关于RootKit和Anti-RootKit的技术讨论

最新推荐文章于 2023-03-09 22:43:07 发布
最新推荐文章于 2023-03-09 22:43:07 发布
阅读量2.2k 收藏
点赞数
分类专栏: windows底层核心編程 文章标签: descriptor table windows list 数据结构 filter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/643099
版权

手头一本Subverting The Windows Kernel Rootkits,看了些RootKits的代码和同事以前写的Anti-Spyware的driver,发现很多技术都是自己一直在用的,有的是曾经用过又放弃了,只不过一直没有把这些当作RootKit来看待。也许是以前写的driver都是很常规的,为了更大的compatibility,一直都尽量避免用这些hook/patch~~~~

先列出我知道的windows kernel级的hook/patch技术,有兴趣的XD在后面补上新的,希望这个帖子能为寻找hook/patch技术的人提供点信息哦~~~

1. Hooking the System Service Descriptor Table
2. Hooking the Interrupt Descriptor Table
3. Hooking the Major I/O Request Packet Function Table in the Device Driver Object
4. Detour Patching (Long Jump)
5. Filter Device Driver
6. Import Address Table Hooking/Export Address Table Hooking
7. DKOM

但确实如wowocock所说,没有windows source code,这种LIST_ENTRY都不知道哪里有。现有的DKOM也只能对process list和driver list进行操作。

DKOM也是改变了原本OS的机能,从大的方面来说,也算是打了补丁了。

一般patch说的是动态修改操作系统代码.DKOM修改的一般不是代码页.
通常DKOM也是不会改变机能的,因为OS不会走你的逻辑,只是骗过OS一些数据结构罢了.OS照样做它自己该做的事.

