花了几个小时把combojiang的ROOTKIT专题整理出来,方便自己收集资料
以下是文件的目录
D:.
│ Read me.txt
│ 目录里面的文件.txt
│
└─Rootkit
├─1。 内核hook
│ ├─1)object hook
│ │ 1)object hook.doc
│ │
│ ├─2)ssdt hook
│ │ 2)ssdt hook.doc
│ │ SSDT Hook的妙用-对抗ring0 inline hook .doc
│ │ swk0207.rar
│ │
│ ├─3)inline-hook
│ │ 360SuperKill学习之--恢复FSD的IRP处理函数.doc
│ │ 3)inline-hook.doc
│ │ cnnic.rar
│ │ ExpLookupHandleTableEntry.rar
│ │ ExpLookupHandleTableEntry2.rar
│ │ kill_SecuritySoftware.rar
│ │ PsLookupProcessByProcessId执行流程学习笔记.doc
│ │ 句柄啊,3层表啊,ExpLookupHandleTableEntry啊.doc
│ │ 干掉KV 2008, Rising等大部分杀软.doc
│ │ 搜索未导出的函数地址.doc
│ │
│ ├─4)idt hook
│ │ bhwin_keysniff.rar
│ │ IDT Hook .doc
│ │
│ ├─5)IRP hook
│ │ 5)IRP hook.doc
│ │ irphook1.rar
│ │ irphook2.rar
│ │ irphook3.rar
│ │
│ ├─6)SYSENTER hook
│ │ 6)SYSENTER hook.doc
│ │ SysEnterHook.rar
│ │
│ ├─7)IAT HOOK
│ │ 7)IAT HOOK.doc
│ │ HybridHook.rar
│ │ testtest.rar
│ │
│ └─8)EAT HOOK
│ 8)EAT HOOK.doc
│ 利用导出表来禁止一些驱动程序的加载.doc
│ 导出表钩子.rar
│
├─2。保护模式篇章第一部分: ring3进ring0之门
│ ├─1)通过调用门访问内核
│ │ 1)通过调用门访问内核.doc
│ │ myCallGate.rar
│ │ test.rar
│ │
│ ├─2)通过中断门访问内核
│ │ 2)通过中断门访问内核.doc
│ │ myIntGate.rar
│ │
│ ├─3)通过任务门访问内核
│ │ 3)通过任务门访问内核.doc
│ │ MyTaskGate.rar
│ │
│ └─4)通过陷阱门访问内核
│ 4)通过陷阱门访问内核.doc
│ exe.rar
│ src.rar
│
├─3。保护模式篇章第二部分:windows分页机制
│ 1)windows分页机制.doc
│
├─4。保护模式篇章第三部分:直接访问硬件
│ ├─1)修改iopl,ring3直接访问硬件
│ │ 1)修改iopl,ring3直接访问硬件.doc
│ │ drv.rar
│ │ exe.rar
│ │
│ ├─2)追加tss默认IO许可位图区域
│ │ 2)追加tss默认IO许可位图区域.doc
│ │ drv.rar
│ │
│ └─3)更改tss IO许可位图指向
│ 3)更改tss IO许可位图指向.doc
│ modifyiopmbase.rar
│ porttalk.rar
│
├─5。detour 修改函数执行路径,可用于对函数的控制流程进行重定路径。
│ └─1)detour补丁
│ 1)detour补丁.doc
│ Inline HOOK SeSinglePrivilegeCheck.rar
│
├─6. 隐身术
│ ├─1)文件隐藏
│ │ 1)文件隐藏.doc
│ │
│ ├─2)进程隐藏
│ │ 2)进程隐藏.doc
│ │
│ ├─3)注册表键值隐藏
│ │ 3)注册表键值隐藏.doc
│ │ BypassRegMon.rar
│ │ BypassRegMon2[1].idb.rar
│ │ BypassRegMon_src.rar
│ │ drv.rar
│ │ HIVE文件读写.rar
│ │ HIVE格式.rar
│ │ HIVE格式解析.doc
│ │ 注册表监控弱点演示程序 v0.2 逆向ASM源码及相关资料.doc
│ │
│ ├─4)驱动隐藏
│ │ 4)驱动隐藏.doc
│ │
│ ├─5)进程中dll模块隐藏
│ │ 5)进程中dll模块隐藏.doc
│ │
│ ├─6)更绝的隐藏进程中的dll模块,绕过IceSword的检测
│ │ 6)更绝的隐藏进程中的dll模块,绕过IceSword的检测.doc
│ │
│ └─7)端口隐藏
│ 7)端口隐藏.doc
│
├─7。ring0中调用ring3程序
│ ├─1) apc方式
│ │ 1) apc方式 .doc
