R77 RootKit原代码分析

最新推荐文章于 2025-04-03 09:59:25 发布
最新推荐文章于 2025-04-03 09:59:25 发布
阅读量438 收藏 7
点赞数 5
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_77759960/article/details/143838768
版权

Install

其中,GetPowershellCommand()函数经过封装,首先会通过创建委托,覆写AmsiScanBuffer来绕过Windows操作系统的AMSI反恶意软件扫描接口;之后会通过StrCatW函数,将stager相关命令行指令进行拼接,从注册表中取出并执行。

Stager

其中,UnhookDll是用于解除目标dll的钩子的函数,主要通过将目标dll的.text(代码部分)进行复原,从而解除原来dll中可能带有的钩子。

SetValue用于将R77 32/64.dll写入注册表中,等待调用。

其中,VirtualProtect函数用于更改当前进程地址空间中某个区域的内存保护属性,这里是将(long)dll + virtualAddress处的保护属性进行了修改,并在下面进行复制;修改完毕后再将保护属性恢复。

随后,将r77-x86.dll和r77-x64.dll写入到\HKEY_LOCAL_MACHINE\SOFTWARE\下的注册表中。

之后,通过内存指针找到service.exe,再启动一个dllhost.exe程序作为winlogon的子进程,最后,通过进程镂空技术,使用service.exe替换winlogon,从而实现service.exe进程的创建。

Service

读取Stager运行时写入到注册表的\HKEY_LOCAL_MACHINE\SOFTWARE

\$77dll的值,也就是r77 x64/r77x86.dll文件的内容。

再实现一个类似全局注入的逻辑——创建一个监控进程,并提供一个回调函数。这个监控进程是尝试连接指定名称的管道pipe,当连接成功的时候读取获取到的内容(这个内容其实就是一个pid),然后调用提供的回调函数操作这个pid;这个回调函数是一个远程进程注入函数,通过指定的目的pid,向对应的进程注入第二步获取的r77x64/32.dll;

