Sebek源码修正档(1)

最新推荐文章于 2024-11-14 08:39:49 发布
最新推荐文章于 2024-11-14 08:39:49 发布
阅读量1.1k 收藏
点赞数
分类专栏: 编程 文章标签: variables xp windows object null c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/EastCoke/article/details/6456012
版权
博客讲述了在antidetection中遇到的驱动加载蓝屏问题,原因是未文档化的内核函数定位不准确。通过分析代码,作者发现`mov eax, [eax+0x70]`是问题所在,并引用了Edgar Barbosa和tombkeeper的文章,提出利用FU rootkit的方法来获取内核地址,修正了代码,但指出仍可能存在一些问题。" 124867294,9921439,多模态多目标优化问题应用详解,"['多目标优化', '算法', '启发式算法', '人工智能', '优化问题']
摘要由CSDN通过智能技术生成

antidetection中出现一个小问题,导致驱动加载时蓝屏。

还是FindPsModuleList的问题。源码使用了Edgar Barbosa的文章Finding some non-exported kernel variables in Windows XP中提到的方法,对代码做了如下填充:

#if (_WIN32_WINNT == 0x0500)  //windows 2000 ~by C0KE
        pModuleListStart = *((PMODULE_ENTRY*)((DWORD)pDriverObject + PSLOADEDMODULE_OFFSET)); 
#else  //windows XP and so on~ by C0KE
        __asm { 
                mov eax, fs:[0x34]; // KdVersionBlock 
                mov eax, [eax+0x70]; // PsLoadedModuleList 
        mov pModuleListStart, eax; 
        } 
#endif

通过debug发现, mov eax, [eax+0x70]是导致蓝屏的罪魁祸首。

由于函数是undocumente的,所以要准确定位函数的内核地址。由于是驱动做这件事情,所以可以采用tombkeeper (t0mbkeeper_at_hotmail.com)文章里曾提到fuzen_op(fuzen_op@yahoo.com)的方法,利用FU rootkit获取内核地址。通过_DRIVER_OBJECT找到DriverSection(偏移0x14)结构,向后遍历,找出PsLoadedModuleList.

        PMODULE_ENTRY gul_PsLoadedModuleList = NULL;

#if (_WIN32_WINNT == 0x0500)  //windows 2000 ~by C0KE
        pModuleListStart = *((PMODULE_ENTRY*)((DWORD)pDriverObject + PSLOADEDMODULE_OFFSET)); 
#else  //windows XP and so on~ by C0KE

pModuleListStart= *((PMODULE_ENTRY*)((DWORD)pDriverObject + 0x14));
if(pModuleListStart == NULL)
    return 0;

gul_PsLoadedModuleList = pModuleListStart;

while((PMODULE_ENTRY)pModuleListStart->le_mod.Flink != gul_PsLoadedModuleList)
{
    if((pModuleListStart->unkl == 0x00000000) &&
            pModuleListStart->driver_Path.Length == 0)
        return pModuleListStart;
}
#endif

 

 

