１ Ｉ ｋ Ａ Ｈ ｏ 系统一般框架 Ｐ ｏ
一个 Ａ Ｉ ｏ 主要山两个模块组成：钩子服务器（ ｏ ｋ Ｐ Ｈ ｋ ｏ Ｈｏ Ｓｒ ｒ ｅ ｅ 模块，一般为 Ｅ Ｅ ｖ） Ｘ 的形式；钩子驱动器（ｏｋ ｖｒ Ｈ ｏ Ｄｉ ） ｒｅ 模块，一般为Ｄ Ｌ Ｌ 的形式。钩子服务器主要负责向目 标进程 注人钩子驱动器，使得钩子驱动器运行在目 标进程的地址空 间，而钩子驱动器则负责实际的Ａ Ｉ Ｐ拦截处理工作，实现我 们期望的功能。上 述关于Ａ Ｉ ｋ Ｐ Ｈ ｏ 的两个部分， ｏ 分别涉及两 项关键技术的实现： Ｌ Ｄ Ｌ注人技术和Ａ Ｉ Ｐ 拦截技术。
２１利用注册表注入 Ｄ Ｌ ． Ｌ
当准备拦截的目 标进程连接 ｆ ｅ３． ｌ Ｕ ｒ２ ｌ ｓ ｄ ，也即使用了
个生命周期内的 Ａ Ｉ Ｐ 调用情况进行监控，用这种方法会遗翻
某些 Ａ Ｉ Ｐ 的调用 。
２ ． ３远程线程技术
远程线程技术指的是通过Ｃｅｅｅ ｏ Ｔｒｄ ｒ ｔ ｍ ｔ ｈ ａ在另一个 ａＲ ｅ ｅ
远程进程的内存空间
ｉｅｕｎ ｄ ＝ ｉ Ｐｏｅｓ ｍ ｒ（Ｒ ｍ ｔＰｏｅｓ ｏ ｅ Ｗｒｅ ｒｃｓＭｅ ｏｙ ｅ ｏｅ ｃｓ， 被保护的 Ｄ Ｌ文件被篡改（ Ｒ ｔｒＣ ｔ ｈ ｒ Ｌ 数字签名技术） ，它就会自动从 ｐｚ ｉ ｉＲ ｍ ｔ（Ｖ Ｉ ）ｓ ｉ ｉＮ ｍ ， ，Ｕ Ｌ； ｓ ｂ ｌ ｅ ｏ ， ＯＤ ｐｚ ｂ ｌ ａ ｅ ｂ Ｌ ） Ｌ Ｆｅ ｅＰ Ｌ Ｆｅ ｃＮ ｄｃｃｅ 恢复这个文件。 ｌａｈｌ ｌ 卜 虽然说有方法可以绕过Ｄ Ｌ Ｌ 保护（ 例
பைடு நூலகம்
ｓ 要是 程， 以 要申 足 的 限ＰＯＥＳ ＡＥ ＨＥＤ 制— 内核级的拦截和用户级的拦截。内核级的钩子 ｉ 所 需 请 够 权 （ ＣＳ ＣＥＴ＿ ＲＡ ， Ｒ Ｒ Ｔ ’ 然后， ｏｄ ｉ ａ Ｗ 这个线程来启动我们的 Ｄ Ｌ 建立Ｌ ａＬｂ ｒ ｒｙ Ｌ ， 任何细节，不在本文的探讨范围之内。而用厂级的钩子则通 Ｌ 中实现整个Ａ Ｉ Ｐ的拦截工作， 。 般有以 下 ＬａＬ ｒ Ｗ函数是在ｋｒ ｌ ．Ｉ ｏｄｉａ ｂｒ ｙ ｅ ｅ ２ ｌ ｎ ３ ｄ 中定义的， 用来加载Ｄ Ｌ 常是在普通的Ｄ Ｌ Ｌ
／ ｄｉａ Ｗ的入ｕ 计算ＬａＬ ｒ ｏ ｂｒ ｙ 地址
Ｐ ＨＲ ＡＤ Ｓ ＡＲ ＿ ＯＵＴ ＮＥ ｆ Ｓ ａｔ ｄ ＝ ＿ Ｔ Ｔ Ｒ Ｔ Ｅ Ｉ ｐ ｎ ｔｒＡｄ ｒ
