![](https://img-blog.csdnimg.cn/20201014180756927.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
RootKit
文章平均质量分 80
摔不死的笨鸟
长期活跃更新,如果你觉得我的博客不错,那就订阅吧。这样我就能多买两本书看,给你写质量更高的博客。
展开
-
马的设计要求
反混淆1.所有字符串和配置数据没有加密。 1分2.所有字符串和配置数据加密了但是静态反编译之后就是一坨坨。 2分3.所有字符串和配置数据加密了但是静态反编译之后很干净,和普通商业软件很像。 3分解密时机的选择.在执行后等待一段时间后解密或去混淆所有字符串数据或配置数据。PE净化务必从二进制文件的最终构建中去除所有调试符号信息、清单(MSVC 工件)、构建路径、开发人员用户名请勿留下与一般美国核心工作时间(即东部时间上午 8原创 2021-08-05 11:06:10 · 158 阅读 · 1 评论 -
绕过BIOS/UEFI固件写保护写入SPI闪存
针对Bootkit:LoJax或MosaicRegressor和TrickBot等开始进行固件感染方式的病毒逐渐增多而作笔记整理。对主板上的SPI闪存芯片中存储的UEFI固件的所有请求都将通过SPI控制器,该控制器是Intel平台上的Platform Controller Hub(PCH)的一部分。可以通过PCI设备驱动访问PCI总线配置空间可以获取PCH的值。绕过BIOS/UEFI固件写保护写入SPI闪存用I/O命令访问PCI总线配置空间BIOS控制寄存器BIOS_CNTL攻击者如何感染UEFI固件?原创 2020-12-14 20:33:03 · 1886 阅读 · 0 评论 -
IDApython在恶意软件分析中的应用
IDA具有yara的批量识别能力,虽然速度上差了点,但是却有着强大的静态分析处理能力接口,病毒分析师可以通过逆向分析或者动态调式获取关键加解密处的代码,使用IDApython来批量分析和处理样本得到具有价值的威胁情报信息。IDA在恶意软件分析中的主要作用是利用IDA无界面版本idat64.exe的强大自动化分析能力去批量处理家族样本,静态上解密或者去混淆,最终以得到病毒样本的URL和IP地址为主要价值信息使用的前提是:一、病毒家族样本的加密函数固定有规律有通性。二、病毒样本的加密函数比较简单或者标准原创 2020-11-24 17:18:45 · 461 阅读 · 2 评论 -
样本分析报告——RevengeRAT无文件落地攻击
该样本出现在2019年9月6日,样本分析报告在2019年9月16日。样本来源于国外沙箱app.any.run。样本信息FileNameFileTypeFileSizeMD5Order____679873892.xlsRevengeRAT变种41,472 bytes7641fef8abc7cb24b66655d11ef3daf2样本行为样本启动后会有启动宏功能的安全提示。启用宏之后,提示运行时错误,提示标题为Microsoft Visual Basic,由此可以原创 2020-11-17 19:33:03 · 886 阅读 · 0 评论 -
PowerShell脚本类病毒分析
PowerShell介绍Powershell 早期一种VBScript的代替脚本语言,同时也是一种shell命令行执行窗口。微软最初出行PowerShell的原因是为管理员提供的自动化管理工具。在2016年中期,微软迈出了之前想都不会想的一步,完整开源了Windows PowerShell。为什么要重视Powershell?1.GUI无法带来效率上的提升。2.其他脚本语言总是有种种缺憾。3.越来越多的产品和Windows系统中组件已经采用PowerShell现今的反病毒产品,对于检测磁盘上的恶意原创 2020-11-12 15:51:01 · 3049 阅读 · 0 评论 -
Windows驱动的加载顺序
开机内核初始化后,加载顺序前10榜没几个是看起来正常的驱动。是因为这些看起来.dll后缀的驱动比较底层,甚至虚拟机都没有办法模拟,所以比较特别。Windows驱动分为Boot Start、System Start、AutoStart和Demand Start四种启动类型,分别代表驱动注册表中Start键值的0\1\2\3,驱动加载时优先加载Boot Start型驱动,按照0、1、2、3类驱动启动类型来加载驱动。优先加载的驱动优先获得到更早的权限,拿到主机的权限。2017年出现的Rootkit狼人杀就把.原创 2020-11-02 19:45:11 · 2214 阅读 · 0 评论 -
驱动回调的实现与逆向
