Rootkit对抗AV的方式

于 2024-03-04 17:08:13 发布
阅读量142 收藏
点赞数
分类专栏: Windows逆向 文章标签: windows rootkit FudModule
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43312649/article/details/136456217
版权
本文详细介绍了Rootkit如何利用各种回调机制来对抗反病毒软件,包括注册表回调、对象回调、进程线程图像回调、镜像验证回调、微过滤器、Windows过滤平台WFP和ETW事件跟踪的规避策略。Rootkit通过替换或禁用回调函数,清空回调链表,以及修改系统标志来防止被安全软件检测到。
摘要由CSDN通过智能技术生成

注册表回调

解析查找nt!CallbackListHead。此解析通过迭代内存中CmUnRegisterCallback的导出表来执行,扫描其函数体以查找指令,然后根据从指令的操作码中提取的偏移量计算最终地址来完成的。
有了nt!CallbackListHead地址,FudModule就可以迭代注册表回调链表。它检查每个条目并确定回调例程是否在ntoskrnl.exe、applockerfltr.sys或bfs.sys中实现。如果是,则回调保持不变。否则,rootkit 将用指向的指针替换回调例程指针ObIsKernelHandle,然后继续取消链接回调条目。

对象回调

首先,rootkit 扫描例程主体ObGetObjectType以获取nt!ObTypeIndexTable的地址。它包含一个指向结构的指针数组_OBJECT_TYPE,每个结构都代表一个不同的对象类型,例如Process、Token或SymbolicLink。FudModule 迭代此数组(跳过前两个特殊含义的元素)并检查每个_OBJECT_TYPE.CallbackList,其中包含为特定对象类型注册的对象回调的双向链接列表。然后,rootkitCallbackList通过使每个节点的前向和后向指针指向自身来清空。

