冰河暗涌防不勝防BIOS下實現的Telnet后門

冰河暗涌防不勝防BIOS下實現的Telnet后門

　　該項目僅為實驗性項目，主要目的是想隱藏一個Telnet后門在主板的BIOS內，并讓其隨著計算機系統及操作系統成功的運行起來。運行后能反向Telnet連接到指定的計算機接受控制。

　　項目涉及的相關知識及技術目錄

　　1、 實驗環境，使用bochs調試工具。

　　2、 刷新BIOS技術問題。

　　3、 代碼植入BIOS問題。

　　4、 源代碼相關技術問題：

　　A、如何編寫BIOS模塊(如：PCI、 ISA)。

　　B、實模式關于HOOK磁盤中斷的問題。

　　C、磁盤中斷中選擇再次HOOK的問題。

　　D、NT保護模式下設置物理地址映射。

　　E、NT保護模式下線性地址尋址問題。

　　BIOS模塊調試實驗環境采用Bochs

　　Bochs虛擬機可以調試BIOS及操作系統，Bochs使用主要是配置它的配置文件，我們以實例配置文件簡單講解，Bochs實驗調試等網上有很多相關文章，這里簡單講解。

　　我的配置實例：文件名xp.bxrc,修改后的及需要設置的內容如下：

　　######使用的系統BIOS模塊###### romimage: file=$BXSHARE/BIOS-bochs-latest ######使用的CPU 相關參數###### cpu: count=1, ips=10000000, reset_on_triple_fault=1 ######設置內存大小 ###### megs: 128 ######添加我們的BIOS模塊###### optromimage1: file=test.bin, address=0xd0000 ######使用的VGAROM模塊###### vgaromimage: file=$BXSHARE/VGABIOS-lgpl-latest ######設置虛擬機硬盤與光盤###### ata0-master: type=disk, path="c.img", mode=flat, cylinders=4161, heads=16, spt=63 #ata0-slave: type=cdrom, path="xp.iso", status=inserted ######設置引導設備 ###### boot: c #boot: cdrom, disk

　　Bochs調試加載配置文件方法：可以設置一個bat文件,如下內容：

　　set BXSHARE=d:\bochs

　　%BXSHARE%\bochsdbg.exe -q -f xp.bxrc

　　如何刷新各種BIOS問題

　　各種BIOS刷新相關工具早已在網上流傳，工具的使用這里不作介紹，IcLord的作者已經給出很多編程方法實現。這里簡單說下。

　　UniFlash開源項目我也詳細分析過，如果有必要我會給出UniFlash源代碼的詳解，該項目指出可以刷寫所有BIOS芯片，但是該項目刷新BIOS存在很多問題，絕大多數情況是無法刷新的我實驗過很多次，也嘗試修改他的代碼過很多次，沒找到原因。

　　Aword BIOS已經有通用的刷寫API調用，不管在NT下還是在實模式下，IcLord也作了講解。如果有時間我會給出實模式及NT下的刷寫源代碼及分析。

　　代碼植入BIOS問題

　　關于網上提及的，IcLord講到的我就不再做重復的分析。這里主要講下我們的模塊可以植入哪些地方以方便隱藏。以前的教程講過的方法存的問題分析。

　　一、 ISA模塊形式植入：這種方式只適合于較早的計算機，因為目前的計算機系統BIOS是不會加載ISA模塊的。故只能做實驗調試用的方法。

　　二、 PCI模塊形式植入：該方法雖然系統BIOS都要加載PCI ROM，但是系統BIOS只加載實際存在的PCI卡的ROM模塊。而且通常BIOS設置中可以

　　關閉相應的ROM啟動。

　　三、 HOOK BootBlock或者說要啟動的模塊：該方法當然我認為是最有效的，但是又存在很多技術上的難題。檢驗和問題，不同BIOS的結構問題，過早的HOOK還存在再次獲取CPU運行機會問題等等。

　　本人實驗過以上提及的所有方法，我認為HOOK PCI、VGA及相關啟動模塊是比較可尋的辦法。為什么?一般這類的ROM模塊是必須啟動的，而且調試發現一般它的ROM本身代碼用不完自身設置的大小，我們可以借助剩余大小隱藏我們的代碼。例如：集成顯卡會把顯卡ROM集成到系統BIOS模塊中，我們可以對該模塊進行HOOK，修改ROM頭部的跳轉指令，跳到我們的代碼開始處執行，我們的代碼執行完后跳轉到它的代碼開始處執行。

