Hide Port/Link Bypass IceSword 1.22

最新推荐文章于 2021-02-01 17:37:42 发布
最新推荐文章于 2021-02-01 17:37:42 发布
阅读量1k 收藏
点赞数
分类专栏: windows底层核心編程 文章标签: xp 工具 query 工作 tcp 微软

by scott

 

解决了一个历史遗留问题。记得去年的时候和CD讨论过 IOCTL_TCP_QUERY_INFORMATION_EX 这个东西的处理,后来就没下文了。

这几天整理代码,索性就把那时候的几个相关代码找出来分析了一下。发现以前的代码有一个逻辑错误导致可以隐藏 XP netstat -an 命令。但是不可以在2003 netstat -an 下隐藏。然后发现处理的时候漏处理了ReqType 0×102 这个类型修正了这个逻辑错误后可以在2003 netstat -an 下隐藏了。
其实本应该到此结束,不过在这个过程中有个了一个偶然的发现,才有了继续做的动力。

先说发现:在XP下 netstat -an 实际上系统只发了一个 0×101 ID IRP进行查询。而在2003上也许是微软对网络版操作系统的加强(个人想法),netstat -an 与在XP截然不同,2003发了两个查询IRP 分别是 0×101 和 0×102,然后对两个IRP返回的数据进行对比分析然后给出显示。以上的发现都是在我自己写的一个截获系统IRP的工具下动态监视后得出的。

然后继续用此工具分析,再参照一些TDI的结构,也就知道了 IceSword 1.22 查隐藏端口的原理,再稍微看一下其操作的层次。一切OK!

既然知道了原理那么绕过便是一个机械化的工作了。到此结束。

 