PsSetCreateProcessNotifyRoutineEx函数创建进程回调NTSTATUS status = PsSetCreateProcessNotifyRoutineEx((PCREATE_PROCESS_NOTIFY_ROUTINE_EX)ProcessNotifyExRoutine, FALSE);第一个参数是真实处理的回调函数,第二个参数是BOOLEAN Remove。为True时即是卸载回调函数。VOID ProcessNotifyExRoutine(PEPROCESS pEP原创 2020-10-27 16:16:30 · 613 阅读 · 0 评论 -
2020年10月Rootkit技术研究资料推荐
书籍推荐RootKit windows内核的安全防护 2007年4月Rootkit:系统灰色地带的潜伏者 2013年10月Rootkits and Bootkits: Reversing Modern Malware and Next Generation Threats (Early Access) 2016年Rootkit隐遁攻击及其防范 2017年1月学术论文Rootkit攻防机制与实现方法.pdf 2018原创 2020-10-24 16:14:19 · 465 阅读 · 1 评论 -
恶意软件分析——RootKit高级分析技术
RootKit的运行特点是运行之后不退出、不创建其他进程,进程行为几乎完全模仿正常程序。普通方法很难察觉到它们的病毒目的。这类病毒的目的多是:1.密码窃取病毒 会进行密码爆破,cookie偷取,键盘记录,DNS枚举,长期藏匿于电脑中一旦得手就给远程服务器连接。2.感染型病毒 ...原创 2019-12-16 16:37:29 · 878 阅读 · 0 评论 -
2020黑客大会——深入浅出现代Windows Rootkit
为什么你会想到用一个Rootkit?一、内核驱动在机器里有着很高的权限二、与一个传统的反病毒软件的权限相同三、相对于用户层来说,对于内核病毒的解决措施(mitigations)和方案更少四、反病毒软件对于Rootkit的动作可见度较差五、反病毒软件容易忽略驱动驱动利用与签名利用合法的驱动有很多的(quite a few)好处:1.简单地修改就可以做到提权2.找到一个有漏洞的驱动是相对简单(relatively trivial)的一件事加载驱动3.不容易被检测到缺点就是:依赖操作系统,翻译 2020-09-27 17:05:53 · 988 阅读 · 1 评论 -
驱动级Rootkit攻击测试——进程隐藏
学习内核编程,祝早日能编写POC程序!SSDT HOOK NtOpenProcesstypedef NTSTATUS(*pfnNtOpenProcess)( PHANDLE, ACCESS_MASK, POBJECT_ATTRIBUTES, PCLIENT_ID); pfnNtOpenProcess OldNtOpenProcess;定义一个指向API的函数指针定义方法。作用是定义API函数指针备份原来的函数地址。typedef struct _SERVICE_DESCRIPTOR_T原创 2020-09-16 17:40:00 · 663 阅读 · 1 评论 -
KeySniffer(Kisni)——Linux键盘记录Rootkit分析
KeySniffer是Git上一个开源的LKM RootKit项目,又叫Kisni。工具特点:键盘记录程序实现简单,记录形式明确。在Unbuntu上编译程序并查看到ko模块信息。键盘记录的内容在/sys/kernel/debug/kisni/keys中,需要使用root权限才能查看。源码分析static int __init keysniffer_init(void){ if (codes < 0 || codes > 2) //检查用户输入的原创 2020-09-04 11:04:05 · 404 阅读 · 0 评论 -
恶意软件分析——Tesla勒索病毒分析
目录概述… 2样本信息… 2样本行为… 2流程图… 4技术细节详细分析… 5静态分析… 5线程一:结束指定进程… 8线程二:删除卷影副本… 8线程三:网络连接服务器… 9线程四:遍历文件并实施加密… 9动态分析… 11样本溯源… 12(略)查杀·防御技术方案… 13总结… 14FileNameFileTypeFileSizeMD5tfukrc....原创 2019-09-06 17:27:25 · 1047 阅读 · 1 评论 -
恶意软件分析——逆向工具介绍
使用ProcessHacker查看进程的权限。查看进程的父进程,原创 2019-12-10 20:44:34 · 826 阅读 · 0 评论 -
Rootkit原理——ROOTKIT ON LINUX X86 V2.6