　　如何編寫BIOS模塊

　　BIOS是分模塊組合在一起的。這里對PCI及ISA模塊作下簡單分析，VGA模塊跟PCI模塊幾乎一樣。模塊主要是頭部有個規范，該規范適合所有BIOS系統。具體可以參看《PCI系統結構》及其他書籍。

　　源代碼實例可以參看國外ROMOS開源項目，該開源項目的思想很值得學習。該項目講解了如何在BIOS中嵌入一個小型DOS，如：FreeDos。采用了把整個DOS系統盤鏡像植入BIOS中，跟早期的PXE引導DOS機制類似，然后HOOK磁盤中斷，模擬DOS系統盤鏡像出一個盤，源代碼編譯后只有900多字節。這種思想在早期還是很值得學習的。

　　實模式關于HOOK磁盤中斷問題

　　很早前就有業界內人士發貼問，為什么在我的ROM模塊中HOOK磁盤中斷會失敗呢?關于這個問題現在目前網上已經有人作出過回答，國外的開源項目在2003年我都看到過。

　　由于我們的ROM模塊過早的運行，可能運行在磁盤服務前面了，這時如果HOOK Int 13h會因為BIOS加載磁盤服務時重寫Int 13h IVT值，故我們設法HOOK其他服務，這個服務要求較早被BIOS安裝且不會再次修改且加載操作系統前調用，最佳的這個服務選擇就是int 18h、int19h服務。可以參看

　　BIOS源代碼，也可以參看PXE SDK說明文檔略有講過。

　　我們的磁盤服務代碼建議放在實模式高端內存，通過BIOS數據區域可修改，內存40:13,即物理地址413h處的值。降低常規內存值，高端的內存就留給我們用。我們的保護模式下運行的代碼建議也放在這段內存，且要求放在以頁基址開始的內存中，以便后面代碼的頁映射我們的保護模式代碼物理頁。頁基址：內存物理頁地地址開始的低12位為零，參看《80386保護模式教程》。

　　若我們的代碼直接在內存的ROM映射區內，可能導致在NT下訪問不到我們的代碼，因為NT內核加載程序ntldr可能不會映射該段內存，甚至可能BIOS在使用后都會關閉ROM區域這段內存，而且ROM區域這段內存在初始化后被系統BIOS設置成只讀不能寫。當然我們可以采取用int 15h服務對ROM區域這段內存映射。

　　當然也可以在NT啟動過程中，在我們的磁盤服務中對想映射的內存都映射。由于代碼大小的限制，故有些沒必要的代碼。盡量不使用了。

　　磁盤中斷服務中再次HOOK問題

　　為了使我們的程序再次獲得CPU運行機會，我們不得不得再次設法。調試發現NTLDR進入保護模式后在加載NT內核文件時，會切換CPU到實模式調用Int 13H服務進行磁盤讀。

　　我們掛接磁盤服務就是為了截取NTLDR的讀操作，這里我們可以HOOK 或者修改NTLDR另一部分OsLoader的代碼，跳轉到我們的代碼執行。當然也可以直接HOOK ntosknrl導出的服務，參看我在2008.4.1發布的“程序從DOS/BIOS駐留內存到WINNT下監視內存數據”。

　　注意，HOOK OsLoader的代碼時選擇HOOK指令問題，由于NTLDR切換到實模式讀取數據，讀完后會在保護模式下搬移數據到規劃位置，進行內核的安裝。故HOOK時選擇HOOK指令就選擇FFh/15h:使用CALL NEAR [OFS32]指令進行，該指令尋址采用絕對地址，類似指令也可以。

　　當然我們的代碼再次運行就會運行在OsLoader代碼被我們HOOK處，調用我我們的代碼執行，這時我們的代碼運行環境：DS = ES = 10h保護模式段，內存模式: FLAT。在這里我們可以通過掃描_BlLoaderData數據結構，獲取NTOSKRNL鏡像基址。

　　可以通過PE搜索NTOSKRNL導出的API，可以參看網上相關教程。現在再次HOOK NTOSKRNL導出函數KeAddSystemServiceTable，HOOK該函數

　　可以截獲win32k.sys添加它自己的服務，以便我們再再次HOOk win32.sys導出函數NtUserRegisterClassExWOW。HOOK該函數可以截取所有應用層程序注冊窗口類，以便我們再再再次HOOK窗口類過程。這時我們的代碼就運行在NT的應用層模式下。

