内存欺骗rootkit的思路

最新推荐文章于 2023-11-13 10:24:13 发布
最新推荐文章于 2023-11-13 10:24:13 发布
阅读量1.4k 收藏
点赞数
分类专栏: rootkit 内核研究 文章标签: hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Shevacoming/article/details/7560353
版权
无聊翻翻4年前的黑防,发现个蛋疼#rootkit#:


给ethread的内存设置present bit,读取这块内存会引起page fault;


dr0置为KiTrap0e; dr1置为KiTrap01; 硬件读断点;


inline hook KiTrap0e; 对ethreat做内存欺骗;


 inline hook KiTrap01; 处理读的断点,


用dr0和dr1来做inline hook code的内存欺骗,dr0~1断下来就恢复钩子;


然后dr3设置为eip的下一句;dr3断下来在挂上钩子= =


这样确实绕过rootkit检测了


详见黑防08年第五期 p56

Shevacoming
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Rootkit-LKM编程劫持系统调用,隐藏后门程序backdoor(ps,ls)
bw_yyziq的博客
11-05 4242
前言最近学习到rootkit,由于之前没怎么接触到Linux内核,系统调用具体实现这些稍底层的东西,并且参考的许多代码都是基于内核2.6的又不想重装低版本系统,所以踩了很多坑浪费了很多时间,查了许多资料,掉了许多头发,现稍整理希望能给后面采坑的人提供一点思路。 环境: Ubuntu 16.04 linux内核版本 4.10.0-37
史上最全网络安全面试题总结
热门推荐
03-17 2万+
新的一年,难免有不少小伙伴面临跳槽或者找工作,本文总结了常见的安全岗位面试题,方便各位复习。祝各位事业顺利,财运亨通。 php爆绝对路径方法? 单引号引起数据库报错 访问错误参数或错误路径 探针类文件如phpinfo 扫描开发未删除的测试文件 google hacking phpmyadmin报路径:/phpmyadmin/libraries/lect_lang.lib.php 利用漏洞读取配置文件找路径 恶意使用网站功能,如本地图片读取功能读取不存在图片,上传点上传不能正常导入的文件 你常用的渗
Linux下基于内存分析的Rootkit检测方法
weixin_34249678的博客
03-08 341
路人甲 · 2015/01/23 9:520x00 引言某Linux服务器发现异常现象如下图,确定被植入Rootkit,但运维人员使用常规Rootkit检测方法无效,对此情况我们还可以做什么?图1 被植入Rootkit的Linux服务器所有暗链的html文件ls均看不到。使用ls -al 绝对路径,能看到,但无法删除。这些暗链的uid和gid都很奇特 分别为 2511744398:40433612...
Linux系统是如何用虚拟内存欺骗应用程序的?
宋宝华
05-26 528
一、让有意义的事情变的有意思二、物理内存、虚拟内存三、Linux 中的换页机制一、让有意义的事情变的有意思 昨天,看到下面这句话,送给您:让有意思的事情变的有意义,让有意义的事情变的有意思...
软件也忽悠人--揭穿号称内存占用极低的软件的诡计
cheneyforever的专栏
11-09 166
软件也忽悠人--揭穿号称内存占用极低的软件的诡计 我实在不愿意提起这个话题.后来在网上看到几篇文章,深深感觉到,已经有程序员站出来,揭穿这个忽悠了千百万用户的诡计了...附2篇文章的地址:http://blog.csdn.net/biku/archive/2006/07/06/886038.aspxhttp://blog.csdn.net/zlt982001/archive/2005/08/28...
Linux Rootkit躲避内核检测
Netfilter
05-16 4971
Rootkit在登堂入室并得手后,还要记得把门锁上。 如果我们想注入一个Rootkit到内核,同时不想被侦测到,那么我们需要做的是精妙的隐藏,并保持低调静悄悄,这个话题我已经谈过了,诸如进程摘链,TCP链接摘链潜伏等等,详情参见: https://blog.csdn.net/dog250/article/details/105371830 https://blog.csdn.net/dog250/...
Int 1的实现过程 (一)
weixin_30386713的博客
08-01 698
  闲话少说,直奔主题,首先OD载入一个程序,然后执行一下单步(调试器会将TF置1)   此时,CPU会在基于当前线程上下文的环境中,进入int 1的中断门,也就是KiTrap01 kd> !idt -a Dumping IDT: 00: 805431a0 nt!KiTrap00 01: 8054331c nt!KiTrap01 // int 1会转到这个函...
虚拟化环境中基于神经网络专家系统的Rootkit检测方法研究.pdf
09-27
