rootkit
文章平均质量分 57
Shevacoming
这个作者很懒,什么都没留下…
展开
-
内存欺骗rootkit的思路
无聊翻翻4年前的黑防,发现个蛋疼#rootkit#:给ethread的内存设置present bit,读取这块内存会引起page fault;dr0置为KiTrap0e; dr1置为KiTrap01; 硬件读断点;inline hook KiTrap0e; 对ethreat做内存欺骗; inline hook KiTrap01; 处理读的断点,原创 2012-05-12 15:45:55 · 1403 阅读 · 0 评论 -
patchGuard v2
算是对http://www.uninformed.org/?v=6&a=1&t=sumry 的一个中文摘要,理解还不一定全对PG2一些改动:cmp cs:KdDebuggerNotPresent, r12bjnz short continue_initialization_1infinite_loop_1:jmp short infinite_loop_1s原创 2012-07-25 01:19:02 · 3302 阅读 · 0 评论 -
搜狗浏览器网速保护 功能/漏洞/缺陷 分析
软件版本 2.2.0.1423驱动版本 1.0.0.9主要功能就是对耗流量的下载软件进行限速★.r0 挂钩TCPIP的handler 拦截发送包★.r0 hook NtMapViewOfSection 加载mswsock.dll时向r3中注入sogouipfilter.dll,将WSPStartup EAT hook至一段shellcode , 然后加载sogouipfil原创 2012-05-23 11:39:32 · 1920 阅读 · 0 评论 -
inline Hook IdePortStartIo+80 的奇怪驱动
原理类似机器狗,代码写的挺新鲜loadder.exe行为 NtSetSysteminformation加载驱动 c:\\cloud76.dll 驱动cloud76.dll 行为 摘掉IopFsNotifyChangeQueueHead队列原创 2012-06-06 23:15:06 · 1528 阅读 · 0 评论 -
[再mark] 系统注册的dpc,枚举定时器相关的……
续 http://hi.baidu.com/andriy_aolala/blog/item/7cff8a344b67d0a3d1a2d3d1.html刚没事儿又看了下~mark而已啊~ 1. ExpTimerDpcRoutine R3程序调用NtCreateTimer 创建句柄对应Etimer,etimer包含一个ktimer结构,最原创 2012-06-06 23:08:17 · 1459 阅读 · 0 评论 -
围观文件穿越操作
大概这么几个思路 1. 打开文件用IoCreateFile,其他比较好发irp的(比如删除操作)走FSD irp删除文件部分处理了删除正在运行的exe镜像部分,做法是方法是IAT Hook MmFlushImageSection但是这样对于独占文件依旧不能处理,只好等到关机回调的时候ZwClose一下在检验对于鬼影这种hook住微端口驱动的Star原创 2012-06-06 23:05:38 · 1228 阅读 · 0 评论 -
围观注册表穿越操作
看了国内部分几个内核注册表穿越的驱动,用来绕过市面上量最大的菜鸟rootkit们,因为只会勾SSDT就出来混的真的有很多啊…… 大概这么几个思路 1. 懒得处理,直接调用Zw***Key2. Map一份kernel.exe到内存中,按照内核基址重定位,把Nt***Key的部分拷贝到内存中,自己调用无SSDT/Inline hook的注册表原创 2012-06-06 23:05:18 · 1098 阅读 · 0 评论 -
和谐有爱的一个鬼影版本
启动代码比hello_tt那个简洁,驱动也是无花无壳,比较有爱适合抄袭~~(hello_tt的看雪上有源码~~) 驱动只支持atapi啊这样不好,还附赠一段插apc注入explorer什么的。。。 求教怎么在启动阶段快速抓出他的驱动啊。。我是用windbg在ZwCreateSection return false才抓出来的= = http://115原创 2012-06-06 23:07:08 · 926 阅读 · 0 评论 -
古老的隐藏rootkit思路,XT还没检测
天天看垃圾rootkit,看多了也成了臭皮匠= =循环 mov dr0,atapi!xxxxxxxhook KidebugR再学0 Access来个驱动感染这下没人管了(当然如果内存扫特征定位驱动文件+Winpe = = 介是高端用户啊。。。)自己写了一个试了一下,IO时有卡顿感是必须的老外几个月前就有一篇dr0的利用,用来内存欺骗的 。。。原创 2012-06-06 23:03:20 · 1100 阅读 · 0 评论 -
复习:cell 隐藏注册表
注册表隐藏的步骤如下:1。 打开指定名字的注册表键,获取其hkey. 例如:// 打开指定名字的KeyHANDLE OpenKeyByName(PCWSTR pwcsKeyName){ NTSTATUS status; UNICODE_STRING uKeyName; OBJECT_ATTRIBUTES oa;转载 2013-09-10 10:37:03 · 2121 阅读 · 0 评论