今天调试了下uay backdoor, 其实基于ndis hook的想法的rootkit,2003年的时候我已经想过,一直没有动手了,看来实战第一. 呵呵,当然波兰的女hacker的rootkit 似乎也是这个思路,没有公布一点源码,这里我们应该感谢uay; 他在源代码里面也提到是采用了gjp的ndis hook技术---fake protocol,其实就是注册一个假协议获取协议连,从而递归来hook所有的协议驱动的一些收发函数, 关键是2000下和xp,2003的ndis_open_block的结构是不同的,gjp的代码是相当完全,不过没有太多说明,他当然是知道的. 另外是最近公开的部分kernel socket代码,就是核心层自己发包构建协议的意思.
uay的后门完全是在xp下使用xp ddk开发的,所以部分函数直接build无法通过,首先我们可以看到了函数RtlGetVersion函数,在2000的ntddk中可以查阅到此函数,但是已经声明只能在xp以上的系统中使用,我们应该替换这个为
BOOLEAN
PsGetVersion(
PULONG MajorVersion OPTIONAL,
PULONG MinorVersion OPTIONAL,
PULONG BuildNumber OPTIONAL,
PUNICODE_STRING CSDVersion OPTIONAL
);
适用系统是nt/2000了, 为了满足多平台这里的框架代码可能要进行调整,好,暂时修改下,build后可以发现error C4013: 'NdisGetPoolFromPacket' undefined这个错误信息,查阅ndisgetpoolfrompacket可以看到