RootKit端口深层隐藏

最新推荐文章于 2024-06-20 09:40:01 发布
最新推荐文章于 2024-06-20 09:40:01 发布
阅读量402 收藏
点赞数
原文链接:https://wohin.me/linux-rootkit-shi-yan-00024-rootkit-ji-ben-gong-neng-shi-xian-xyin-cang-duan-kou/
版权

RootKit端口深层隐藏

用户态下隐藏端口信息,就是把/proc/下端口相关信息过滤掉。具体来说,看下面一张表格:
在这里插入图片描述
可以看一下net/ipv4/tcp.cnet/ipv4/tcp_ipv4.c的开头注释,列举了 TCP/IP 协议栈的开发者们。

下面我们以表格第一行的IPv4版本TCP为例,做端口隐藏实验。

首先看一下cat /proc/net/tcp
在这里插入图片描述
我们再看一下tcp4_seq_show

// net/ipv4/tcp_ipv4.c
#define TMPSZ 150
static int tcp4_seq_show(struct seq_file *seq, void *v)
{
	struct tcp_iter_state *st;
	struct sock *sk = v;

	seq_setwidth(seq, TMPSZ - 1);
	if (v == SEQ_START_TOKEN) {
		seq_puts(seq, "  sl  local_address rem_address   st tx_queue "
			   "rx_queue tr tm->when retrnsmt   uid  timeout "
			   "inode");
		goto out;
	}
	st = seq->private;

	if (sk->sk_state == TCP_TIME_WAIT)
		get_timewait4_sock(v, seq, st->num);
	else if (sk->sk_state == TCP_NEW_SYN_RECV)
		get_openreq4(v, seq, st->num);
	else
		get_tcp4_sock(v, seq, st->num);
out:
	seq_pad(seq, '\n');
	return 0;
}
// fs/seq_file.c
void seq_puts(struct seq_file *m, const char *s)
{
	int len = strlen(s);

