图说adore-ng之文件隐藏

最新推荐文章于 2021-05-13 15:45:36 发布
最新推荐文章于 2021-05-13 15:45:36 发布
阅读量2.1k 收藏 2
点赞数
分类专栏: linux 编程 文章标签: ext file struct
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sealyao/article/details/4656602
版权

文件隐藏说到底就是让ls、find一类的操作所返回的结果中没有需要隐藏的文件、目录。

而ls、find本质上是对目录的读操作。我们要劫持它的读操作函数,让它读不出来。那读操作那个函数在哪呢?见下图。

image

上图是以普通文件为例说明的,目录也是类似的。只不过名字不同叫ext2_dir_operations和ext2_dir_inode_operations。

说来说去怎么修改呢?见下图。

image

就是说,所有的ext2文件都指向相同的函数集合。只要得到一个struct file,就可以把函数集合里边的函数给改掉。我们用file_open打开根目录“/”,把其中的readdir改掉。

说到这精华已尽,把adore是怎么做的说完吧。

image

sealyao
关注
专栏目录
linux后门系列之adore-ng
05-29 1842
前言:kernel 2.6已经大步走入linux的世界,写后门的和用后门的也得跟上潮流。简写约定:fc:fedora corerh:red hatrhel4:red hat enterprise linux 4sk:suckitadore:adore-ngrk:rootkitlkm:loadable kernel modules什么是adore-ng?一个LKM rk,google ado
adore-ng linux rootkit
05-12
老牌linux rootkit工具 该版本能稳定运行在内核2.4-2.6中
两个linux内核rootkit--之二:adore-ng
Netfilter
02-09 6942
这个rootkit使用的技术不比前一个,它不是拦截系统调用,而是拦截具体文件系统的回调函数,本身文件系统的回调函数就是动态注册的,很是不确定,那么反黑软件自然就不能简单下结论说这个函数被黑掉了,因此这个rootkit看来比前一个略胜一筹,自然的,既然是内核模块,那么模块隐藏也是一个重要的内容,以下是一个简单的模块隐藏代码,使用此代码的前提就是将此模块紧接着希望被隐藏的模块之后加载: ...//省
把自己的文件隐藏起来
水岸梦城 技术博客
06-15 666
我们在使用电脑的时候有很多重要的文件是不希望别人看到的,为了把这些最高机密隐藏起来,我们也可谓费尽心机。单纯的修改了隐藏属性,往往不能达到预期的效果,秘密轻易就被揭穿的滋味实在是不好受。其实,在Windows系统中除了更改属性以外,还有几种更加巧妙的隐藏文件文件夹的方法。好,下面我就一一道给大家听。 (1)瞒天过海 这个方法主要是针对一些不想让别人看见的文件,我们首先修改我们想隐藏
基于VC++2012在Windows8上实现文件隐藏
weixin_30663471的博客
07-16 100
请见代码分析,#include <windows.h> #include <WinNT.h> //从ntddk中拿出来的一些结构体定义,在ZwQueryDirectoryFile()中要用到 typedef LONG NTSTATUS; #define NT_SUCCESS(Status) ((NTSTATUS)(Status)>=0) //参数类型 typ...
adore-ng-master.zip
02-13
【标题】"adore-ng-master.zip" 是一个与Adore-ng木马病毒相关的软件包压缩文件,其中包含了Adore-ng的源代码或组件。Adore-ng是一个著名的恶意软件框架,通常由安全研究人员用于逆向工程和恶意软件分析,而不是实际...
Adore-ng所需资源包
09-01
Adore-ng所需资源包,包括: adore-ng-master.zip kernel-devel-2.6.32-754.27.1.el6.x86_64.rpm 授人予鱼,不如授人予渔,推荐rpm包下载社区: http://rpm.pbone.net/
linux 内核rootkit adore-ng-0.56
02-17
Adore-ng 0.56是Linux内核rootkit的一种,以其复杂性和功能多样性而闻名。这个包提供了对Adore-ng 0.56的详细解析,对于想要深入了解Linux rootkit工作原理和安全防护的人员极具价值。 首先,让我们深入理解什么是...
adore-ng源码
03-02
Adore-ng-0.41具备以下几个功能 1. 文件隐藏 2. 进程隐藏 3. 端口隐藏 4. 清理犯罪现场 5. 获得root权限
Adore-ng的使用
coutuo2575的博客
08-11 380
1、下载资源adore-ng-0.56.zip另外一个工具包,更简单ddrk.tgz 直接运行setup PASS PORT就可以了2、安装内核开发包yum -y install kernel-devel3、对内核软连接ln -...
Easy File Locker 文件隐藏 保护
07-27
