及，我们还要记住，特权指令（ Privileged Instructions ）！

当然，特权指令（ Privileged Instructions ），会在下一节内容中，有所介绍！

现在，我们来说一下，一致性代码段和非一致性代码段！

在 x86系列环境的 CPU体系架构中，数据内容和代码内容，都是按照 “段” 的概念来进行存放的！数据内容，被存放在数据段（ .data .rodata . bss . got 等）中，也可以叫做数据节 Data Section ！代码内容，被存放在代码段（ .text .plt 等）中，也可以叫做代码节 Code Section ！

GDT 全局描述符表的每个段描述符被设置有不同的特权级DPL ！

LDT 本地描述符表的每个段描述符被设置有不同的特权级DPL ！

计算机程序，通过 “选择子” 和 “调用门” 等技术实现手段，来在不同段之间进行切换！

计算机程序，通过 “选择子” 和 “调用门” 等技术实现手段，实现用户态程序和系统态程序的调用跳转！

如同 GDT 全局描述符表中的段描述符，CPU 中央处理器内的寄存器中的每个选择子或门调用都是存在等级划分的！大家可以了解下，段选择器中的第1位和第2位代表的RPL 优先级内容！

什么是一致性代码段呢？

简单来说，大家可以思考下，共享库！例如，Windows 操作系统环境中的 DLL 动态链接库，或者 Linux 操作系统环境中的 SO 动态链接库！

我们可以简单点去理解，就是操作系统特意贡献出来，让所有内核态程序或用户态程序去公共使用的代码段内容！

一般来说，DLL 动态链接库中的代码段，即属于一致性代码段！

一致性代码段的限制：

1、特权级别高的程序代码，被禁止去访问特权级别低的程序数据（例如，核心态的程序代码，不能去访问用户态的程序数据）！

2、特权级别低的程序代码，被允许去访问特权级别高的程序数据。但是！特权级别低的程序代码，去访问特权级别高的程序数据的这种行为，并不能够改变，低特权级别的程序代码，仍然是低特权级别的程序代码的现状（程序代码的特权级别，是不会发生改变的！用户态程序，依然还会是，用户态的程序）！