│ │ KernelExec.rar
│ │
│ └─2) deviceiocontrol 方式
├─8。进程线程监控
│ ├─1)监控进程创建
│ │ 1)监控进程创建.doc
│ │ protect.rar
│ │
│ ├─2)杀线程
│ │ 2)杀线程.doc
│ │
│ └─3)保护进程和屏蔽文件执行
│ 3)保护进程和屏蔽文件执行 .doc
│ sysnap.rar
│
└─9。其他
├─10)另一种读写进程内存空间的方法
│ 10)另一种读写进程内存空间的方法.doc
│
├─11)完整驱动感染代码
│ 11)完整驱动感染代码.doc
│ 驱动感染成功[1].V 1.0.080528_sudami.rar
│
├─12)Hook Shadow SSDT
│ 12)Hook Shadow SSDT.doc
│ HookShadowSSDT.rar
│
├─13)ring0检测隐藏进程
│ 13)ring0检测隐藏进程.doc
│ Ring0下搜索内存枚举隐藏进程.doc
│
├─1)获取ntoskrnl.exe模块地址的几种办法
│ 1)获取ntoskrnl.exe模块地址的几种办法.doc
│
├─2)驱动感染技术扫盲
│ 2)驱动感染技术扫盲.doc
│ InfectDriver.rar
│
├─3)shadow ssdt学习笔记
│ 3)shadow ssdt学习笔记.doc
│
├─4)高手进阶windows内核定时器之一
│ 4)高手进阶windows内核定时器之一.doc
│ WorkItem.rar
│
├─5)高手进阶windows内核定时器之二
│ 5)高手进阶windows内核定时器之二.doc
│ TimerWorks.rar
│
├─6)运行期修改可执行文件的路径和Command Line
│ 6)运行期修改可执行文件的路径和Command Line.doc
│ ImgPathChanger.rar
│
├─7)查找隐藏驱动
│ 7)查找隐藏驱动.doc
│
├─8)装载驱动的几种办法
│ 8内核模式下装载驱动和原生态应用程序.pdf
│ 8)装载驱动的几种办法.doc
│ Loading drivers and Native applications from kernel mode, withou
t touching registry.rar
│
└─9)内核中注入dll的一种流氓方法
9)内核中注入dll的一种流氓方法.doc
Apc.rar
以下是文件的目录
D:.
│ Read me.txt
│ 目录里面的文件.txt
│
└─Rootkit
├─1。 内核hook
│ ├─1)object hook
│ │ 1)object hook.doc
│ │
│ ├─2)ssdt hook
│ │ 2)ssdt hook.doc
│ │ SSDT Hook的妙用-对抗ring0 inline hook .doc
│ │ swk0207.rar
│ │
│ ├─3)inline-hook
│ │ 360SuperKill学习之--恢复FSD的IRP处理函数.doc
│ │ 3)inline-hook.doc
│ │ cnnic.rar
│ │ ExpLookupHandleTableEntry.rar
│ │ ExpLookupHandleTableEntry2.rar
│ │ kill_SecuritySoftware.rar
│ │ PsLookupProcessByProcessId执行流程学习笔记.doc
│ │ 句柄啊,3层表啊,ExpLookupHandleTableEntry啊.doc
│ │ 干掉KV 2008, Rising等大部分杀软.doc
│ │ 搜索未导出的函数地址.doc
│ │
│ ├─4)idt hook
│ │ bhwin_keysniff.rar
│ │ IDT Hook .doc
│ │
│ ├─5)IRP hook
│ │ 5)IRP hook.doc
│ │ irphook1.rar
│ │ irphook2.rar
│ │ irphook3.rar
│ │
│ ├─6)SYSENTER hook
│ │ 6)SYSENTER hook.doc
│ │ SysEnterHook.rar
│ │
│ ├─7)IAT HOOK
│ │ 7)IAT HOOK.doc
│ │ HybridHook.rar
│ │ testtest.rar
│ │
│ └─8)EAT HOOK
│ 8)EAT HOOK.doc
│ 利用导出表来禁止一些驱动程序的加载.doc
│ 导出表钩子.rar
│
├─2。保护模式篇章第一部分: ring3进ring0之门
│ ├─1)通过调用门访问内核
│ │ 1)通过调用门访问内核.doc
│ │ myCallGate.rar
│ │ test.rar
│ │
│ ├─2)通过中断门访问内核
│ │ 2)通过中断门访问内核.doc
│ │ myIntGate.rar
│ │
│ ├─3)通过任务门访问内核