R77

这里就是上面在Stager写入注册表,servcie从注册表中读出的r77x32/x64.dll的实现。

这里通过微软研究部门开发的开源Detours库来进行函数的重定向

Reference:r77Rootkit原理分析

Mr.Jia
关注
Linux rootkit 深度分析 – 第 2 部分:可加载内核模块
分享web安全、AI安全、云安全、业务安全、渗透测试、安全开发、安全工具、行业动态等优质内容……
08-13 1146
在本系列的上一部分中,我们介绍了LD_PRELOAD用户空间 rootkit。我们了解了这些 rootkit 的工作原理,并提供了在操作系统上检测它们的最佳实践。
恶意代码分析
aming小老弟
12-09 1478
著名防火墙公司Palo Alto Networks近日在官网公布了一个CVE-2024-3400的漏洞信息,该漏洞存在于部分PAN-OS系统的GlobalProtect功能中,在某些配置打开的情况下,攻击者可以对运行该系统的设备进行未授权RCE,并且拿到系统的root权限。A5.这一恶意代码会使用高层API函数连接到一个远程的FTP服务器,我们可以下载并建立一个本地FTP服务器,并将DNS请求重定向至这一服务器,以充分分析该恶意代码。所以,其一旦广泛传播开便极难彻底清除。然后启动lab20-2.exe。
rootkit程序代码
06-04
老外的有关rootkit技巧的程序代码,带驱动代码
64位RootKit源码
02-05
德国人写的win64位RootKit源代码。
Rootkit:Linux Rootkit代码集合
最新发布
gitblog_00951的博客
04-03 559
Rootkit:Linux Rootkit代码集合 Rootkit Collection of codes focused on Linux rootkits 项目地址: https://gitcode.com/gh_mirror...
r77-rootkit:无文件Ring 3 rootkit,具有安装程序和持久性,可隐藏进程,文件,网络连接等
04-29
r77 Rootkit Ring 3 Rootkit r77是3环Rootkit,可从所有进程中隐藏以下实体: 文件,目录,联结,命名管道,计划任务 Craft.io流程 CPU使用率 注册表项和值 服务 TCP和UDP连接 它与x64和x86版本的Windows 7和Windows 10兼容。 通过前缀隐藏 名称以"$77"开头的所有实体都将被隐藏。 配置系统 动态配置系统允许按PID和名称隐藏进程,按完整路径隐藏文件系统项,特定端口的TCP和UDP连接等。 该配置存储在HKEY_LOCAL_MACHINE\SOFTWARE\$77config并且任何进程都可以写入而无需提升特权。 此项的DACL设置为向任何用户授予完全访问权限。 将RegEdit注入rootkit时, $77config密钥被隐藏。 安装程序 使用单个文件"Install.exe"可以部署r77。 它安装了r7
探索r77 Rootkit:隐形的系统守护者
gitblog_00003的博客
05-14 725
探索r77 Rootkit:隐形的系统守护者 r77-rootkit Fileless ring 3 rootkit with installer and persistence that hides processes, files, network connections, etc. ...
一款rootkit源码
02-13
2010年写的,比较烂,不过里面有IAT HOOK,SSDT HOOK,EAT HOOK,INLINE HOOK,IDT HOOK,OBJECT HOOK.很多很多的内核HOOK技术,我自己也记不太清楚了,我觉得是提供给新手学习的好资料。
Linux内核的Rootkit攻击与度量对象提取
weixin_45027952的博客
05-19 791
介绍了Linux内核的Rootkit攻击以及系统调用表的提取
机器学习-随机森林-总结及源代码应用(python版)
数据挖掘+大数据研发+算法学习
06-19 5517
随机森林 摘要 随机森林是一种比较新的机器学习模型。随机森林对多元共线性不敏感,结果对缺失数据和非平衡的数据比较稳健,可以很好地预测多达几千个解释变量的作用(Breiman 2001b),被誉为当前最好的算法之一(Iverson et al. 2008)。 随机森林顾名思义,是用随机的方式建立一个森林,森林里面有很多的决策树组成,随机森林的每一棵决策树之间是没有关联的。在得到森林之后,当有一个新的输入样本进入的时候,就让森林中的每一棵决策树分别进行一下判断,看看这个样本应该属于...
Rootkit与内存管理】:理解Rootkit在内存中的隐藏技巧!
本文综合探讨了Rootkit与内存管理之间的关系,分析Rootkit的类型、工作机制以及其在内存中的隐藏技术,并讨论了内存管理的基础概念和工具。文章深入阐释了Rootkit如何利用内存管理系统中的漏洞进行隐藏和操作,...
linux rootkit源码
07-17
一个小型的linux rootkit源码 可以实现模块隐藏 进程隐藏等一些基本功能 也可以用做学习 
RootKit基础源码
03-03
收集整理自www.rootkit.com的RootKit基础源码
(rootkit)FindProcess_windowskernel_rootkit_源码.zip
10-25
(rootkit)FindProcess_windowskernel_rootkit_源码
一款Linux下的rootkit工具源码
04-24
Linux下的rootkit源码,可实现文件、进程、网络、模块的隐藏
rootkit
03-20
rootkit 6841-很棒的东西
rootkits
weixin_34195364的博客
04-26 115
https://blogs.msdn.microsoft.com/erick/2006/04/03/how-dangerous-are-kernel-mode-rootkits/
源码分析_OSSEC Windows RootKit检测部分源码分析
weixin_34749048的博客
01-04 852
OSSEC简介OSSEC是一个开源的多平台入侵检测系统,可以运行在Windows,Linux等多个平台之上。一般分为客户端和服务端。客户端用来收集客户机运行时消息,主要以日志为载体传送给服务端。在服务端OSSEC进行消息的解码与告警。除了告警之外,OSSEC还支持用户自定义的自主响应来抵抗入侵。OSSEC windows客户端用来采集windows客户机运行时信息,进行一定分析后传送给服务端进行进...
rootkit开发
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
05-04 675
进程和线程 rootkit开发者应该知道,管理运行中代码的主要机制是线程, 并非进程。Windows内核基于线程而不是进程的数量对进程进行调度。 假如丰在两个进程,一个是单线程的,另一个具有9个线程。则系 统将为每个线程分配10%的处理时间。单线程的进程只能获得10%的CPU 时间,而具有9个线程的进程会得到90%的时间。当然,这是一个人为示例, 因为其它因素(如优先级)也在调
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值