Linux2.6内核的LKM Rootkit原理LKM Rootkit之HOOK系统调用表一、修改系统调用表的地址二、path系统调用过程的二进制代码三、滥用DR寄存器非LKM RootkitRootkit的常见功能Rootkit的主要技术参考文献LKM Rootkit之HOOK系统调用表一、修改系统调用表的地址Linux机制HOOK系统调用表方式sys_call_table[]导出sys_call_table[__NR_open] = (void *) my_func_ptr;原创 2020-09-01 20:16:05 · 303 阅读 · 0 评论 -
Virut感染型病毒查杀工具
职业病毒分析师的职责是为安全运营团队提供有力的后台支持,并能处置突发的大型感染病毒和勒索病毒。下面是自己写的Virut一款感染型病毒的修复工具。该工具没有遍历文件,只是修复了C盘下被病毒感染后的一个文件:hypertrm.exe.V。有兴趣的可以研究交流。// VirutRemoveTool.cpp : 定义控制台应用程序的入口点。//#include "stdafx.h"#include <Windows.h>#define BYTELENGTH 1024int Restor原创 2020-08-25 14:49:05 · 2675 阅读 · 0 评论 -
用Bootkit病毒来讲整个Windows启动过程
Windows开机过程流程图Bootkit进化史BIOS加电自检MBR加载VBR加载IPL加载NTLDR加载Windows内核ntoskrnl初始化流程图关于Windows的启动过程,最详细最全面的介绍在2005年的eEyeBootRoot开源时的技术文档中。eEyeBootRoot是WIndows7时代很多MBR感染病毒的鼻祖,也是人们开始研究Windows启动过程的热点时期。Bootkit进化史在《Rootkits And Bootkits Reversing Modern Malware原创 2020-07-22 12:02:23 · 1253 阅读 · 1 评论 -
BIOS Rootkit
国内外对于BIOS Rootkit的检测研究目前尚处于起步阶段。Rootkit可分为应用程序级Rootkit、系统工具级Rootkit和内核级Rootkit三个类型,我们今天讨论的就是内核级BIOS Rootkit。自BIOS芯片改用为可擦写芯片(如FlashROM、EPROM)以来,在BIOS芯片里植入程序就变得可能。最早,BIOS厂商选用这类芯片是为了方便BIOS日后的程序升级工作。然而...原创 2020-03-26 19:03:29 · 612 阅读 · 1 评论 -
UDK安装和编译UEFI程序
1.安装UDK2安装前需要准备好的下载的东西。全部放在C盘根目录下,比较好操作。另外需要python安装环境。VS2013环境。VS2013注意要在默认安装目录下。在conf目录下target.txt设置生成的模拟器的两个参数,第一个目标处理器改为X64或者IA32,第二个是TOOL_CHAIN工具链改为现在使用的编译器。模拟器改为MdeModulePkg/MdeModulePkg....原创 2020-03-20 15:38:19 · 2742 阅读 · 0 评论 -
Bootkit——HOOK IVT
鬼影HOOK xp系统 INT 13的代码。根据IVT在BIOS中存储区域,中断向量计算方法:向量号*4+0h(一般都是0h)。计算得出INT 13的IVT表基地址。INT13本来的地址是CB00:0117h。mov es:73h,eax先把INT13的IVT表基地址存放到ES:73h地址处,以便恢复。mov word ptr [bx+4c],66h 填充一个字...原创 2020-03-19 16:11:26 · 372 阅读 · 0 评论 -
第一个感染UEFI的BootKit——DreamBoot复现
环境Windows 8 64位企业版首先看下UEFI的启动过程。 **DreamBoot的HOOK情况**其中bootmgfw.efi被EFI固件在0x10000000地址处加载。在加载winload.exe的入口点代码前,进行.text:0000000010108D78 call bootmgfw_Arch...原创 2020-03-13 19:15:22 · 1341 阅读 · 2 评论 -
RootKit分析:主页保安推广病毒+独狼2 排查与分析全过程
拖入IDA反编译exe发现有AutoIt字样。显然恶意软件是AutoIt脚本写的。这里是独立的可执行文件,该文件实际上是AutoIt解释器,其中将编译后的脚本作为资源嵌入其中。如上图使用PeStudio可以查看资源中具有AutoIt脚本,使用Exe2Aut软件可以提取原始脚本。使用InitializeSecurityDescriptor初始化安全描述符和SetSecurityDescript...原创 2020-03-12 14:46:35 · 1153 阅读 · 0 评论