rootkit开发

最新推荐文章于 2024-06-19 11:08:03 发布
最新推荐文章于 2024-06-19 11:08:03 发布
阅读量611 收藏
点赞数 1
文章标签: windows 汇编 assembly 语言 microsoft 代码分析
1. 首先,你得学习一种语言。C / C++最好的选择。不像其他语言,C具有内嵌汇编语言的能力。虽然大多数程序员极少使用到汇编语言,但是rootkit的开发有时需要汇编语言的灵活性,所以x86汇编应当成为你的辅助编程语言。Randall Hyde的《Art Of Assembly》是汇编编程最好的参考资料之一。该书有印刷和电子书两种可获取的版本。《Art of Assembly》的下载网址是 http://webster.cs.ucr.edu/AoA/DOS/
2. 你需要学习一些操作系统的理论。虽然大学的设计操作系统理论课程不是必需的,但阅读大学计算机学科教材的若干章节是有益的。特别是进程﹑线程﹑内存管理等知识,你得了解。这方面很好的书籍有两本:《Operating System Concepts》Silberschatz, Galvin, 和 Gagne著《Operating Systems》Deitel & Deitel著
3. 你得应用理论知识,理解真实世界中的操作系统比如windows实际上是如何工作的。虽然Windows不公开源代码,但是有很多牛人热衷于对系统内核工作原理进行逆向分析,并公开了他们的发现。弄一本此类的书吧,比如Sven Schreiber写的《Undocumented Windows 2000 Secrets》 或者Prasad Dabak, Milind Borate,和 Sandeep Phadke写《Undocumented Windows NT》。
4. 如果你想着手开发内核rootkit,你还得学习如何编写内核模式驱动程序(KMD)。很不幸,互联网上关于内核编程的教程,适合初学者的很少。不过,Four-4写出了几篇很好的win32汇编版的教程,它们可在 http://www.assembly-journal.com/sitemap.php 获取。除此之外,这方面的书籍还有一些:包括Art Baker 和Jerry Lozano蓍的《The Windows 2000 Device Driver Book》以及Walter Oney蓍的《Programming The Microsoft Windows Driver Model》。
5. 学习逆向代码分析的基础知识,也就是说对于没有源代码的二进制文件也能(通过逆向分析)了解到(代码功能等)有关信息。练习逆向分析软件的保护机制(序列号,时间检验,脱壳,演示软件的功能限制等等)是发展这个技能的有趣方式。有很多程序员编写了训练用的小型程序。这些程序称之“crackmes”和” “reversemes”,我们可用它们来进行练习。在 http://www.crackmes.dehttp://www.reversemes.de 上收集了大量这样的小程序。 http://www.woodmann.com 上有大量高手写的关于逆向工程的资源。 http://bib.universitas-virtualis.org/ 上也有若干优秀教程和文章。逆向分析同样需要一些特别的工具,包括反汇编器和调试器。IDA Pro是首选的反汇编器,SoftICE (内核调试器)和OllyDebug是可供使用的调试器。其他各式各样的此类工具可从 http://protools.cjb.net获取
6. 最后,本站讨论了一些入侵工具和rootkit,如果你需要理解它们的资料,我推荐Greg Hoglund的《Exploiting Software》(本站就有)和《Shell Coder's Handbook》。两者都会提供给你很好的入门知识。《Exploiting Software》有一章节介绍了基本的rootkit技术。一般,基于它们的数据拦截方法,Rootkit可以分为两种:要么是挂勾,要么是直接内核对象操作(DKOM)。
      为了理解挂勾技术,以下链接可能对你有帮助。API 检测技术(API Spying Techniques) http://www.internals.com/articles/apispy/apispy.htm 挂勾高级函数(Advanced Function Hooking) http://www.phrack.org/show.php?p=58&a=8 挂勾Windows NT服务表(Windows NT Service Table Hooking) http://www.wiretapped.net/~fyre/sst.html 挂勾Windows NT系统服务(Hooking Windows NT System Services) http://www.windowsitlibrary.com/Content/356/06/2.html 挂勾Windows NT系统调用(Windows NT System-Call Hooking) http://www.ddj.com/articles/1997/9701/ 为了理解DKOM,你可以阅读fuzen_op 写的FU rookit的源代码。
jordon830202
关注
rootkit原理与编写教程
qq_42882717的博客
03-31 2981
rootkit原理与编写教程rootkit原理rootkit介绍windowsrootkit编写windows编程技术Linux下rootkit编写 rootkit原理 rootkit介绍 Rootkit的历史已经很悠久了。存在于windows,unix,linux等操作系统中。Root在英语中是根,扎根的意思,kit是包的意思。 rootkit我们可以把它理解成一个利用很多技术来潜伏在你系统中的一个后门,并且包含了一个功能比较多的程序包,例如有清除日志,添加用户,cmdshell,添加删除启动服务等功能
Mac OS X 内核Rootkit开发指南
qq_43678568的博客
01-28 985
Mac OS X 内核Rootkit开发指南
rootkit入门(翻译)
gzfqh的专栏 →底层代码研究
11-15 7918
常见问题解答 : 如何入门?来源:rootkit_com 作者:Clandestiny 翻译:fqh “Help!我是一名新手!我需要一款rootkit入侵朋友的机器…我想编写自己的rootkit…我想开始开发代码… 该从哪里入手?”此类问题在rootkit.com上不断地出现,并且重复回答一些人问的相同问题浪费了大量时间,我想到我们应当编辑一个短小的文档来对它们进行一般性的叙述。下面的论述远非完
编写一个简单的linux kernel rootkit
莫慌的博客
09-26 805
转载看雪精品文章简单的linux rookit
rootkit
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-14 1362
第一章    背景 1.1 Rootkit的概念 1.2 Rootkit及其检测技术的发展现状 1.3 Rootkit检测工具介绍 1.4本书所涉及的概念和工具 第二章    Rootkit与检测技术相关的硬件基础 2.1 三环和零环 2.2 保护模式的内存保护 2.3  IDT/GDT/LDT 2.4 系统调用环境切换 第三章
ring0驱动开发Rootkit隐藏进程.zip
01-25
ring0驱动开发Rootkit隐藏进程.zip
TorRootkit:为Windows 10开发的python3 Rootkit,用于Tor隐藏服务
03-22
Tor Rootkit Python 3独立Windows 10 Rootkit。 网络通过隐藏的服务工作。 安装 用git克隆: git clone https://github.com/emcruise/TorRootkit.git 将目录更改为存储库: cd ./TorRootkit 听众 侦听器旨在在...
