介绍一个基于Ring 3 的rootkit

最新推荐文章于 2024-11-19 15:45:16 发布

网盾网络安全服务

最新推荐文章于 2024-11-19 15:45:16 发布

阅读量680

点赞数 9

文章标签：网络安全渗透测试 web安全

本文链接：https://blog.csdn.net/qq_69775412/article/details/140950721

版权

首先先科普用户态内核态

两者的在指令上的区别

一般来说，ring0权限下开放的指令有：IO读写、网卡访问、申请内存、访问硬件资源。

一般来说，ring3权限下开放的指令有：普通的计算指令等

两者在空间权限的区别

用户态和内核态的栈（用来储存函数或者形参的地方）是不同的，分别是用户栈和内核栈。

用户态可以访问虚拟内存0-3G的空间，内核态访问0-4G的空间

如图所示我们可以看到内核态，它可以通过驱动的方式，复写物理内存

下面来介绍这款Rootkit软件

R77 是一个 Ring 3 rootkit，它隐藏了所有内容：

文件、目录
进程和 CPU/GPU 使用情况
注册表项和值
服务业
TCP 和 UDP 连接
交汇点、命名管道、计划任务

按前缀隐藏

开头的一切都是隐藏的。"$77"

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

网盾网络安全服务

关注关注

9
点赞
踩
6

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

HellKitty-In-VC:Ring3 Rootkit后门

05-20

HellKitty-In-VC Ring3 Rootkit后门。支持Win7 x32bit / XP

r77-rootkit:无文件Ring 3 rootkit，具有安装程序和持久性，可隐藏进程，文件，网络连接等

04-29

r77 Rootkit Ring 3 Rootkit r77是3环Rootkit，可从所有进程中隐藏以下实体：文件，目录，联结，命名管道，计划任务 Craft.io流程 CPU使用率注册表项和值服务 TCP和UDP连接它与x64和x86版本的Windows 7和Windows 10兼容。通过前缀隐藏名称以"$77"开头的所有实体都将被隐藏。配置系统动态配置系统允许按PID和名称隐藏进程，按完整路径隐藏文件系统项，特定端口的TCP和UDP连接等。该配置存储在HKEY_LOCAL_MACHINE\SOFTWARE\$77config并且任何进程都可以写入而无需提升特权。此项的DACL设置为向任何用户授予完全访问权限。将RegEdit注入rootkit时， $77config密钥被隐藏。安装程序使用单个文件"Install.exe"可以部署r77。它安装了r7

参与评论您还未登录，请先登录后发表或查看评论

ring3到ring0的过渡----rootkit最基本驱动

Sorawa

03-05

530

这是一个比HelloDDK.sys更简单的例子,其实DDK_Unload都可以不要但是你将没法正常去停止这个内核服务,这个是否让人想起了某些恶意软件连停止内核服务失败的原因,另外还有个宏KdPrint(()),可以替代DbgPrint这个和HelloDDK比起来功能单一多了,关于后SSDT HOOK,以后再在这个原型上增加功能VOID DDK_Unload( IN PDRIVER_OBJECT DriverObject ){ DbgPrint("Driver Unload");}N

探索r77 Rootkit：隐形的系统守护者

gitblog_00003的博客

05-14

720

探索r77 Rootkit：隐形的系统守护者 r77-rootkit Fileless ring 3 rootkit with installer and persistence that hides processes, files, network connections, etc. ...

R77 RootKit原代码分析

2302_77759960的博客

11-17

428

本文从源代码部分介绍了rootkit77实现隐藏自身的思路，给出了粗略分析结果。

ring0驱动内核级的ROOTKIT实现隐藏文件，隐藏注册表项，隐藏端口.zip

01-27

Ring0驱动程序是操作系统内核最底层的...总的来说，Ring0驱动的Rootkit是网络安全领域的一个重大挑战，它利用了操作系统最核心的部分来达到其隐蔽目的。理解其工作原理并采取适当的防护措施，是保障系统安全的关键。

隐藏进程的Ring-3 rootkit实现指南

资源摘要信息:"ring3-kit是一个基于Windows NT API的简单用户模式rootkit，用于隐藏进程信息，防止任务管理器显示特定进程。该rootkit通过挂钩NtQuerySystemInformation() API函数实现其功能。...

SSDT挂钩_基于Windows内核的RootKit技术样本

11-27

该体系结构将操作系统分为用户层(User Mode)和内核层(Kernel Mode)两个层面，分别对应x86处理器的ring 3（最低权限）和ring 0（最高权限）。这种分层结构有效地将高风险的组件（如应用程序）隔离在用户层，限制了其...

用ring3代码可靠地枚举Windows进程.pdf

03-24

- **绕过基于内核调度链表的进程检测**: 为了进一步提高隐蔽性，根kits可能还会采取其他手段，比如hook`SwapContext()`函数，这是一个与上下文切换相关的函数。 - **实现**: - `HookSwapContext()`: 支持Windows...

rootkits

weixin_34195364的博客

04-26

114

https://blogs.msdn.microsoft.com/erick/2006/04/03/how-dangerous-are-kernel-mode-rootkits/

rootkit，文件，进程隐藏

11-05

rootkit，backdoor，系统调用劫持，ps进程隐藏，ls文件隐藏，代码

c++获取cpu使用率（包含系统和单进程）

09-02

c++获取cpu使用率（包含系统和单进程）含多个例子 c++获取cpu使用率（包含系统和单进程）含多个例子 c++获取cpu使用率（包含系统和单进程）含多个例子

r77-Rootkit后渗透技战术分析

m0_71746299的博客

02-13

2377

r77-Rootkit是一个Ring3级别的Rootkit。Rootkit是一种特殊的恶意软件，它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息，比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。Rootkit并不一定是用作获得系统root访问权限的工具。比起攻击，Rootkit更倾向于被使用于隐藏踪迹和保留root访问权限的工具。

初探rootkit（另一种角度看维权）

milu_Sec的博客

12-30

1455

rootkit是用于后渗透过程中维持住现有权限的工具,比如现在常用的 linux 维持权限的方法大多用 crontab 和开机自启动，同时使用的大多是msf 或者其它的 tcp 连接来反弹 shell ,这些随便应急排查一下自启动项和网络连接就被发现了,那如果我们在内核层面把进程和tcp隐藏岂不是就不是那么显眼了.于是rootkit成了很好的选择。install.exe是把r77注入到所有能注入的进程和启动系统rootkit的，所以安装完可以把程序删了，实现无文件启动。

rootkit隐藏tcp连接信息

weixin_42785235的博客

03-20

760

rootkit隐藏tcp连接信息 /* *通过hook内核函数tcp4_seq_show来隐藏某端口的tcpv4连接信息 */ /*隐藏TCP的53端口的连接*/ #include <linux/init.h> #include <linux/module.h> #include <linux/kallsyms.h> #include <linux/kernel.h> #include <linux/string.h> #include &

RootKits-List-Download

weixin_30367945的博客

03-13

266

https://github.com/f0rb1dd3n/Reptile https://github.com/LycorisGuard/Windows-Rootkits/ https://github.com/bytecode77/r77-rootkit https://github.com/hiteshd/Android-Rootkit https://github.com/memp...

linux rootkit suterusu

cnbird's blog

08-30

2072

https://github.com/dschuermann/suterusu

蓝队技能-应急响应篇&Rookit后门&进程提取&网络发现&隐藏技术&Linux杀毒&OpenArk