美国乔治亚理工大学利用开源虚拟化技术Xen开发的恶意代码行为分析系统EtherI,虽然能有效欺骗恶意代码反检测,但其内存监控的精确度不足;美国威斯康星大学利用Xen技术开发的Rootkit检测程序Lycosid,虽然只信任...
红队系列-shellcode AV bypass Evasion免杀合集
最新发布
aming小老弟
11-13 1240
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode。
信息安全期末复习
Assassin
03-18 837
一、米特尼克的圣诞攻击 1、攻击背景 在Unix世界中,可以很容易地给予信任。 假设用户在机器A和机器B上都有一个帐户,为了使两者之间的麻烦最小,就可以在它们之间建立全双工的信任关系。 在A的主目录中,创建一个 .rhosts 文件:echo "hostB 用户名" > .rhosts,在B的主目录中做同样的操作,现在,用户可以使用任何 r* 命令来操作另一台服务器,这些命令将只验证地址。 1994年圣诞节,Kevin Mitnick 攻击了下村勉的机器,主要用到了两种技术:IP源地址欺骗和TCP
windows下的rootkit资料集合
06-19
windows下的rootkit资料集合
Windows内核实验005 Inline Hook
鬼手的博客
11-17 1152
文章目录准备工作寻找Inline Hook的返回地址编写代码动态变化的返回地址JmpTargetAddrInline Hook基本框架示例代码实战HOOK KiTrap01无需计算偏移的Inline Hook方法示例代码 准备工作 寻找Inline Hook的返回地址 假设我们现在要HOOK KiFastCallEntry这个内核函数,让所有的程序在进入零环之前先跳到我们自己的代码。 但是会出现...
SHE
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
04-16 673
typedef struct _EXCEPTION_REGISTRATION_RECORD {     struct _EXCEPTION_REGISTRATION_RECORD * pNext;     FARPROC                                 pfnHandler; } EXCEPTION_REGISTRATION_RECORD, *PEXCEPT
rootkit介绍与检测
happy_life123的专栏
11-09 1734
1.rootkit简介        rootkit是linux平台下最常见的一种木马后门工具,它主要是通过替换系统文件来达到入侵和隐藏的目的。rootkit主要分为文件级别的和内核级别的,文件级别的主要是通过程序或者系统漏洞进入系统,通过修改重要的文件达到隐藏自己的目的。内核级别的是更高级的入侵,它可以是攻击者获取系统底层的完全控制,此时攻击者可以修改系统内核,进而截获运行程序向内核提供的命令
我见过最牛的rootkit
valiant1ster的专栏
08-08 1222
出售过还原软件代码2007-07-24 16:10 类型1:过各类还原软件保护写入文件 过包括Deepfreez,还原精灵,影子系统(PowerShadow),雨过天晴等等 可在还原开启下写入文件到受保护盘
内核级Rootkit技术入门(1)
09-27 728
【导读】本文介绍了Windows下的内核级Rootkit的最基础性的东西,以及利用驱动程序将代码导入到内核的方法。虽然我们还没有涉及到真正的Rootkit,但这些内容是我们掌握Rootkit的必经之路,就像我们要建一座6层的楼房,却不能撇开基础和低层而直接盖第六层一样!更多的内容,会在后续的文章中陆续介绍。
windbg学习24(!idt)
weixin_30664615的博客
02-18 119
!idt显示指定的中断分配表(interrupt dispatch table (IDT))中的中断服务例程(interrupt service routine (ISR)) 最典型的自陷int 2e,其中断表使用的是: lkd> !idt 2e Dumping IDT: 2e: 82c8369e nt!KiSystemService 如不指定IDT,会简短的显示目标机中所...
rootkit后门之安装流程
weixin_34124577的博客
03-25 549
1.首先是获得远程服务器的root权限 2.然后下载rootkit程序,本文用到的是mafix (下载前最好把杀毒软件关掉,基本上会报毒的!) 3.开始安装 tar -xvzf mafix.tar.gz cd mafix ./root rootkit 345  (其中rootkit为你连接后门程序时的密码,345为连接的端口) 可以验证一下是否成功: [root@localhost...
使用MAS系统追踪Rootkit内存分析技术
"这篇论文介绍了MAS,一个实用的内存分析系统,用于在受感染的系统中识别内核Rootkit内存足迹。通过大型实证研究,MAS被应用于848个真实的Windows内核崩溃转储和154,768个潜在恶意软件样本,以展示其效果和效率。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值