微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » FSD INLINE HOOK-流氓的终极招数  

作者:
标题: FSD INLINE HOOK-流氓的终极招数
snhao
银牌会员




积分 1791
发帖 1782
注册 2007-6-12
#1  FSD INLINE HOOK-流氓的终极招数

FSD INLINE HOOK-流氓的终极招数



     最近,一个叫“FSD INLINE HOOK”的名词常常被提到,而且多数时候是和病毒、流氓软件一起被提到。很多朋友搞不清楚,究竟什么是“FSD INLINE HOOK”呢?笔者就来详细介绍一下这个东东。

  一、先讲讲车匪路霸

  在讲FSD INLINE HOOK之前,先来看看“车匪路霸”。所谓“车匪路霸”,就是在某条路上设一个点,对每个经过的车辆都“打劫一番”,“此路是我开,要过就留下买路钱”。甚至有时候他们打劫了你,还不放人过去,而让你原路折回。

  当然,还有一些车匪路霸更恐怖——他们直接将路截断,然后把路的开口处挖出一条经过自己设置的收费站的小道,然后在收费站的出口处再回到你应该走的大路上。你想到达目的地,必须先去绕小道去缴费,否则你无法到达目的地。

  二、FSD INLINE HOOK是最狠的车匪路霸

  HOOK就是操作系统中的“车匪路霸”,它最常用的手段就是进行数据过滤,跟要你“留下买路钱”一样。而FSD INLINE HOOK更狠,它使用更加特殊的手段,让程序以非正常流程运行,从而达到数据过滤的目的,就像上面描述的后面一种车匪路霸。

  那么,到底FSD INLINE HOOK狠在哪里呢?

  其一,它的隐蔽性非常高,非专业人士很难发现它的存在。也就是说,这是一个非常具有“反侦破能力”的“车匪路霸”。本来程序员是可以用一种叫“FSD Filter Driver”(文件系统过滤驱动)的专用接口来代替它的,但正是因为这一接口容易被发现、饶过甚至是被摘除掉,所以他们才使用FSD INLINE HOOK的。

  小提示:

  FSD Filter Driver是正常软件常用的技术,例如杀毒软件、文件加密、数据备份软件等。由于这些软件也会对系统进行一些底层操作,所以难免会用到这样的技术。这就跟公路上有“车匪路霸”,也有正规的“收费站”一样,同样是“收买路钱”,但一个是正当、有序的,一个却是乱来的。

  其二,它的稳定性差、危险性高。FSD INLINE HOOK对操作系统硬件平台、系统文件具有高度的依赖性,使得其异常危险。如果系统稍有变化可能就导致不兼容,使程序无法运行甚至直接导致系统崩溃(蓝屏)。在开发人员看来,这叫“稍错一个bit都会导致系统bsod(Blue Screen Of Death)。”

  正是由于FSD INLINE HOOK狠,流氓软件开发者就很喜欢它。我们总结这两点可以看出,前一点是针对那些反流氓软件的——隐蔽性强就意味着查杀起来相当困难;而后一点则是针对用户电脑的——如果你的系统发生一些变化,系统就会出现问题,甚至是蓝屏死机,这对用户的危害极大。

  三、车匪路霸和它的同伙

  前面我们提了FSD INLINE HOOK,它具有隐蔽、手段狠毒、不稳定等特点,属于“黑社会性质”的车匪路霸。实际上它还有一个“同伙”,叫“函数地址替换”,不过这个显然比较温柔些,更安全,不容易引起BSOD。这个“函数地址替换”是流氓软件经常用到的方法,很多大家很熟悉的流氓软件都用到了这一技术。

  对比这两种技术,两者都可以改变用户的初衷,都不是“好鸟”,但他们还是有区别的:“函数地址替换”的隐蔽性比较差,它是一个函数组,任何人都可以用正常手段访问它,所以很容易就被检测工具检测出来了;而FSD INLINE HOOK则纯粹是一个非常危险的东西了,而且非常隐蔽。目前应用了FSD INLINE HOOK技术的流氓软件非常少,而用到这一技术的病毒倒是挺多。

  小提示:

  由于微软并没有对外公布FSD INLINE HOOK技术的任何接口文档说明,并明确告知开发者使用正规编程接口,因此,FSD INLINE HOOK很少被用在商业软件中,国内尚未有任何一款商业软件使用此技术。使用这种技术的多数都是病毒、木马、Rootkit程序等恶意软件,如MM@Rootkit.Drop.gyI-Worm@MM.Trojan.Downloader.zp等。

※ ※ ※ 本文纯属【snhao】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

东方微点论坛
2009-6-11 10:25
查看资料  发短消息   编辑帖子
snhao
银牌会员




积分 1791
发帖 1782
注册 2007-6-12
#2  

我听人说微点居然使用了这种技术。

※ ※ ※ 本文纯属【snhao】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

东方微点论坛
2009-6-11 10:26
查看资料  发短消息   编辑帖子
her_1978
注册用户




积分 175
发帖 175
注册 2008-12-1
#3  

看看

※ ※ ※ 本文纯属【her_1978】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-6-11 11:16
查看资料  发送邮件  发短消息   编辑帖子
jaber
版主

使用与技巧区版主


积分 2861
发帖 2835
注册 2006-6-6
#4  

刀可以切菜切肉也可以拿去杀人,不能因为这个东西可以做坏事,就把他的优势给否定了吧。如果这个东西只有坏处那微软也不会开发这个东西了。hoho

个人见解。

※ ※ ※ 本文纯属【jaber】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

XP2(原版未打补丁)
单独微点预升级

2009-6-11 11:35
查看资料  发送邮件  发短消息   编辑帖子
IRonMarshal
新手上路




积分 49
发帖 49
注册 2009-1-3
#5  

没错~~水能载舟亦能覆舟~~~

※ ※ ※ 本文纯属【IRonMarshal】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-6-12 20:53
查看资料  发送邮件  发短消息   编辑帖子
mamsds
银牌会员




积分 1373
发帖 1360
注册 2008-3-15
来自 乌克兰
#6  

对!

※ ※ ※ 本文纯属【mamsds】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

Vi Veri Veniversum Vivus Vici.
2009-6-12 21:15
查看资料  发送邮件  发短消息  QQ   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号