貌似还是有一点点问题的,待以后再看看。

Coke
关注
专栏目录
Sebek学习笔记
可木的专栏
10-25 2725
1、Sebek是一个数据捕获工具。 2、Sebek是运行在内核空间的一段代码,记录系统用户存取的一些或者全部数据。     这个工具有这些功能:记录加密会话中击键,恢复使用SCP拷贝的文件,捕获远程系统被记录的口令,恢复使用 Burneye保护的二进制程序的口令还有其它的一些入侵分析任务相关的作用。     入侵者会使用加密工具来保护他们的传输通道,监视者如果没有密钥,基于网络的数据捕获工具
sebekclient
10-12
安装方法https://mp.csdn.net/mdeditor/83017338# Sebek是一个数据捕获工具。这种捕获工具是不容易被攻击者发现的。所有数据捕获工具的目的都是用捕获的数据准确的给我们重现蜜罐上的事件。
Sebek服务端源码
07-23
sebek 服务端源码。 该源码运行需要内核支持,内核版本在Linux 2.6.18(包含)以下。
Sebek简介
clangke的专栏
03-04 2908
入侵者会使用加密工具来保护他们的传输通道,监视者如果没有密钥,基于网络的数据捕获工具将无法察看传输的数据,因此采用基于内核的Sebek来捕获数据。<br />Sebek由客户端和服务端组成,客户端从蜜罐捕获数据并且输出到网络让服务端收集,Sebek使用udp进行通信。<br />Sebek改变系统调用表的函数指针使read系统调用调用自己定义的函数,新函数只是简单的调用老read()函数,并且把内容拷贝到一个数据包缓存,然后加上一个头,再把这个数据包发送到服务端。<br />安装cleaner模块来隐藏Se
sebek服务器文件
10-12
安装方法:https://blog.csdn.net/Winnycatty/article/details/83017097 Sebek是一个数据捕获工具。这种捕获工具是不容易被攻击者发现的。所有数据捕获工具的目的都是用捕获的数据准确的给我们重现蜜罐上的事件。
Sebek配置
xumesang的专栏
08-24 795
1. sbk_install.sh脚本有八个主要配置参数,配置文件决定了Sebek收集什么样的信息及发送信息的目的地等信息。 INTERFACE/接口:决定记录某个端口的数据,该接口不需要配IP地址。默认值是eth0。 DESTINATION IP/目标IP:指定Sebek生成的数据包中的目的IP地址。因为Sebek服务端在收集数据包的时候 并不查看数据包的目的地址,所以这里没有不要配置成S
sebek_win32客户端
04-24
Sebek-Win32-latest.zip,可以用于honeywall的honeypot上,传回客户端的击键信息以及执行的命令
Sebek-Win32-3.0.5.zip
02-16
1. **Configuration Wizard.exe**:这是 Sebek 的配置向导程序,用户可以通过它来设置和定制 Sebek 的各种参数,如监听端口、数据发送间隔、记录的键盘事件类型等。配置向导简化了部署过程,使得非技术背景的用户也...
Windows网络攻防实验:蜜网网关与Sebek配置
实验过程中还涉及到了Sebek工具的使用,以及通过网络共享在Win32上安装Sebek,并对系统进行安全配置和连通性测试。实验过程中,Win32系统遭遇攻击导致蓝屏。" 在本次网络攻防实验中,参与者首先需要搭建实验环境。...
在Ubuntu12.04上安装sebek服务器
Winnycatty的博客
10-11 530
**安装Sebek 服务器文件** 1.使用 ls 命令找到刚刚加进来的文件,例如 sebek-server.tar.gz 2.输入 tar xvzf sebek-server.tar.gz 3.然后使用ls 命令 应该可以看到如下图结果 4.使用 cd sebekd 进入 sebekd 5. 输入./configure 6. make 7. sudo make install 安装客户...
WindowsSebek的安装与调试(1)
EastCoke的笔记
05-16 2234
Sebek属于蜜网计划(Honeynet project)的一部分,是用于高交互蜜罐系统的数据采集核心模块。Sebek能够捕获蜜罐系统的事件信息,准确再现攻击者在蜜罐系统中所做的行为,如键盘记录等。在加密的网络环境中亦可使用。Sebek主要为Win32和Linux系统设计。
在Ubuntu7.1上安装sebek客户端
angyinyan0208的博客
10-12 803
首先还是要下载 sebek客户端安装包 然后通过SecureCRT把。gz文件给上传到虚拟机上,方法见该文用SecureCRT将文件传到虚拟机上 然后 1.tar xvzf sebek-client.tar.gz 2.ls查看文件 如图 3.进入 sebek-lin26-3.2.0b-bin cd sebek-lin26-3.2.0b-bin 4.ls查看文件 如下图 即安装完成 ...
linux下安装sebek
figo1986的专栏
03-07 2393
下载sebek-linux26-3.2.0b.tar.gz 安装环境linux RedHat5 基本安装过程参考文献:《基于Vmware的第三代虚拟Honeynet部署以及攻击实例分析》和http://blog.sina.com.cn/s/blog_4e706d1a0100s5re.html sbk_install.sh首先按照网上资料修改配置 进行安装: ./configure时发现缺
安装 sebek 错误集合:
Winnycatty的博客
03-04 287
bash: ./configure: /bin/sh^M: bad interpreter: No such file or directory 如果操作系统是windows,在windows下编辑的脚本,有可能有不可见字符。 脚本文件是DOS格式的,即每一行的行尾以\r\n来标识, 其ASCII码分别是0x0D, 0x0A。 解决方法: 检查 看这个文件是DOS格式的还是UNIX格式的, ...
linux下安装sendip
figo1986的专栏
03-09 5273
操作系统kylin 下载sendip-2.5.tar.gz 解压在/home/sendip-2.5/目录下 执行make命令 出现错误: cc1: warnings being treated as errors ipv4.c: In function 'do_opt': ipv4.c:212: warning: pointer targets inpassing argument
python 数据类型----可变数据类型
Java_fenxiang的博客
11-13 691
一、list列表类型:一种有序集合,里面有多个数据用逗号隔开,可以对数据进行追加、插入、删除和替换;使用[]标识,可以包含任意数据类型登录后复制 # 字符串类型列表 names=['bill','may','jack'] #整数型列表 numbers = [1,2,34,4] #混合类型列表 values=['Bil...
uni-app文章列表制作⑧
qq_41988669的博客
11-11 350
使用 swiper 组件实现滚动效果swiperItem 数量动态话,当前的 swiper 数量应该与选项卡的数量相同获取选项卡的数量值,根据选项卡数量进行 swiperItem 渲染,index 界面进行 labelList 传递ArticleList 内根据 swiper 数量进行 swiperItem 渲染选项卡与 swiper 组件联动效果实现选项卡点击事件绑定发送事件,调整 activeIndex 值,将 activeIdnex 值调整为父组件传递值。
Python中的null是什么?
最新发布
分享Python、数据分析、人工智能前沿知识
11-14 297
null正确的发音是/n^l/,有点类似四声‘纳儿’,在计算机中null是一种类型,代表空字符,没有与任何一个值绑定并且存储空间也没有存储值。检查 None 的唯一性,它返回某一对象的唯一标识符,如果两个变量的 id 相同,那么它们实际上指向的是同一个对象。在Python中,None、False、0、””(空字符串)、、()(空元組)、{}(空字典)都相当于False。在Python中,None的用处有很多,比如作为变量初始值、作为函数默认参数、作为空值等等。None不等于0、任何空字符串、False等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值