你是不是电脑里面有些东西不想给别人看到(文件夹或者文档),这个不需要高大上的软件,这个小软件就够了,实践出真知,你自己用就知道了。不知道的可以去百度使用方法。 我举起我的爪子,对天发誓,超级好用的傻瓜式文件保护软件,可以一个按键隐藏,也可以恢复查看的宝贝软件。 下面是文件介绍: Easy File Locker 是一款小巧的文件保护工具,可以为文件提供保护,受保护的文件将不能被访问,不可写入,不可删除,隐藏。当然,您可以根据需要自己设置保护特性,自由度较高。在关闭了程序后,保护依然有效。首次使用时可以设置密码,以后就可以通过密码访问。 Easy File Locker界面简洁,速度快。是一款清爽的好软件。提示:重要文件需要妥善保存!任何文件保护软件都有风险 安装汉化方法: 请针对自己的系统安装Easy File Locker主程序,然后用目录下的汉化程序替换FileLocker主程序即可为简体中文界面。 另外告知个清除密码的方法:系统windows目录搜索xlkfs.dll删除,重新安装程序,密码即可清除。 只有少数的选择与合作 不会有太多的选择来处理,当涉及到文件的安全性。进口商品有对应的可访问性,写作,知名度和他们是否可以删除一些复选框。一旦设置,选择可以完全关闭应用程序,您的文件保留在配置状态。
linux后门漏洞大全,Linux后门系列之adore-ng
weixin_29790175的博客
05-13 413
久之前写的一个文章,自己转回来。奇了怪了,当时我测试是可以隐藏端口的,但我现在折腾又隐藏不了端口,答案很快就会出来:)找到原因了,东西还是原汁原味的好,遇到类似问题的请用原版,想知道问题出在哪的请自行diff。前言:kernel2.6已经大步走入linux的世界,写后门的和用后门的也得跟上潮流。简写约定:fc:fedoracorerh:redhatrhel4:redhatenterpr...
Rootkit 之 adore-ng 模拟木马病毒
02-13 1674
Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。 在我们生活中,经常看的电视剧谍战片里有一个必不可少的人物——卧底。它的职责就是:良好的伪装使得对手对此长时间毫无察觉;他赢得敌人的信任并因此身居要职,这使得他能够源源不断地获取重要情报并利用其独特渠道传送回去。 而我们今天要模...
链接分析【1】Linux内核模块rootkit adore-ng分析
weixin_33881753的博客
05-17 209
之前笔者几篇文章介绍了改链接分析的文章. 关联文章的地址     本文对Linux内核模块rootkit停止分析,对基于VFS operation function hook的adore-gn的实现停止分析。                完全内容请点击如下链接:      点击打开链接     摘要           Rootkit. ...
adore-ng笔记和Linux普通用户提权
only-ring的文档库
03-18 1369
安装: [root@xuegod63 ~]# unzipadore-ng-master.zip [root@xuegod63 ~]# cdadore-ng-master [root@xuegod63 adore-ng-master]#rpm  -ivh/mnt/Packages/kernel-devel-2.6.32-220.el6.x86_64.rpm yum install gc
Adore-ng使用简介
05-29 1224
Team: D.S.T 数据安全中心这是个adore-ng的简单安装使用指南,如果是老鸟就不用看了,呵呵adore-ng是一款优秀的LKM rootkit,可以从http://stealth.openwall.net/rootkits/ 这里下载到它的最新版本。目前最新版的是0.54,能够在2.4 -2.6内核下使用,并且稳定性十分好。下面我们通过一步步的演示来揭示它强大的功能.1.以ro
rootkit(1)-adore-ng0.56在Linux2.6应用
sploving的专栏
09-23 2073
自己机器是fc8#uname -r 2.6.18.8-xen源码在/home/sploving/xen1. 下载adore-ng-0.562. cp Makefile.2.6 Makefile并修改相应的项,以适应自己的内核版本。3. make4. ./relink[root@localhost adore-ng-0.56-wztfix]# ./reli
图说adore-ng之端口隐藏
么刚的专栏
10-20 2166
端口隐藏,使用户无法通过netstat之类的命令,得到我们需要隐藏的端口信息。netstat是通过读/proc/net下的文件来完成的。Strace可以看出:netstat的主要操作有:open/read  文件/proc/net/tcp,/proc/net/udp,/proc/net/raw ……,如下图:adore-ng的实现:  adore默认隐藏的是tcp协议的端口
/bin/bash+-C
最新发布
12-02
根据提供的引用内容,`/bin/bash -c`命令可以在bash shell中执行指定的命令。其中`-c`选项后面跟着要执行的命令。例如,要在bash shell中执行`ls -l`命令,可以使用以下命令: ```shell /bin/bash -c "ls -l" ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值