　　NT保護模式下設置物理地址映射

　　先看一個WinDbg實例關于在我們的磁盤服務中獲取CR3值修改頁映射的分析，以前我的分析內容：

　　NT內核被加載高端的2GB內存(80000000h~0ffffffffh)。參看NT內存安排.. a、win2k adv ser: WINDBG 看到 NT Kernel base = 0x80400000 也就是NTOSKRNL.exe加載位置 kd> r @cr3 ;斷點位置在NTOSKRNL.exe里現在還沒有應用程序故低端內存還未使用 cr3=00030000 ;-> 頁目錄表所在物理頁(物理地址30000h) kd> d 80030000 80030800 ;看頁目錄發現現在低端2GB(0~80000000h)還未分配 80030000 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ 80030010 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ 80030020 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ kd> d 80030800 ;看高端開始分配情況頁表(80000000h開始的分配情況) 80030800 63 21 03 00 63 41 03 00-63 51 03 00 63 31 03 00 c!..cA..cQ..c1.. 80030810 63 11 7c 00 63 21 7c 00-63 31 7c 00 63 41 7c 00 c.|.c!|.c1|.cA|. 80030820 63 51 7c 00 63 61 7c 00-63 71 7c 00 63 81 7c 00 cQ|.ca|.cq|.c.|. ;實例1:看80400000h(NT Kernel base),這個線性地址到物理地址映射情況. ;線性地址最高10位頁目錄項(每項占4Byte):80400000h最高10位=201h. ;在頁目表位置:201h*4=804h 在內存地址=[cr3]+804h..具體看保護模式教程 kd> d 80030000+804 ;看在頁目錄表位置的值 80030804 63 41 03 00 63 51 03 00-63 31 03 00 63 11 7c 00 cA..cQ..c1..c.|. ;二級頁表所在物理頁地址:63 41 03 00轉換下34163h,物理頁地址:34000h,163h是頁屬性. kd> d 80034000 ;看在頁表的值 80034000 63 01 40 00 63 11 40 00-63 21 40 00 63 31 40 00 c.@.c.@.c!@.c1@. ;物理地址基址：63 01 40 00轉換下400163h,#物理地址基址#:400000h,163h是頁屬性 ;最后發現物理地址基址(頁地址)在400000h..觀察物理地址400000h是NTOSKRNL.exe映像. kd> d 80400000 ;觀察物理地址400000h 80400000 4d 5a 90 00 03 00 00 00-04 00 00 00 ff ff 00 00 MZ.............. 80400010 b8 00 00 00 00 00 00 00-40 00 00 00 00 00 00 00 ........@....... ;實例2:看我們代碼映射情況我們代碼在物理地址:9e000h從線性地址8009e000h分析映射情況 ;8009e000h在頁目錄位置最高10位=200h*4,在內存地址=[CR3]+200h*4... kd> d 80030000+200*4 80030800 63 21 03 00 63 41 03 00-63 51 03 00 63 31 03 00 c!..cA..cQ..c1.. ;二級頁表對應物理地址:63 21 03 00轉換下物理頁基址=32000h ,163是頁屬性 ;8009e000h所在二級頁表位置:32000h+9eh*4(8009e000h線性地址12~22的位)... kd> d 80032000 + 9e *4 80032278 23 e1 09 00 03 f1 09 00-03 01 0a 00 03 11 0a 00 #............... ;物理地址基址(頁基址):23 e1 09 00轉換下09e000h,123是頁屬性.. ;#實例3:Windows運行起后用的頁目錄表線性地址:0c0000000h映射到物理地址情況. kd> d 80030000 + c00 ;計算略.頁目錄表位置,觀察發現指向自己的... 80030c00 67 00 03 00 63 00 f0 17-00 00 00 00 63 31 a9 02 g...c.......c1.. b、winXP: WINDBG 看到 Kernel base = 0x804d8000 PsLoadedModuleList = 0x8055b420 kd> r @cr3 ;斷點位置在NTOSKRNL.exe里現在還沒有應用程序故低端內存還未使用 cr3=00039000 ;-> 頁目錄表所在物理頁(頁目錄物理地址30000h) kd> d 80039000 80039800 ;看頁目錄發現現在低端2GB(0~80000000h)還未分配 80039000 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ kd> d 80039800 ;看高端開始分配情況頁表(80000000h開始的分配情況) 80039800 e9 b9 00 f6 06 a1 08 10-75 1b f6 06 a3 08 10 75 ........u......u ;實例1:看我們代碼映射情況我們代碼在物理地址:9e000h從線性地址8009e000h分析映射情況 ;8009e000h在頁目錄位置最高10位=200h*4,在內存地址=[CR3]+200h*4... kd> d 80039000+200*4 80039800 63 b1 03 00 e3 01 40 00-63 e1 03 00 e3 01 00 01 c.....@.c....... ;二級頁表對應物理地址:63 b1 03 00轉換下物理頁基址=3b000h ,163是頁屬性 ;8009e000h所在二級頁表位置:3b000h+9eh*4(8009e000h線性地址12~22的位)... kd> d 8003b000 + 9e *4 8003b278 03 e1 09 00 03 f1 09 00-03 01 0a 00 03 11 0a 00 ................ ;物理地址基址(頁基址):03 e1 09 00轉換下09e000h,103是頁屬性.. ---------> ;*#實例2:手工修改分頁讓物理地址映射到線性地址,WINXP.80000000h BIOS/DOS向量區沒映射.#* kd> d 80000000 ;可看到現在沒映射的情況,無法通過線性地址訪問. 80000000 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ???????????????? 80000010 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ???????????????? ;80000000h的最高10位確定在頁目錄表位置=200h*4=800h.在頁目錄物理地址:[cr3]+800h kd> d 80039000+200*4;可發現二級頁表已映射(63b10300)頁屬性163.物理地址(頁)3b000h 80039800 63 b1 03 00 e3 01 40 00-63 e1 03 00 e3 01 00 01 c.....@.c....... ;80000000h的12~22位次高10位確定在二級頁表位置:物理地址3b000h+0*4 kd> d 8003b000;觀察發現確實沒映射.全0.注意：一個頁項占4字節... 8003b000 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ ;修改成讓它對應物理地址:000就可以,只修改允許訪問就可以.也就是byte ptr [8003b000]=63 kd> e 8003b000 63 kd> d 8003b000 ;修改成功 8003b000 63 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 c............... ;觀察修改后的情況.;注意：要想設置生效.讓WINDBG執行下G.讓0C0000000等cr3被改等.. kd> g ;讓系統自動刷新TLB等寄存器.... kd> d 80000000 80000000 53 ff 00 f0 53 ff 00 f0-c3 e2 00 f0 53 ff 00 f0 S...S.......S... ;#實例3:Windows運行起后用的頁目錄表線性地址:0c0000000h映射到物理地址情況. kd> d 80039000 + c00 ;計算略.頁目錄表位置,觀察發現指向自己的... 80039c00 67 90 03 00 63 00 f0 0f-00 00 00 00 63 31 e2 01 g...c.......c1.. c、分析以上總結:發現最開始獲取的cr3值一直在用。 故我們修改頁項的效果會在windows運行后也生效通過以上的實例分析可以看出NT系統的頁映射情況。 進入保護模式之后這個CR3的值也就是頁目錄表位置被映射到了虛擬地址0c0000000h。 上面調試的實例頁目錄表地址就可以直接使用這個虛地址。

