探索r77 Rootkit:隐形的系统守护者

最新推荐文章于 2024-06-07 09:42:02 发布
最新推荐文章于 2024-06-07 09:42:02 发布
阅读量352 收藏 10
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00003/article/details/138838759
版权

探索r77 Rootkit:隐形的系统守护者

r77 Rootkit是一个独特且强大的文件级rootkit,它专为在环3(ring 3)层执行隐蔽操作而设计。它的核心特性在于,通过简单的前缀隐藏机制,使得文件、目录、进程、服务、网络连接等各种系统元素遁于无形。

1、项目介绍

r77的工作原理是将所有以"$77"开头的系统元素设为隐身状态,从而巧妙地躲避监视。不仅包括常规的文件和目录,还包括进程、注册表项、服务以及网络连接等。此外,它还有一个动态配置系统,允许你根据进程ID、名称、完整路径等自定义要隐藏的内容。

2、项目技术分析

  • 配置系统: 使用注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\$77config来存储配置信息,任何进程都可以无需特权进行修改,而且这个键本身也会被rootkit隐藏。
  • 安装器: 只需一个名为Install.exe的文件即可部署r77,该文件会持久化rootkit并注入所有运行中的进程。同样,Uninstall.exe用于干净卸载。
  • 壳码执行: 提供了Install.shellcode,可以将其加载到内存中直接执行,实现无文件部署,避免文件扫描检测。
  • 执行流程: 采用多阶段执行模式,确保rootkit在不写入磁盘的情况下持续驻留内存。

3、项目及技术应用场景

r77适用于那些需要在系统层面进行高度隐蔽操作的场景,例如安全测试、渗透测试或者软件调试。其AV/EDR规避策略使得它能在反病毒软件和终端保护解决方案下仍然保持隐形。

4、项目特点

  • AMSI绕过: 通过修补amsi.dll!AmsiScanBuffer函数来防止AMSIsignature的检测。
  • DLL解钩: 加载未被监控的新版ntdll.dll来移除EDEDR的API挂钩,防止过程空洞检测。
  • 测试环境: 提供Test Console工具,方便对单独进程进行rootkit注入和配置系统测试。

获取与文档

访问bytecode77.com/r77-rootkit获取最新版本的r77 Rootkit(版本1.5.1,解压密码:bytecode77)和详细的技术文档,深入了解如何部署和集成这一工具。

请注意,由于r77的隐匿性及其潜在的风险,它应仅由熟悉系统安全的专业人士在可控环境中使用。使用此类工具时,请务必遵守所有相关法律法规,并尊重他人的隐私权。

总的来说,r77 Rootkit是一款高级的技术工具,展示了在系统级别实施隐蔽操作的深度和广度。对于那些希望探索系统底层行为、提高安全测试效率的人而言,这是一个值得深入研究的项目。