（Ｔ Ｒ Ａ ＿ Ａ Ｔ Ｒ Ｔ Ｎ ） Ｐ Ｈ Ｅ Ｄ Ｓ Ｒ ＿ ＯＵ Ｉ Ｅ Ｔ
如先更改ｄｃｃｅ 录，的备份再修改 Ｄ Ｌ ｌａｈ 目 卜 ｌ Ｌ 文件、或者利用 Ｋｏ ｎ Ｌ ｓ ｎｗ Ｄ Ｌ 键值更改Ｄ Ｌ的默认启动路径等） Ｌ ，但是可以顶
ｗｏｋｌｄ）木马Ｄ Ｌ ｓ ｏ ．ｌ ｃ ｄ ｌ。 Ｌ 遇到不认识的调用， 使用函数转发器
码并处理。 前对于 日 特洛伊Ｄ Ｌ Ｌ 技术， 微软已有防范 Ｗｉ Ｋ ｎ ２ 的ｓ ｔ ３ 口 ｙｅ ２ 录下设ｉ ａ ｅ 录， ｓｍ Ｙ ｌ ｃ 口 这个口 ｄｃ ｈ ｌ 录中存放着 大量
的Ｄ Ｌ Ｌ 文件（ 也包括 ・ 峡重要的ｅｅ ｘ文件） 。 操作系统发现 ， 城
数（ ｅ ｎｏ ｓｏｋｘ 在Ｓｔ ｄｗＨ ｏＥ 的参数中指定） Ｗｉ 能够对此消息进行适
享， 必须把它存储在一个共享的数据仄域。 Ｃ ＋ 在Ｖ ＋ 中我们可 以采用预编译指令＃ｒ ｍ ｄｔ ｓ 在Ｄ Ｌ ＃ ａ ａ ｅ Ｌ 文件中创建一个新 ｐｇ ａ ｇ ａ 的段， 并在Ｄ Ｆ Ｅ 文件中把该段的属性设置为” ａ ｄ， ｓ ｒ ＂ 这样就 ｈｅ
＼ｐＩｔ Ｌ 键值中定义钩ｆ Ａ ｐ ｉＤ ｓ ｎ Ｌ 驱动器。 该键值标识的Ｄ Ｌ Ｌ将 在符合条件的应用程序启动时自 动加载。这是Ｗｉ ｏ ｓ ｎ ｗ 操作 保护） ｄ 系统内建的机制。 这种注人方式存在的缺点是： 仅适用于Ｎ ／ Ｔ ｈｅ ｏ Ｐ ｃｓ Ｏ ｅＰ ｃｓＰ Ｃ Ｓ Ｃ Ａ ＥＴ Ｒ Ａ ｏｅ ＝ ｐｎｒ ｅ （ Ｏ Ｅ Ｓ Ｅ Ｔ ＿ Ｈ Ｅ Ｒｍ ｔ ｒ ｓ ｅ ｏ ｓＲ Ｒ ２ Ｋ操作系统；如果需要激活或停止钩子的注人，只有重新启 Ｄ／ Ｉ ／ 允许远程创建线程 Ｐ Ｏ Ｅ Ｓ Ｍ Ｐ Ｒ ＴＯ Ｉ Ｒ Ｃ Ｓ一 － Ｅ Ａ ＩＮ Ｏ ／ ／ 允许远
见，未来微软必将更加小心地保护币要的Ｄ Ｌ Ｌ 文件。
Ｇ ｔｒｃ ｄｅｓ ｅ ｄｒｓ Ｇ ｔ ｄｌ ａｄ （Ｅ Ｔ＂ ｅ ｅ ２） ｅ ｏＡ Ｐ （ Ｍｏｕ Ｈ ｎ ｌ Ｔ Ｘ （ ｒ ｌ ） ｅ ｅ Ｋ ｎ ３＂ ， ０ｏｄ ｉ ａ Ｗ＂ Ｌ ａＬｂ ｒ ） ｒｙ ；
３ 改写执行代码 ． ２
文作，它 只存一 参数： Ｌ 文件 对路径名ｐｚｉ ｉ 儿种方法。 个 Ｄ Ｌ 的绝 ｓ ｂ ｌ Ｌ Ｆｅ
Ｎｍ （ ａｅ 也就是Ｄ Ｌ Ｌ 的全路径文件名） 由于Ｄ Ｌ 。 Ｌ 是在远程进程 内调用的， 所以首先还需要将这个文件名复制到远程地址空 间：否则远程线程读不到这个参数） （ ／ Ｌ 计算 Ｄ 路径名需要的内存空间 Ｌ