绕这个概念也没啥意思,只是觉得楼主要列出来patch/hook的名字么,怎么有点逻辑冲突,嘿嘿


iiprogram
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Anti MBR-Rootkit技术研究
01-20
摘要:本文主要对磁盘主引导记录MBR和Windows操作系统的启动过程进行了阐述,对Rootkit和MBR-Rootkit技术特点进行了总结,对MBR-Rootkit结构和实例的行为特点进行了深入研究和剖析,针对WinXP操作系统的MBR-Rootkit...
简单认识Anti-RootKit
程序人生,学海无涯
05-07 3285
简单认识Anti-RootKit 作者:single 现在RK(rootkit)和ARK(anti-rootkit)的斗争已经进行了很久,在印象中最早出来的ARK工具是冰刃(IceSword),从冰刃开始出来到现在RK和ARK的斗争一直在继续,目前冰刃还是在流行当中,自己感觉也正是冰刃的出来才带动了当前流行的RK和ARK的斗争 呵呵,现在很多病毒木马已经广泛的带有驱动,使用一些RK
冰刃杀毒工具使用实验(29)
最新发布
yyj1781572的博客
03-09 1432
冰刃是一款广受好评的ARK工具。ARK工具全称为Anti Rootkit工具,可以理解为辅助杀毒工具,在具有一定操作系统知识后,完全可以利用该工具手动杀毒!冰刃适用于Windows 2000/XP/2003 操作系统,界面虽然看起来比较的粗糙但是其内部功能是十分强大,用于查探系统中的幕后黑手—木马后门,并作出处理。一般都可轻而易举地隐藏进程、端口、注册表、文件信息,一般的工具根本无法发现这些幕后黑手。目前最新版本为1.22。
eBPF-AntiRootkit
SenberHu的博客
05-17 339
背景: 针对最近几年频繁出现的通过eBPF进行容器逃逸、rootkit等攻击,需要考虑如何收敛服务器ebpf相关权限,防止被黑客利用。 静态方案: 宿主机层面: 非root用户不赋予CAP_BPF及CAP_SYS_ADMIN 注:3.15 - 5.7 内核不赋予CAP_SYS_ADMIN即可 5.8及以后内核需要同时不存在CAP_BPF及CAP_SYS_ADMIN权限 非root用户禁止调用ebpf功能 /proc/sys/kernel/unprivileged_bpf_disabled 设置为1
绕过目前主流的现代Anti-rootkit工具
yaneng的专栏
06-18 8422
本文描述了一些方法,可以绕过目前主流的现代Anti-rootkit工具,包括但不限于:Icesword 最新版、Gmer最新版、Rootkit unhooker 最新版、DarkSpy 最新版以及AVG Anti-rootkit最新版等等  目前的anti-rootkit工具中,对于内核模块主要采用如下几种扫描方式:  1.恢复ZwQuerySystemInformation的hook,然
deianeira.rar_Anti-rootkit_Free!
09-14
Deianeira Anti-rootkit是一款专为Windows操作系统设计的免费反Rootkit工具,它旨在帮助用户检测和清除隐藏在系统深处的恶意Rootkit程序,保护系统的安全与稳定。Rootkit是一种高级的恶意软件技术,其主要功能是隐藏...
基础电子中的Anti MBR-Rootkit技术研究
10-20
摘要:本文主要对磁盘主引导记录MBR和Windows操作系统的启动过程进行了阐述,对Rootkit和MBR-Rootkit技术特点进行了总结,对MBR-Rootkit结构和实例的行为特点进行了深入研究和剖析,针对WinXP操作系统的MBR-Rootkit...
一款手工杀毒/Anti-rootkit工具-ixer 0.11开源版
06-15
希望能够帮助到像作者一样热衷于windows内核安全的刚起步的晚辈们,在研究参考或开发过程中有遇到技术瓶颈可以联系作者研究学习讨论,作者也很期待能广交各路豪友。 开发环境: 界面: MFC(C/C++) /Microsoft ...
Griffin-Hypervisor:使用Intel VT-x实现的Anti-Rootkit
03-18
Girffin系统管理程序使用Intel VT-x功能实现的Anti-Rootkit。 Griffin项目包含许多模块,其中之一就是Griffin Hypervisor。 Griffin Hypervisor是带有我们自定义安全模块的VT-x虚拟机管理程序,可在内核级别观察恶意...
win-unhooker:anti-rootkit-Windows Unhooker的简单实现
05-19
双赢 anti-rootkit-Windows Unhooker的简单实现。
rootkit后门工具
06-09
抓鸡入侵过程中建立系统超级隐藏帐户。。。。。。。。。。。。
AntiRootkit工具-XueTr 吾爱破解论坛专版2010.11.30更新
12-26
一个强大的手工杀毒工具,支持32位的2000、xp、2003、vista、2008和Win7操作系统。 目前实现如下功能: 1.进程、线程、进程模块、进程窗口、进程内存、定时器、热键信息查看,杀进程、杀线程、卸载模块等功能 2.内核驱动模块查看,支持内核驱动模块的内存拷贝 3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,并能检测和恢复ssdt hook和inline hook 4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看,并支持对这些Notify Routine的删除 5.端口信息查看,目前不支持2000系统 6.查看消息钩子 7.内核模块的iat、eat、inline hook、patches检测和恢复 8.磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除 9.注册表编辑 10.进程iat、eat、inline hook、patches检测和恢复 11.文件系统查看,支持基本的文件操作 12.查看(编辑)IE插件、SPI、启动项、服务、Host文件、映像劫持、文件关联、系统防火墙规则、IME 13.ObjectType Hook检测和恢复 14.DPC定时器检测和删除 15.MBR Rootkit检测和修复 16.内核对象劫持检测 17.WorkerThread枚举
rootkit、ark(anti-root-kit)和apt以及anit-apt和hips
lengye7的博客
10-01 1132
rookit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。   ark,全称是anti-root-kit,就是反rookit的意思。ark往往是一个工具集成包 ARK工具 (AntRootkit) ,又叫反内核工具,运行时具有最高的系统权限。 主要功能: 1、进程管理 2...
简单认识Anti-RootKit(ZT)
wxl1986622的专栏
02-29 591
from:http://www.debugman.com/read.php?tid=646 现在RK(rootkit)和ARK(anti- rootkit)的斗争已经进行了很久,在印象中最早出来的ARK工具是冰刃(IceSword),从冰刃开始出来到现在RK和ARK的斗争一直在继续,目前冰刃还是在流行当中,自己感觉也正是冰刃的出来才带动了当前流行的RK和ARK的斗争呵呵,现在很多病毒木马已经
关于rootkitanti-rootkit的一些思考(一)
MTrickster的专栏
01-01 1107
       作了进两个月的rootkitanti-rootkit,不免有很多思考。你一直在想握着篇文章算是什么类型的呢,心得,算不上,讲技术的,更不说,就叫日志吧。如果你不幸看到这篇文章,发现几乎没有叫的是对的,请不要大惊小怪。当然我更欢迎你指出。       说道rootkitanti-rootkit,我想有一个不能不说的是hook。很多rootkitanti-rootkit产品都在
一个Anti Rootkit工具 by 老Y
Linhanshi Blog
01-17 704
 http://bbs.pediy.com/showthread.php?t=58445
linux后门rootkit程序介绍
Power of technology will free your body and spirit
06-06 3301
rkant = rootkit ant,它是利用netfilter hook开发的一款linux后门rootkit程序。 rkant包括服务器端程序(on victim server)和客户端程序(on user client pc),在ubuntu 14.04版本上面测试通过。 功能: 1、隐藏网络连接/端口,任意端口复用。不影响系统的正常工作和服务的正常运行。 2、隐藏文件以及
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值