　　例如：在我們的代碼中把我們的代碼拷貝到SharedUserData空間未使用處去，就使用了頁映射代碼，直接修改第一個頁指向的物理頁，就是我們代碼所在的物理頁。

　　NT保護模式下線性地址尋址問題

　　關于我們的代碼進入保護模式以后，所有指令的尋址問題，這里作一下分析。當我們代碼第一個在保護模式下執行的指令，是前面提到的磁盤服務中對OsLoader的代碼進入HOOK，也提到了采用什么樣的HOOK指令以便尋址。

　　接哪之后，我們的代碼就開始運行在保護模式未分頁情況下，我們采取的方法是把我們的代碼拷貝到SharedUserData空間未使用處，涉及到拷貝的指令也必須運行在保護模式分頁下，因為SharedUserData空間是一個虛地址。

　　在這里我們采用了把我們的拷貝代碼指令搬移到NTOSKRNL鏡像的MZ與PE之間的區域，設置HOOK NTOSKRNL導出函數KeAddSystemServiceTable首先跳轉到拷貝指令執行，HOOK NTOSKRNL導出函數KeAddSystemServiceTable采用相對跳轉指令它們在同一個空間。

　　當我們的拷貝指令把我們的代碼拷貝到SharedUserData空間未使用處之后，我們的代碼就有一個固定的虛地址，所有后續指令都可以采用這個虛地址進行尋址。