│ │ 3)通过任务门访问内核.doc
│ │ MyTaskGate.rar
│ │
│ └─4)通过陷阱门访问内核
│ 4)通过陷阱门访问内核.doc
│ exe.rar
│ src.rar
│
├─3。保护模式篇章第二部分:windows分页机制
│ 1)windows分页机制.doc
│
├─4。保护模式篇章第三部分:直接访问硬件
│ ├─1)修改iopl,ring3直接访问硬件
│ │ 1)修改iopl,ring3直接访问硬件.doc
│ │ drv.rar
│ │ exe.rar
│ │
│ ├─2)追加tss默认IO许可位图区域
│ │ 2)追加tss默认IO许可位图区域.doc
│ │ drv.rar
│ │
│ └─3)更改tss IO许可位图指向
│ 3)更改tss IO许可位图指向.doc
│ modifyiopmbase.rar
│ porttalk.rar
│
├─5。detour 修改函数执行路径,可用于对函数的控制流程进行重定路径。
│ └─1)detour补丁
│ 1)detour补丁.doc
│ Inline HOOK SeSinglePrivilegeCheck.rar
│
├─6. 隐身术
│ ├─1)文件隐藏
│ │ 1)文件隐藏.doc
│ │
│ ├─2)进程隐藏
│ │ 2)进程隐藏.doc
│ │
│ ├─3)注册表键值隐藏
│ │ 3)注册表键值隐藏.doc
│ │ BypassRegMon.rar
│ │ BypassRegMon2[1].idb.rar
│ │ BypassRegMon_src.rar
│ │ drv.rar
│ │ HIVE文件读写.rar
│ │ HIVE格式.rar
│ │ HIVE格式解析.doc
│ │ 注册表监控弱点演示程序 v0.2 逆向ASM源码及相关资料.doc
│ │
│ ├─4)驱动隐藏
│ │ 4)驱动隐藏.doc
│ │
│ ├─5)进程中dll模块隐藏
│ │ 5)进程中dll模块隐藏.doc
│ │
│ ├─6)更绝的隐藏进程中的dll模块,绕过IceSword的检测
│ │ 6)更绝的隐藏进程中的dll模块,绕过IceSword的检测.doc
│ │
│ └─7)端口隐藏
│ 7)端口隐藏.doc
│
├─7。ring0中调用ring3程序
│ ├─1) apc方式
│ │ 1) apc方式 .doc
│ │ KernelExec.rar
│ │
│ └─2) deviceiocontrol 方式
├─8。进程线程监控
│ ├─1)监控进程创建
│ │ 1)监控进程创建.doc
│ │ protect.rar
│ │
│ ├─2)杀线程
│ │ 2)杀线程.doc
│ │
│ └─3)保护进程和屏蔽文件执行
│ 3)保护进程和屏蔽文件执行 .doc
│ sysnap.rar
│
└─9。其他
├─10)另一种读写进程内存空间的方法
│ 10)另一种读写进程内存空间的方法.doc
│
├─11)完整驱动感染代码
│ 11)完整驱动感染代码.doc
│ 驱动感染成功[1].V 1.0.080528_sudami.rar
│
├─12)Hook Shadow SSDT
│ 12)Hook Shadow SSDT.doc
│ HookShadowSSDT.rar
│
├─13)ring0检测隐藏进程
│ 13)ring0检测隐藏进程.doc
│ Ring0下搜索内存枚举隐藏进程.doc
│
├─1)获取ntoskrnl.exe模块地址的几种办法
│ 1)获取ntoskrnl.exe模块地址的几种办法.doc
│
├─2)驱动感染技术扫盲
│ 2)驱动感染技术扫盲.doc
│ InfectDriver.rar
│
├─3)shadow ssdt学习笔记
│ 3)shadow ssdt学习笔记.doc
│
├─4)高手进阶windows内核定时器之一
│ 4)高手进阶windows内核定时器之一.doc
│ WorkItem.rar
│
├─5)高手进阶windows内核定时器之二
│ 5)高手进阶windows内核定时器之二.doc
│ TimerWorks.rar
│
├─6)运行期修改可执行文件的路径和Command Line
│ 6)运行期修改可执行文件的路径和Command Line.doc
│ ImgPathChanger.rar
│
├─7)查找隐藏驱动
│ 7)查找隐藏驱动.doc
│
├─8)装载驱动的几种办法
│ 8内核模式下装载驱动和原生态应用程序.pdf
│ 8)装载驱动的几种办法.doc
│ Loading drivers and Native applications from kernel mode, withou
t touching registry.rar
│
└─9)内核中注入dll的一种流氓方法
9)内核中注入dll的一种流氓方法.doc
Apc.rar
346
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