iiprogram
关注
专栏目录
VC实现Rootkit端口隐藏
尹成的技术博客
08-17 3843
#include "ntddk.h"#include #include #include #include "netType.h"#define NT_DEVICE_NAME L"//Device//HidePort"#define DOS_DEVICE_NAME L"//DosDevices//HidePort"#pragma pack(1) //SSDT表的结构typedef stru
SSDT Hook技术详解与应用
flydragonhero的专栏
03-10 6498
SSDT Hook技术详解与应用SSDT Hook技术详解与应用 一SSDT简介 1什么是SSDT 2SSDT结构 3应用层调用 Win32 API 的完整执行流程 二SSDT Hook原理 1SSDT Hook原理简介 2进程隐藏与保护 3文件隐藏与保护 4端口隐藏一、SSDT简介1、什么是SSDT​ SSDT 的全称是 System Services Descriptor Table,系统服
又一个hideport_hook部分代码
03-20 2575
昨天的inline hook 是在程序的最开始的前5字节改成jmp xxxx,缺点是太容易被发现,当然可以用变形的方法来替换jmp,比如push xxxx,ret 其他的很多方法,但昨天就考虑到除了变形外还可以把改写的位置放在其他位置上,比如从被hook的函数开始的第8个字节的几个字节改写成jmp xxxx,位置是不固定的,要看具体情况而定,比如NtDeviceIoControlFile,nt
BROOTKIT Pinciple、Code Analysis(undone)
weixin_34099526的博客
03-08 105
目录 1. Rootkit相关知识 2. BROOTKIT源码分析 3. 关键技术点 4. 防御策略   1. Rootkit相关知识 关于rootkit的相关其他知识,请参阅以下文章 http://www.cnblogs.com/LittleHann/p/3918030.html http://www.cnblogs.com/LittleHann/p/3910696...
TDI过滤驱动分析
chenyujing1234的专栏
07-31 4117
转载自: http://www.cnblogs.com/welfear/archive/2011/02/14/1954454.html   1、介绍 1、1 TDI驱动作用 TDI协议驱动主要应用于版本号在nt4至nt5之间的操作系统,本文档对TDI驱动的分析主要参考nt4所提供 的TDI驱动。TDI是Transport Driver Interface首字母缩写,主要提供网络层协议和
Bypass_1.13.79.zip
03-27
Bypass_1.13.79.zip
/*+ BYPASS_UJVC*/ 的使用技巧
热门推荐
凝结水晶
08-30 1万+
在使用implict update table 时,发现其中一个表一定要有唯一约束,否则会报错!但是oracle可以使用hints:/*+ BYPASS_UJVC*/ 屏蔽掉队唯一性的检查。具体测试过程如下:SQL> CREATE TABLE test_a(   2  id NUMBER ,   3  score NUMBER ); Table created. Elapsed: 00:00:00.10 SQL>  CREATE TABLE test_b(   2  id NUMBER);
bypass-403:一个简单的脚本,仅供旁路403使用
04-13
./bypass-403.sh website-here path-here 特征 在卷曲的帮助下使用13个已知的403绕过 安装 git clone https://github.com/iamj0ker/bypass-403 cd bypass-403 chmod +x bypass-403.sh sudo apt install figlet...
立华科技先进的光/电网络通信接口Bypass功能简介.pdf
09-21
立华科技在其产品中引入的Bypass(旁路)功能是网络通信领域的一项重要技术。Bypass功能旨在确保网络在主设备出现故障时能够继续运行,以维持网络的连续性和稳定性。为了理解这一功能,我们首先需要了解几个关键点:...
Intel Pro-1000 PT Quad Port Bypass Server Adapter-计算机科学
04-22
Intel:registered: PRO/1000 PT Quad Port Bypass Server Adapter Copper Quad Port GbE Server Adapter for Inline SecurityInline intrusion prevention, security, load balancing, and web acceleration ...
PortHidDemo_Vista
08-01 1384
///////////////////////////////////////////////////////////////////////////////////////// Filename: PortHidDemo_Vista.c// // Author: CardMagic(Edward)// Email: sunmy1@sina.com// MSN:  onlyonejazz at h
DeviceIoControl端口隐藏
weixin_34162228的博客
02-15 185
DeviceIoControl端口隐藏 通过HookTCP驱动程序的Irp分派例程(irpStack->MajorFunction[IRP_MJ_DEVICE_CONTROL])来隐藏应用层查询端口信息 #include <ntddk.h> #define CO_TL_ENTITY 0x400 #define CL_TL_ENTITY 0...
备用
qq_35746383的博客
08-03 4580
风叶林-资源最多的免费辅助教程论坛 -> 驱动保护 -> 反调试与反反调试内容收集帖 方便大家学习 [打印本页]   啊冲 2016-02-03 10:42 反调试与反反调试内容收集帖 方便大家学习 反调试技术在调试一些病毒程序的时候,可能会碰到一些反调试技术,也就是说,被调试的程序可以检测到自己是否被调
Hook 系统服务隐藏端口
孤独是因为思念谁
01-09 2121
作者: JIURL主页: http://jiurl.yeah.net有时候写程序,调试程序真是一件非常有趣的事,就比如这次,蹦蹦跳跳,笑嘻嘻,意犹未尽的就把这个程序搞好了。netstat 或者其他各种列举端口的工具,比如fport,或者 sysinternals 的 Tcpview,都是调用 Iphlpapi.dll 中的 API 来完成端口的列举。而 Iphlpapi.dll 中的 API 最终
RootKits——windows内核的安全防护(6)
dayenglish的专栏
03-29 1170
驱动程序的入口很简单,仅仅设置好相应的Unload函数,并调用Hook函数。  PFILE_OBJECT pFile_tcp;PDEVICE_OBJECT pDev_tcp;PDRIVER_OBJECT pDrv_tcpip;NTSTATUS DriverEntry( IN PDRIVER_OBJECT DriverObject, IN PUNICODE_ST
IOCTL 获取网络信息(Ethtool工具
Tony的专栏
02-01 2547
https://www.cnblogs.com/liujiacai/p/8207267.html https://www.cnblogs.com/shijianyujingshen/p/7441633.html
如何修改/sys/module/amvideo/parameters/bypass_ratio节点值
最新发布
05-29
您可以使用命令行工具echo来修改/sys/module/amvideo/parameters/bypass_ratio节点的值。具体步骤如下: 1. 打开终端。 2. 输入以下命令以获取当前节点值: ``` cat /sys/module/amvideo/parameters/bypass_ratio `...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值