内核级Rootkit技术入门(3)

　　内存管理。现在的硬件平台（比如英特尔的奔腾系列处理器）的内存管理机制已经复杂到可以将一个内存地址转换成多个物理地址的地步。举例来说，进程A按照地址0x0030030读取内存，它得到值的是“飞机”；然而，进程B也是按照同样的地址0x0030030来读取内存，但它取得的值却是“大炮”。像上面这样，同一个地址指向截然不同的两个物理内存位置，并且每个位置存放不同的数据这种现象并不足以为怪——只不过是两个进程对虚拟地址到物理地址进行了不同的映射而已。如果这一点利用好了，我们可以让Rootkit躲避调试程序和取证软件的追踪。

　　上面介绍了内核的主要功能，以及它们对Rootkit的重大意义。说到这里，我们就要切入正题了，即：只要我们颠覆（即修改）了操作系统的核心服务（即内核），那么整个系统包括各种应用就完全处于我们的掌控之下了。要想颠覆内核，前提条件是能把我们的代码导入内核。具体请见下文。

　　所有应用程序都是运行在用户模式下的，而操作系统是运行在内核模式下的，所以应用程序根本没有机会来修改内核程序。要想颠覆内核，前提是设法让我们的代码也运行在内核模式下，即将我们的代码导入内核。

　　设想一下当我们的代码通过驱动程序进入内核后的情形：我们的代码一旦在内核运行，就能访问内核的所有特权内存空间和系统进程——有了这样的内核级访问特权，我们就能任意修改系统中的任何代码和数据了！

　　将代码导入内核的方法很多，但我们要介绍的是利用设备驱动程序将代码导入内核的方式。内核驱动程序有多种叫法，有时候又称为内核驱动程序，或者可加载模块。我们之所以利用设备驱动程序将代码导入到内核，主要考虑到两点：

　　1.简单性。能够让我们的代码运行在内核模式之的方法有多种，例如把我们的代码做成设备驱动程序、设法修改正在内存运行的内核、覆盖硬盘中的内核映像等等。其中，利用设备驱动程序是最为简单的一种。

　　2.适用性。现在，绝大多数的操作系统都允许第三方的硬件厂商加载为其硬件产品制作的内核扩展，从而使得操作系统能够支持它们的硬件产品。这的确是一个双赢之举，只有这样，操作系统开发商才能不断巩固和扩大其用户群。因此，各个操作系统开发商不仅提供该系统下的开发设备驱动程序的详尽帮助文档，而且还提供了相应的开发工具包。

　　虽然我们已经找到将我们的代码导入到内核模式的路径，但还有一个问题需要回答：除了与硬件打交道的代码外，其它代码是否也能写进设备驱动程序？答案是肯定的。尽管这里的“设备”一词容易误导我们，实际上任何代码都可以写成设备驱动程序。

　　迄今为止，我们已经回答了利用设备驱动程序来打造内核级别的Rootkit可行性问题，也就是说，内核级Rootkit大门已经打开了一扇，为了打开另一扇，我们要解决的是“how to”的问题。并且，我们第一个必须解决的“how to”问题就是如何编写Windows设备驱动程序。