	if (m->count + len >= m->size) {
		seq_set_overflow(m);
		return;
	}
	memcpy(m->buf + m->count, s, len);
	m->count += len;
}
新鲜的菜鸟本菜
关注
基于C++的Rootkit端口隐藏技术详解
m0_57781768的博客
06-08 818
隐蔽性:通过修改系统内核和关键文件,隐藏自身及其活动,逃避安全检测。持久性:一旦安装成功,Rootkit能够在系统重启后继续运行,保持对系统的控制。多功能性:Rootkit不仅能够隐藏自身,还能够隐藏其他恶意软件,实现键盘记录、文件隐藏、网络连接隐藏等功能。钩子技术是一种用于拦截和修改系统API调用的技术,通过插入钩子函数,拦截目标API的调用,并在钩子函数中进行自定义处理后再返回结果。钩子技术广泛应用于调试工具、性能监控和恶意软件中。// 调用原始API// 自定义处理逻辑。
Rootkit端口隐藏技术_rootkithook_hook_rootkit_creature2ka_隐藏驱动_源码.zip
10-05
在本压缩包中,"Rootkit端口隐藏技术_rootkithook_hook_rootkit_creature2ka_隐藏驱动_源码.zip" 提供了关于Rootkit端口隐藏技术、Hook技术以及隐藏驱动的相关源码,这对于理解Rootkit工作原理和逆向工程分析具有...
隐藏IP和端口,可以隐藏指定的IP和端口
11-10
IP,端口隐藏工具IP
Linux rootkit隐藏TCP端口和检测
小立仔
07-17 2534
Linux rootkit隐藏TCP端口和检测
VC实现Rootkit端口隐藏
weixin_34009794的博客
05-30 85
#include "ntddk.h"#include <stdio.h>#include <tdiinfo.h>#include <tdistat.h>#include "netType.h"#define NT_DEVICE_NAME L"\\Device\\HidePort"#define DOS_DEVICE_NAME L"\\DosDevices\
[Rootkit] 进程隐藏 - 内存加载(寄生&僵尸进程)
CSDN
07-16 7481
这就导致了另一个问题:同样一个段,在磁盘中相对文件起始的距离,和内存中相对imageBase的距离是不一样的(因为地址对齐,拉伸了)!所以只能把需要用到的这些系统函数统一放在一张叫做导入表的表格,explorer加载的时候还要挨个遍历导入表,一旦发现该PE文件用到了某些系统API,需要用这些API在内存的真实地址替换PE文件中call的地址(这也是用OD、x96dbg这些常见的调试器能找到这些系统函数的根本原因:都是系统提供的嘛,函数名必须保存起来,否则加载的时候没法替换成内存中真正的地址)!
关于端口隐藏
柒十岁月
12-10 1200
#include #include #include #define taille 28432#define offprelude 9859#define offcode 11298int main (int argc, char *argv[]) {int i;char port[6];char version[7];char *netstat;char buff[taille];char *e
Rootkit端口隐藏技术_rootkithook_hook_rootkit_creature2ka_隐藏驱动
09-11
Rootkit的核心功能之一是端口隐藏,这主要是为了防止网络安全分析工具发现恶意活动。当一个Rootkit被植入系统后,它可以使用Hook技术来拦截和修改系统调用,以便在系统级改变端口的可见性。Hook是一种编程技术,通过...
Rootkithideport.rar_Rootkithideport_rootkit隐藏端口_端口 隐藏_端口隐藏_隐藏端口
07-14
利用rootkit技术实现的端口隐藏,感觉还不错哟。。
Rootkit端口隐藏技术_rootkithook_hook_rootkit_creature2ka_隐藏驱动_源码.rar
09-29
这个压缩包文件“Rootkit端口隐藏技术_rootkithook_hook_rootkit_creature2ka_隐藏驱动_源码.rar”显然包含了关于Rootkit技术的详细资料,特别是涉及到端口隐藏、Hook技术以及隐藏驱动的源码。以下将深入探讨这些...
rootkit,文件,进程隐藏
11-05
rootkit,backdoor,系统调用劫持,ps进程隐藏,ls文件隐藏,代码
驱动层端口隐藏技术-C
05-30
驱动层端口隐藏技术-C 用c编写的驱动。请保存为.sys
隐藏工具00
04-22
可以隐藏进程,文件。保护文件,进程。还可以修改进程路劲。
ring0驱动内核级的ROOTKIT实现隐藏文件,隐藏注册表项,隐藏端口.zip
01-27
ring0驱动内核级的ROOTKIT实现隐藏文件,隐藏注册表项,隐藏端口.zip
图说adore-ng之端口隐藏
么刚的专栏
10-20 2157
端口隐藏,使用户无法通过netstat之类的命令,得到我们需要隐藏端口信息。netstat是通过读/proc/net下的文件来完成的。Strace可以看出:netstat的主要操作有:open/read  文件/proc/net/tcp,/proc/net/udp,/proc/net/raw ……,如下图:adore-ng的实现:  adore默认隐藏的是tcp协议的端口
[Rootkit] 进程隐藏 - 内存加载(进程寄生)
LYSM
06-11 1506
众所周知,windows下可执行文件必须符合一定的格式要求,微软官方称之为PE文件(关于PE文件的详细介绍这里就不赘述了,google一下可以找到大把);用户在界面双击exe时,有个叫做explorer的进程会监测并接受到这个事件,然后根据注册表中的信息取得文件名,再以Explorer.exe这个文件名调用CreateProcess函数去运行用户双击的exe;PC中用户一般都是这样运行exe的,所以很多用户态的exe都是exlporer的子进程,用process hacker截图如下: 那么这个explo
计算机端口伪装,隐藏和伪装端口banner
weixin_29214335的博客
07-27 903
OpenSSH修改openssh-3.x/version.h找到#define SSH_VERSION "OpenSSH_3.x"修改后编译安装修改SSH-2.0 (不建议)proto-mismatch.shproto-version.shSSH版本号:修改apps/ssh/ssh2version.h#define SSH2_VERSION "3.2.9.1"banner名:修改apps...
使用Rootkit隐藏踪迹:技术解析与检测策略
最新发布
weixin_43822401的博客
06-20 937
Rootkit是一种高级的恶意软件,它能够隐藏进程、文件、网络连接等,使得攻击者能够在不被受害者察觉的情况下控制系统。Rootkit通常通过替换或篡改系统文件来实现其隐藏功能。Rootkit作为一种高级持续性威胁,对网络安全构成了严重威胁。通过使用如Reptile和rkhunter这样的工具,安全专家可以更好地理解Rootkit隐藏机制和检测方法。重要的是,系统管理员需要保持警惕,定期检查系统安全性,并采取适当的预防措施来保护系统不受Rootkit和其他恶意软件的侵害。
linux查看进程_Linux下的几种隐藏技术
weixin_39622710的博客
10-21 458
0x00 前言攻击者在获取服务器权限后,会通过一些技巧来隐藏自己的踪迹和后门文件,本文介绍Linux下的几种隐藏技术。0x01 隐藏文件Linux 下创建一个隐藏文件:touch .test.txt touch 命令可以创建一个文件,文件名前面加一个 点 就代表是隐藏文件,如下图:一般的Linux下的隐藏目录使用命令ls -l是查看不出来的,只能查看到文件及文件夹,查看Linux下的隐藏文件需要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值