件，替换原来的 ｗ ｏ ｋ ２ｄＩ ｓｃ ３ ．Ｉ将原先的 Ｄ Ｌ文件贡命名为 （ Ｌ
／ ｕｌｌｃ、 使用Ｖｒａ ｌ Ｅ 函数在远程进程的内存地址空间分 ｌ Ａｏ ｔ
配Ｄ Ｌ Ｌ 文件名缓冲区
ＮＵＬ ， ， Ｍ＿ ＭＭＩ ， ＧＥ Ｒ ＡＤ Ｌｃ ＭＥ Ｃ ｂ Ｏ ＴＰ Ａ ＿ Ｅ ＷＲ Ｔ ） ＩＥ ；
ｉ ｃ＝１ ｓｌ Ｗ（ｓ ｂ ｌ ａ ｅ ＊ｉ ｏ（ Ｉｒ ｎ ｐｚ ｉ ｉＮ ｍ ） ｓ ｅｆ Ｈ Ｒ ； ｎ ｂ （ ｔｅ ｔ ＋ Ｌ Ｆｅ ） ｚ ＷＣ Ａ ）
３ ． １代理Ｄ Ｌ特洛伊木马） Ｌ（
特洛伊Ｄ 的工作原理是使用木马Ｄ Ｌ Ｌ Ｌ Ｌ 替换常用的Ｄ Ｌ Ｌ
文件， 通过函数转发器将正 常的调用转发给原Ｄ Ｌ 截获并 Ｌ， 处理特定的消息。 譬如， 我们知道ＷＩＤ ＷＳ ｏ ｅ ． Ｎ Ｏ 的Ｓｃ ｔｘ ｋ ｌ的 函数存放在ｗｏｋ２ １ｉ 我们另写 一 ｓ ｋ２ ｌ Ｉ ｓ ３．１ ｃ ｄ Ｂ， ｔ 个ｗｏ ３．ｌ 文 ｃ ｄ 木Ｉ
网萝 旦全 技木与应用 ２ ６ １ 苦 ０． ０１
万方数据
由于 后面需要写入远程进程的内存地址空间并建立 远程线
Ｖ Ｏ Ｅ Ａ Ｉ Ｎ， ＷＲＴ ） Ｍ＿ Ｒ ＴＯ Ｐ Ｖ Ｍ＿ ＩＥ 。
在Ａ Ｉ ｋ ｏ 应用的系统级别方面， ＰＨ ｏ 有两类Ａ Ｉ Ｐ拦截的机 通过一个内核模式的驭动程序来实现，能捕捉到系统活动的
的（ ： 属Ｊ 内核模块） ，所以这个人口地址同样适用于远程进程。
最后， 我们通过建立远程线程时的地址ｐ Ｓ ｒ ｄｒ ｆ ｔｔ ｄ 实 ｎ ａＡ （
际上就是ＬａＬｂ ｒ ｏｄ ｉａ Ｗ的入口地址） ｒｙ 和传递的参数ｐｚｉ ｉ ｓ ｂｌ Ｌ Ｆｅ 到原先的Ａ Ｉ Ｐ 函数的地址，然后把该函数开始的几个字 省 用 Ｒ ｍ ｔ我们复制到远程进程内存空间的木马Ｄ Ｌ ｅ ｏ（ ｅ Ｌ 的全路径文 ｉ 指令代替，从而使得对该 Ａ Ｉ ｍｐ Ｐ 函数的调用能够转向我们 件名） 在远程进程内启动钩子驱动器 Ｄ Ｌ： Ｌ 自定义的函数调用。 ／ １ 启动远程线程ＬａＬ ｒｙ 通过远程线程调用用户 ｏｄｉａ Ｗ， ｂｒ ３ 改写Ｐ ． ３ Ｅ文件的输人地址表 的Ｄ Ｌ Ｌ 文件 Ｐ 文件的结构如图２ Ｅ 所示。 开始是 ・ Ｏ 程序， 段Ｄ Ｓ 当你 ｈ ｅ ｏ Ｔ ｒ ｄＣｅ ｅ ｍ ｔ ｈ ａ（ ｅ ｏ Ｐｏ ｓ／ ｈ ａ＝ ｒ ｔ ｅ ｏ Ｔ ｒ ｄ Ｒ ｍ ｔ ｒ ｅｓ 被 Ｒｍ ｔ ｅ ｅ ａＲ ｅ ｅ ｈ ｅ ｃ ， ／ 的程序在不支持Ｗｉ ｏ ｓ ｎ ｗ 的环境中运行时，它会显示警告语 ｄ