进程、线程和图像内核回调

nt!PspNotifyEnable

了解本专栏 订阅专栏 解锁全文 超级会员免费看
摔不死的笨鸟
关注
专栏目录
订阅专栏
红队系列-shellcode AV bypass Evasion免杀合集
aming小老弟
11-13 1569
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode。
AV(反病毒)技术的演进》AV方法论的改善和修正部分学习笔记
黑夜黎明
05-30 798
AV辩证法  反病毒绝不是简单的技术对抗,整个AV体制,包含着很多逻辑的、法理的因素。以及工程规划的因素,有很多共性的基本原则。客观来说,这些共性原则首先被从实践中总结形成,回头来又指导着反病毒引擎乃至反病毒工具的设计。  部分原则:   1·计算机病毒归根到底是一种程序   2·计算机病毒的特征码是从程序体或程序体的某种处理结果上,选取的可以唯一确定计算机病毒类别的标识。   3·计算机病毒最根...
红蓝对抗之常见网络安全事件研判、了解网络安全设备、Webshell入侵检测
Love&Share
12-25 8740
文章目录研判(入侵检测)设备经典网络云网络异常HTTP请求Webshell分析Webshell 的分类Webshell 的检测主机层面流量层面附录常见端口漏洞参考文章: 研判(入侵检测) 研判我理解为人工层面对入侵检测事件进行再分析,即借助已有的设备告警根据经验判断是否为真实攻击 研判工作要充分利用已有安全设备(需要提前了解客户的网络拓扑以及部署设备情况),分析其近期的设备告警,将全部流量日志(日志条件:源地址,目的地址,端口,事件名称,时间,规则ID,发生 次数等)根据研判标准进行筛选(像挖矿、蠕虫、.
C&C服务器对抗方法演进与域名产生方法(Domain generate algorithm, DGA)
sdulibh的专栏
08-23 5426
Introduction We all know there have been (and still is) a lot of malware lurking around the Internet. It’s quite usual today that once the victims get infected, they call back to the command and co
wuyun知识库目录
Grey的博客
01-15 8725
1269.利用Office宏及Powershell的针对性攻击样本分析2016-06-24 1268.SQL注入关联分析2016-06-24 1267.Android安全开发之ZIP文件目录遍历2016-06-23 1266.search-guard 在 Elasticsearch 2.3 上的运用2016-06-23 1265.签名加密破除-burp插件在app接口fuzz中的运用201
史上20大计算机病毒
矩阵实验室
07-17 3418
一谈计算机病毒,足以令人谈“毒”变色。硬盘数据被清空,网络连接被掐断,好好的机器变成了毒源,开始传染其他计算机。中了病毒,噩梦便开始了。有报告显示,仅2008年,计算机病毒在全球造成的经济损失就高达85亿美元。计算机病毒现身江湖已多年,可以追溯到计算机科学刚刚起步之时,那时已经有人想出破坏计算机系统的基本原理。1949年,科学家约翰•冯•诺依曼声称,可以自我复制的程序并非天方夜谭。不过几十年后,黑
热门的XDR到底是一类什么样安全产品?
si1ence的博客
04-09 5665
最近一段时间XDR的概念十分热门,该产品主要是一个什么类型的产品?具体能够解决那些问题,和当前已有的产品有什么区别? 作为近两年最为热门的安全技术方向,XDR成为被Gartner《Top Security and Risk Management Trends》报告提到的第一项技术和解决方案。对于XDR,虽然很多安全厂商给出的定义都不尽相同,但是却有这样一个基本的共识:它不仅是众多安全能力的集合,更将这些单独的能力进行全面协同,从而使之成为上下联动、前后协作的有机整体。
山东大学软件学院2023-2024秋季学期系统安全80个名词解释
最新发布
qq_64112881的博客
01-18 1847
相反,它们使用更先进的启动和配置机制。它中间所经过的各节点,都好像洋葱的一层皮,把客户端包在里面,算是保护信息来源的一种方式,这样在洋葱路由器之间可以保持通讯安全。首先DDOS攻击者要寻找僵尸主机,在互联网上寻找一些有后门漏洞的主机,然后入侵系 统安装控制程序,入侵的越多,控制的僵尸主机就越多,攻击源就更多,然后把入侵的主机分配,一部分充当攻击的主要控制端,一部分充当攻击源,各负其责,在攻击者统一指挥下对被攻击的服务器发起攻击,由于这个攻击模式是在幕后操作,所以很难被监控系统跟踪,身份不容易被发现。
沙箱逃逸技术
jackey3Lin的专栏
11-21 9426
沙箱技术实现特点    (((本文仅仅讨论沙箱的逃逸技术问题,不涉及高大上的架构性问题及APT防御性问题,避免问题的无限扩大化。))) 用沙箱动态行为分析检测malware是近几年补充传统AV杀软的通用技术,但是各厂商对沙箱的实现方式和检测方案设计不尽相同,单纯从沙箱角度看,基本分为虚拟化和仿真模拟两大类,然后会在这两种的基础上加上内存分析或者多系统多沙箱联合分析,其中云查杀,信誉,流量检测等本
Rootkit端口隐藏技术_rootkithook_hook_rootkit_creature2ka_隐藏驱动
09-11
Rootkit是一种高级的系统安全工具,它主要用于隐蔽和保护恶意软件活动,使它们不被常规的安全软件检测到。在本文中,我们将深入探讨Rootkit如何使用Hook技术来隐藏端口,以及如何通过驱动加载实现这一目标。我们还将...
Rootkit-Ring3_rootkit_
09-29
Repo for Rootkit Ring 3 and Ring 0 test in Python and C++
Rootkits and Bootkits 2019 English edition_pdf_Bootkit_rootkit_e
09-30
3. **Bootkit感染途径**:常见的Bootkit感染方式包括通过网络下载、U盘传播、恶意邮件附件等,一旦感染,可能通过修改MBR(主引导记录)或VBR(卷引导记录)实现持久化。 4. **检测与防御**:检测Rootkits和...
Rootkit木马隐藏技术分析与检测技术综述
02-08
这种技术通过删除进程对象从而使得进程隐藏,并且这种隐藏方式难以被检测出来。 Rootkit木马可以通过Hook API函数来实现进程隐藏,例如Hook CreateProcess函数以捕获进程的创建过程,并将其从进程链表中删除。 SSDT...
X64dbg正确使用姿势
热门推荐
摔不死的笨鸟的博客
11-25 1万+
X64DBG是目前来说64位windows操作系统最主流的调试器,这里简单介绍下一些需要注意的使用姿势。 1、取消系统断点。默认是系统断点,可以打开,选项-设置把系统断点勾掉,只断入口断点和TLS回调函数。 2、带参数调试进程。文件-改变命令行。 3、寄存器上右键高亮,可以高亮寄存器,阅读shellcode时比较容易分辨寄存器值变化。或者使用快捷键H键。 4、循环指令中设置条件记录断点的方法(脱解密壳或逆算法基本必用): 指令上首先F2下断点,然后在断点界面右键Edit,设置暂停条件。并记录寄存器情况
一篇学会脱壳——06.exe脱壳
摔不死的笨鸟的博客
09-07 7270
加密壳脱壳
如何处理C#混淆
摔不死的笨鸟的博客
05-31 3915
C#混淆基本可以过所有静态特征检测,C#的软件经常被用来写加载器,勒索和窃密有很多是C#语言。 有些C#的混淆在基本信息上可以看到,当然这是一种比较低级的混淆方法,大多数作者会抹去这个信息字符串。 图片来自于深信服的分析报告: https://www.sangfor.com/blog/cybersecurity/new-threat-mallox-ransomware de4dot de4dot工具可以识别以下几种类型的混淆,并且可以还原一大部分符号信息。 Agile.NET (aka CliSecure
脱壳进阶篇——IAT修复与解密
摔不死的笨鸟的博客
12-09 2984
IAT修复 这种jmp明显有问题,下断点跟进去看一下。 复制IAT中的第一条和最后一条,指定范围去获取输入表,准确完美。 数据窗口跟随内存地址,这种77和76开头的典型就是API函数地址,使用长型地址指针即可观看系统API函数名字。 ...
Virut感染型病毒查杀工具
摔不死的笨鸟的博客
08-25 2782
职业病毒分析师的职责是为安全运营团队提供有力的后台支持,并能处置突发的大型感染病毒和勒索病毒。 下面是自己写的Virut一款感染型病毒的修复工具。该工具没有遍历文件,只是修复了C盘下被病毒感染后的一个文件:hypertrm.exe.V。有兴趣的可以研究交流。 // VirutRemoveTool.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include <Windows.h> #define BYTELENGTH 1024 int Restor
Windows驱动的加载顺序
摔不死的笨鸟的博客
11-02 2323
开机内核初始化后,加载顺序前10榜没几个是看起来正常的驱动。是因为这些看起来.dll后缀的驱动比较底层,甚至虚拟机都没有办法模拟,所以比较特别。 Windows驱动分为Boot Start、System Start、AutoStart和Demand Start四种启动类型,分别代表驱动注册表中Start键值的0\1\2\3,驱动加载时优先加载Boot Start型驱动,按照0、1、2、3类驱动启动类型来加载驱动。优先加载的驱动优先获得到更早的权限,拿到主机的权限。 2017年出现的Rootkit狼人杀就把.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

摔不死的笨鸟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值