纪亚钧
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
r77-rootkit:无文件Ring 3 rootkit,具有安装程序和持久性,可隐藏进程,文件,网络连接等
04-29
r77 Rootkit Ring 3 Rootkit r77是3环Rootkit,可从所有进程中隐藏以下实体: 文件,目录,联结,命名管道,计划任务 Craft.io流程 CPU使用率 注册表项和值 服务 TCP和UDP连接 它与x64和x86版本的Windows 7和Windows 10兼容。 通过前缀隐藏 名称以"$77"开头的所有实体都将被隐藏。 配置系统 动态配置系统允许按PID和名称隐藏进程,按完整路径隐藏文件系统项,特定端口的TCP和UDP连接等。 该配置存储在HKEY_LOCAL_MACHINE\SOFTWARE\$77config并且任何进程都可以写入而无需提升特权。 此项的DACL设置为向任何用户授予完全访问权限。 将RegEdit注入rootkit时, $77config密钥被隐藏。 安装程序 使用单个文件"Install.exe"可以部署r77。 它安装了r7
rootkit,文件,进程隐藏
11-05
rootkit,backdoor,系统调用劫持,ps进程隐藏,ls文件隐藏,代码
r77-Rootkit后渗透技战术分析
m0_71746299的博客
02-13 1763
r77-Rootkit是一个Ring3级别的RootkitRootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。Rootkit并不一定是用作获得系统root访问权限的工具。比起攻击,Rootkit更倾向于被使用于隐藏踪迹和保留root访问权限的工具。
rootkit隐藏tcp连接信息
weixin_42785235的博客
03-20 573
rootkit隐藏tcp连接信息 /* *通过hook内核函数tcp4_seq_show来隐藏某端口的tcpv4连接信息 */ /*隐藏TCP的53端口的连接*/ #include <linux/init.h> #include <linux/module.h> #include <linux/kallsyms.h> #include <linux/kernel.h> #include <linux/string.h> #include &
[Rootkit] 进程隐藏 - 内存加载(寄生&僵尸进程)
CSDN
07-16 7432
这就导致了另一个问题:同样一个段,在磁盘中相对文件起始的距离,和内存中相对imageBase的距离是不一样的(因为地址对齐,拉伸了)!所以只能把需要用到的这些系统函数统一放在一张叫做导入表的表格,explorer加载的时候还要挨个遍历导入表,一旦发现该PE文件用到了某些系统API,需要用这些API在内存的真实地址替换PE文件中call的地址(这也是用OD、x96dbg这些常见的调试器能找到这些系统函数的根本原因:都是系统提供的嘛,函数名必须保存起来,否则加载的时候没法替换成内存中真正的地址)!
初探rootkit(另一种角度看维权)
milu_Sec的博客
12-30 1012
rootkit是用于后渗透过程中维持住现有权限的工具,比如现在常用的 linux 维持权限的方法大多用 crontab 和开机自启动,同时使用的大多是msf 或者其它的 tcp 连接来反弹 shell ,这些随便应急排查一下自启动项和网络连接就被发现了,那如果我们在内核层面把进程和tcp隐藏岂不是就不是那么显眼了.于是rootkit成了很好的选择。install.exe是把r77注入到所有能注入的进程和启动系统rootkit的,所以安装完可以把程序删了,实现无文件启动。
RootKits-List-Download
weixin_30367945的博客
03-13 204
https://github.com/f0rb1dd3n/Reptile https://github.com/LycorisGuard/Windows-Rootkits/ https://github.com/bytecode77/r77-rootkit https://github.com/hiteshd/Android-Rootkit https://github.com/memp...
推荐文章:Python Rootkit - ViRu5:隐形的网络守护
最新发布
gitblog_00002的博客
06-07 284
推荐文章:Python Rootkit - ViRu5:隐形的网络守护者 项目地址:https://gitcode.com/0xIslamTaha/Python-Rootkit 1、项目介绍 python-rootkit 是一个强大的Python远程访问工具(RAT),它能在几乎所有的反病毒软件下保持隐形,并在任何Windows系统中打开一个后门。该项目被称为ViRu5,它的设计灵感来源于恶意软件...
探索隐形的守护者:Diamorphine —— 开源Linux内核模块(rootkit)
gitblog_00029的博客
05-09 413
探索隐形的守护者:Diamorphine —— 开源Linux内核模块(rootkit) 项目地址:https://gitcode.com/m0nad/Diamorphine 1、项目介绍 Diamorphine是一个强大的轻量级(Lightweight Kernel Module, LKM)根kit,专为Linux内核2.6.x到6.x版本设计,支持x86/x86_64和ARM64架构。这个开源...
c++获取cpu使用率(包含系统和单进程)
09-02
c++获取cpu使用率(包含系统和单进程)含多个例子 c++获取cpu使用率(包含系统和单进程)含多个例子 c++获取cpu使用率(包含系统和单进程)含多个例子
Hijack linux system calls rootkit:劫持 linux 系统调用-开源
07-17
劫持linux系统调用,例如调用open系统调用时,会调用新的被劫持的系统调用,而不是原来的系统调用。 请参阅:http://se7so.blogspot.com/2012/07/hijacking-linux-system-calls-rootkit.html
rootkit:用于恶意软件分析培训的简单而有效的 rootkit
06-11
rootkit是一种高级的恶意软件技术,其主要目的是隐藏在操作系统中,使攻击者能够保持对受感染系统的持久控制,同时避开安全软件和系统管理员的检测。这个标题提到的“rootkit:用于恶意软件分析培训的简单而有效的 ...
rootkit:该项目将移至https
05-28
在IT领域,Rootkit是一种特殊的恶意软件,它隐藏在操作系统中,使得攻击者能够获得系统的最高权限,即root权限。Rootkit通常包含一系列工具和程序,用于掩盖其存在,绕过安全检查,并允许远程控制受感染的系统。在这...
Reveal RootKit:Reveal Rootkit 检测在 POSIX 系统上被 Rootkit 隐藏的进程。-开源
07-17
Reveal Rootkit 检测被 Rootkit 隐藏的进程。 它旨在定期用完 cron 或类似的服务,并避免冗长的输出,只要什么也... Reveal RootKit 主要在 Linux 上进行测试,但也应该在其他带有 /proc 文件系统的 POSIX 系统上工作。
rootkits
weixin_34195364的博客
04-26 92
https://blogs.msdn.microsoft.com/erick/2006/04/03/how-dangerous-are-kernel-mode-rootkits/
linux rootkit
03-16
Linux rootkit是一种恶意软件,它可以隐藏在操作系统内核中,以避免被检测和删除。它可以允许攻击者远程控制受感染的计算机,窃取敏感信息,修改文件和系统设置,甚至可以使系统崩溃。为了保护计算机安全,用户应该定期更新操作系统和安全软件,避免下载和安装来自不可信来源的软件,以及使用强密码和多因素身份验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

纪亚钧

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值