动Ｗｉ ｏ ｓ 不能用此方法向没有使用Ｕｅ ２ ｌ ｎ ｗ； ｄ ｓ ３．ｌ ｒ ｄ 的应用程序
注入 Ｄ Ｌ Ｌ ，例如控制台应用程序等；钩 子 驱动器Ｄ Ｌ将注人 Ｌ 程Ｖ Ｍ操作 Ｐ Ｏ Ｅ ＳＶ ＷＲＴ ， 允许远程Ｖ ＿ ＿ ＩＥ／ Ｒ ＣＳ Ｍ Ｍ写
Ｆ Ｌ Ｅｄ Ｒ ｍｏｅ ｏｅｓ ； ｗ ｅ ｔ ｒｃｓｌ） Ａ Ｓ， Ｐ ｄ
Ａ Ｉ ｋ Ｐ Ｈ ｏ 关键技术解析 ｏ
刘克胜 王忠寿
解放军电子 〔 程学院网络 〔 程系信息安全教研室 安徽 ２０３ ３０７
摘要：本文分析了Ａ Ｉ ｋ Ｐ Ｈ ｏ 系统的实现结构和系统涉及的 Ｄ Ｌ注人和Ａ Ｉ ｏ Ｌ Ｐ 拦截两项关键技术的多种实现途径，并结合 应用给出了编程实现的方法。 关键词：Ａ Ｉ Ｋ；关键技术；解析 Ｐ Ｈ Ｏ Ｏ
有许多拦截的方法是基 于可执行代码的改写，第 ‘ 种方
说 面计算 明一卜 ，卜 的其实是本进程内ＬａＬ ｒ Ｗ的 ｏ ｉａ ｄ ｂｒ ｙ
人口 地址， 批由于ｋｒ ｌｌ ｅ ｅｄ 模块在所有进程内的地址都是相同 ｎ ．ｌ
法是改变在 Ｃ Ｌ 指令中使用的函数地址。它的从本思路是 ＡＬ 检索出日 标进程需要拦截的 Ａ Ｉ Ａ Ｌ Ｐ 的Ｃ Ｌ 指令，然后把原先 的地址改成为我们在钩 子 驱动器中提供的函数地址。第二种 方法就是常用的 ｉ Ｘ Ｘ的方法。 ｌ ｍｐ Ｘ ： 要的实现步骤是先找
ｐｚｉ ｉ ｅ ｏ ＝Ｐ Ｒ Ｖｒａ ｌ Ｅ （ ｅ ｏ Ｐ ｃｓ Ｒｍ ｔ （ Ｔ ） ｕｌｌｃｘ Ｒｍ ｔ ｒ ｅｓ ｆ ｗ ｒ交给ｗｏｋｌｄ ；遇到特殊的请求（ ｓ ｂｌ Ｌ Ｆｅ ｅ ＷＳ ｉ Ａｏ ｈ ｔ ｅｏ ， ｏ ａ ｒ ｄ ｓｃｏ ．ｌ ｄｌ 事先约定的） 就解
／ ｔ ｒ ｅ Ｍ ｍ ｒ函数将Ｄ Ｌ 使用Ｗｒ Ｐ ｃ ｓ ｅ ｏ ｉ ｏｓ ｅ ｙ Ｌ 的路径名复制到
０ 引言
Ａ Ｉ ｋ是 项实川的ＷＩＤ ＷＳ 一 ＰＨ ｏ ｏ Ｎ Ｏ 系统编程技术，应
用领域十分广泛。Ａ １ ｋ Ｐ Ｈ ｏ 通过对应用程序内存映像Ａ Ｉ ｏ Ｐ调 用的重定向，改变应用程序流程，从而实现对 Ａ Ｉ Ｐ 函数调用 的监视和控制。
２ ． ２建众 系统范围的Ｗｉ ｏ ｓ ｎ ｗ 钩子 ｄ
建立了一个共享数据段。