探索r77 Rootkit:隐形的系统守护者
r77 Rootkit是一个独特且强大的文件级rootkit,它专为在环3(ring 3)层执行隐蔽操作而设计。它的核心特性在于,通过简单的前缀隐藏机制,使得文件、目录、进程、服务、网络连接等各种系统元素遁于无形。
1、项目介绍
r77的工作原理是将所有以"$77"
开头的系统元素设为隐身状态,从而巧妙地躲避监视。不仅包括常规的文件和目录,还包括进程、注册表项、服务以及网络连接等。此外,它还有一个动态配置系统,允许你根据进程ID、名称、完整路径等自定义要隐藏的内容。
2、项目技术分析
- 配置系统: 使用注册表中的
HKEY_LOCAL_MACHINE\SOFTWARE\$77config
来存储配置信息,任何进程都可以无需特权进行修改,而且这个键本身也会被rootkit隐藏。 - 安装器: 只需一个名为
Install.exe
的文件即可部署r77,该文件会持久化rootkit并注入所有运行中的进程。同样,Uninstall.exe
用于干净卸载。 - 壳码执行: 提供了
Install.shellcode
,可以将其加载到内存中直接执行,实现无文件部署,避免文件扫描检测。 - 执行流程: 采用多阶段执行模式,确保rootkit在不写入磁盘的情况下持续驻留内存。
3、项目及技术应用场景
r77适用于那些需要在系统层面进行高度隐蔽操作的场景,例如安全测试、渗透测试或者软件调试。其AV/EDR规避策略使得它能在反病毒软件和终端保护解决方案下仍然保持隐形。
4、项目特点
- AMSI绕过: 通过修补
amsi.dll!AmsiScanBuffer
函数来防止AMSIsignature的检测。 - DLL解钩: 加载未被监控的新版
ntdll.dll
来移除EDEDR的API挂钩,防止过程空洞检测。 - 测试环境: 提供Test Console工具,方便对单独进程进行rootkit注入和配置系统测试。
获取与文档
访问bytecode77.com/r77-rootkit获取最新版本的r77 Rootkit(版本1.5.1,解压密码:bytecode77)和详细的技术文档,深入了解如何部署和集成这一工具。
请注意,由于r77的隐匿性及其潜在的风险,它应仅由熟悉系统安全的专业人士在可控环境中使用。使用此类工具时,请务必遵守所有相关法律法规,并尊重他人的隐私权。
总的来说,r77 Rootkit是一款高级的技术工具,展示了在系统级别实施隐蔽操作的深度和广度。对于那些希望探索系统底层行为、提高安全测试效率的人而言,这是一个值得深入研究的项目。