围观文件穿越操作

最新推荐文章于 2022-05-19 01:36:48 发布
最新推荐文章于 2022-05-19 01:36:48 发布
阅读量1.2k 收藏
点赞数
分类专栏: rootkit 文章标签: hook exe file 测试 网络 产品
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Shevacoming/article/details/7640166
版权

大概这么几个思路

 

1.      打开文件用IoCreateFile,其他比较好发irp的(比如删除操作)走FSD irp

删除文件部分处理了删除正在运行的exe镜像部分,做法是方法是IAT Hook MmFlushImageSection

但是这样对于独占文件依旧不能处理,只好等到关机回调的时候ZwClose一下在检验

对于鬼影这种hook住微端口驱动的StartIo这种,直接判断驱动名字” hello_tt.sys”  or  “beep.sys”从里面硬编码一个原始StartIo的全局变量恢复,虽然看着比较2,但目前市面上就这一版鬼影在传播也就还好

而且并不是所有人的小端口驱动都是atapi,也许是为了处理nvgts之类的玩意儿。

 

2.      恢复FSD钩子,打开文件用IoCreateFile,其他比较好发irp的(比如删除操作)走irp,

hook MmFlushImageSection,然后删除文件之前先跑到其他进程里去关人家的句柄,这让可以删掉市面上大多数应用层木马了。

 

3.      自己实现了所有Nt系列操作文件的功能(详见WRK),对文件的所有操作(包括目录的遍历)都会直接发送到FSD (为了实现这个目标还要自己实现一些Obxxxx的代码),当然FSD的irp/inline hook要处理

有一些irp操作不是你直接调用的,比如IRP_MJ_CLEANUP 是在ZwClose里面间接调用的,这里用到的方法是自己创建一个对象类型代替File类型,在打开文件时对对象类型进行了替换,这样ZwClose调用CloseProcedure就不再是IopCloseFile而是自己的函数。

文件删除部分有关闭其他进程里的句柄,IRP_MJ_LOCK_CONTROL,MJ的XCB大法(这个很久的文章以前分析过了)

这个文件穿透还是很强大的~~ 绕过了绝大多数菜鸟rootkit,大街上好rootkit还是太少了。

针对鬼影恢复了StartIo,目前只支持atapi的

还有一个功能貌似是测试网络连通性= =

 