(rootkit)FindProcess_windowskernel_rootkit_源码.zip
10-25
5. **源码分析**:对于安全研究人员来说,分析这样的源代码可以帮助他们识别Rootkit的签名和行为模式,以便开发新的检测方法。这包括了解Rootkit如何加载到内核、如何隐藏自身以及如何通信等关键环节。 6. **防御...
一种新型Linux内核级Rootkit设计与实现.pdf
09-06
一种新型Linux内核级Rootkit设计与实现.pdf 一、Rootkit概述 Rootkit是一种特殊类型的恶意软件,其功能是隐藏自身及指定的文件、进程和网络连接等信息。攻击者通常使用Rootkit来隐藏他们的踪迹,避免被检测和追踪...
RootKit基础源码
03-03
收集整理自www.rootkit.com的RootKit基础源码。
rootkit程序代码
06-04
老外的有关rootkit技巧的程序代码,带驱动代码
linux rootkit源码
07-17
一个小型的linux rootkit源码 可以实现模块隐藏 进程隐藏等一些基本功能 也可以用做学习 
64位RootKit源码
02-05
德国人写的win64位RootKit代码
hook了所有IDT的rootkit代码
03-12
代码用c编写 实现hook了所有的256个IDT,并在dbgview下打印输出了每个IDT的调用次数
Rootkit技术
唯一谣|Airs|走尽天涯路|极地阳光
10-21 828
随着安全技术的发展和计算机用户群的技术提高,一般的木马后门越来越难生存,于是一部分有能力的后门作者把眼光投向了系统底层——ring 0。位于ring 0层的是系统核心模块和各种驱动程序模块,所以位于这一层的木马也是以驱动的形式生存的,而不是一般的exe。后门作者把后门写成符合wdm规范 (windows driver model)的驱动程序模块,把自身添加进注册表的驱动程序加载入口,便实现了“无启
渗透测试之内核安全系列课程:Rootkit技术初探(六)
最新发布
fearhacker的专栏
06-19 958
例如,它包含驱动类型、驱动大小、驱动对象、驱动标志、驱动的起始位置、驱动的大小、指向驱动程序映像的内存区对象、驱动的扩展空间、驱动名字等。DRIVER_OBJECT对象还包含了与驱动程序所管理的设备对象相关联的设备扩展结构,以及用于处理I/O请求的函数指针等信息。:这是一个指针,指向驱动程序所创建的设备对象链表的头部。:指向注册表中的硬件信息路径,为驱动程序提供设备特定的配置和参数( 在Windows内核模式驱动程序中,硬件数据库用于存储有关系统中所有设备实例的信息,如设备的设备路径、设备对象指针等 )。
编写一个简单的linux kernel rootkit
windy_ll的博客
08-08 916
编写一个简单的linux kernel rootkit
Rootkits,黑客之颠!
2402_84205067的博客
05-23 895
以上就是四个月入门内核安全的学习路线了,需要说明的是,四个月的时间可能还是不太够,很多东西只能学个皮毛,但足够大家摸到这个门槛了。大家在学习的时候,可以结合自己的实际情况进行缩短和增加学习时间。比如你对C语言已经有基础了,就可以跳过这一部分。又比如你觉得汇编部分,一周不够,那就多加一周,适合自己的节奏就好。大家对这份学习路线有什么疑问都可以在评论区告诉我哦。
FreeBSD内核Rootkit编程指南
"BSD ROOTKIT.pdf - 一本关于在FreeBSD操作系统下进行内核模式rootkit编程和开发的初稿指南,由Joseph Kong撰写,sniper翻译,qvel整理。内容涉及内核黑客技术,旨在教育读者理解并掌握rootkit的创建与设计。" 在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值