这一篇和上一篇一样,读取和删除文件&注册表是查杀rootkit木马用到的技术,“思路”的意思其实就是国内三款主流产品的一些原理= = 

有兴趣的自己逆一下吧~

Shevacoming
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
文件操作安全之-目录穿越原理篇
村中少年的专栏
10-12 2107
从目录穿越的定义,目录穿越的漏洞原理,目录穿越漏洞的具体案例,例如Apache http服务器CVE-2021-41773和CVE-2021-42013目录穿越漏洞,以及目录穿越漏洞潜在的危害阐述目录穿越漏洞中的安全问题。
【网络安全面试题】——文件目录穿越实现特权文件读取
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
02-14 1246
4.7. 文件读取 考虑读取可能有敏感信息的文件 用户目录下的敏感文件 .bash_history .zsh_history .profile .bashrc .gitconfig .viminfo passwd 应用的配置文件 /etc/apache2/apache2.conf /etc/nginx/nginx.conf 应用的日志文件 /var/log/apache2/access.log /var/log/nginx/access
ring0层下实现的文件强制删除
zz_strive_2012的专栏
07-21 480
文件强删 在日常生活使用电脑的过程中,遇到删不掉的文件的时候,我们总会通过一些软件提供的强制删除文件功能来删除顽固的文件文件强删技术对于杀软来说是清楚病毒木马的武器,在扫描器检测出恶意文件的时候,就需要强删功能来清除恶意文件。而对于病毒木马来说,反过来可以用强删技术来强制删除系统保护文件或是受杀软保护的文件。 本文将会介绍文件强删技术,即使文件正在运行,也能强制删除本地文件。 实现过程 当文件是PE文件而且已经被加载到内存中的时候,正常情况下是无法通过资源管理器explorer.exe来删除本地文
学习强制删除正在运行的文件
迷茫的小莱
12-03 3922
看雪软件安全论坛 > 软件安全 > 『安全编程论坛』 > 【分享】学习强制删除正在运行的文件PDA查看完整版本 : 【分享】学习强制删除正在运行的文件yaolibing2009-04-28, 12:03首先说明一下的是,代码是从网上找来的,自己加了一些理解,供和我一样菜的人学习。:p:http://hi.baidu.com/%C3%F7%ED%F8%B5%C4%D0%C4强制删除文件,简单
群众围观
02-16
群众围观 描述 该存储库包含3年内从Crowdsmelling方法获得的数据集。 每个文件夹都包含一年的数据集,其中的代码闻起来像是“长方法”,“上帝之类”和“功能嫉妒”。 数据集结构 项目名 包裹名字 班级名称 方法...
WinForm 自定义状态栏围观
07-02
要实现多语言支持,可以在资源文件中为每个语言版本创建对应的文字,然后在运行时根据当前语言切换状态栏文本。 9. **布局管理** 使用Dock属性可控制StatusStrip在窗体上的对齐方式,通常是设置为Dock.Bottom。...
围观tangram js库
01-19
围观社区:简易社区,直接使用tieba。反馈的信息不大多。按优点、不足、疑问、建议,分开来看。 优点:本土化与中国特色。caisonghai: tangram 七巧板 很好 支持国产willstier: 是纯中文的,对于我们这些英文不够的...
数据结构计算机语言操作,强势围观
07-10
树结构在文件系统、数据库索引、图形算法等领域有着广泛应用。 图是更一般的树的扩展,其中的每个节点可以连接到任意数量的其他节点。图可以用来表示网络、关系数据库或复杂系统中的依赖关系。常见的图算法包括深度...
Android Zip解压缩目录穿越导致文件覆盖漏洞
道阻且长,行则将至。
05-19 3281
文章目录漏洞简述漏洞实例正常压缩包恶意压缩包历史漏洞任意命令执行问题根因分析漏洞防御 漏洞简述 zip 类型的压缩包文件中允许存在 ../ 类型的字符串,用于表示上一层级的目录。攻击者可以利用这一特性,通过精心构造 zip 文件,利用多个 ../ 从而改变 zip 包中某个文件的存放位置,达到替换掉原有文件的目的。 那么,如果被替换掉的文件是是 .so、.dex 或 .odex 类型文件,那么攻击者就可以轻易更改原有的代码逻辑,轻则产生本地拒绝服务漏洞,影响应用的可用性,重则可能造成任意代码执行漏洞,危害应
Windows平台内核级文件访问
生命的守望
02-05 682
Windows平台内核级文件访问创建时间:2006-02-03文章属性:原创文章提交:baiyuanfan (baiyuanfan_at_163.com)Windows平台内核级文件访问作者:baiyuanfan (baiyuanfan@163.com)日期:2.1,20061.背景    在windows平台下,应用程序通常使用API函数来进行文件访问,创建,打开,读写文件。从kernel3
IoCreateFile vs IoCreateFile
weixin_33907511的博客
06-29 380
感觉IoCreateFile应该算是系统调用,它会调用ObCreateObject函数。 IoCreateFile和IoCreateDevice都会调用ObCreateObject函数。 在中IoCreateFile中, Status = ObCreateObject(FileHandle, DesiredAc...
强删文件--->构建IRP---->独占--->正在运行 以及磁盘读写(思路)
zhuhuibeishadiao
04-03 2860
个人比较崇拜360 一个小小的按钮下面蕴含着很多的原理 要有多么强大才能1天搞定偏移 -------致敬360 致敬MJ-001 无奈本人学业不精 只能说说“独占”和“正在运行” 打开文件 一般使用ZwCreateFile NtCreateFile 但这些函数还不够底层 使用IoCreateFile会好一些 被其它程序独占 枚举句柄表 ZwQuerySystemInformation -
CreateFile函数执行的全过程
摔不死的笨鸟的博客
08-04 1235
Kernel32.dll中的CreateFile。 在Kernelbase32.dll中将打开的文件路径添加/??/对应于经过CreateFileInternal后的__GSHandlerCheck。 最终调用NtCreateFile函数。来到了ntdll.dll。
Windows内核驱动中操作文件
ALCAT的专栏
11-08 5802
一. 在驱动中使用文件 在Windows执行体中,通过文件对象来代表文件,该文件对象是一种由对象管理器管理的执行体对象。例如:目录也是由文件对象代表的。 内核组件通过对象名来引用文件,即在文件的全路径前面加\DosDevices。(在Windows 2000及后续操作系统中,\??等同于\DosDevices)。例如,文件C:\WINDOWS\example.txt的对象名为\DosDevic
彻底刷新文件系统的缓存
yeook的专栏
11-08 3172
彻底刷新文件系统的缓存 [转载] void PurgeFileSystemBuffers(PFILE_OBJECT FileObject) { KeEnterCriticalRegion(); if(ExAcquireResourceExclusiveLite(((PFSRTL_COMMON_FCB_HEADER)FileObject->FsCont
强删文件,强杀进程,文件注册表穿越
05-16 924
本公众号分享的所有技术仅用于学习交流,请勿用于其他非法活动,如有错漏,欢迎留言交流指正 《Windows NT File System Iternals》 文件加解密必备 《Windows驱动开发技术详解》张帆 电子工业出版社 很基础,仅仅适合入门 《Windows 2000设备驱动程序设计智能》 Art Baker等主 机械工业出版社 《寒江独钓:Windows内核安全编程》 邵坚磊等著 电子工业出版社 《Windows内核原理与实现》潘爱民 强删,强杀,穿越 强制删除文件 安全软件用强删..
社会网络分析视角下的微博围观模型实用.pdf
03-01
社会网络分析视角下的微博围观模型实用.pdf

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值