- 博客(0)
- 资源 (11)
- 收藏
- 关注
RSS订阅Undocumented Windows NT 中文版 chm
本书探索了 Windows NT 操作系统的内幕
Prasad Dabak
Milind Borate 著
Sandeep Phadke
2008-12-06
ROOTKIT专题的研究
对于ROOTKIT专题的研究,主要涉及的技术有如下部分:
. 内核hook
对于hook,从ring3有很多,ring3到ring0也有很多,根据api调用环节递进的顺序,在每一个环节都有hook的机会,可以有int 2e或者sysenter hook,ssdt hook,inline hook ,irp hook,object hook,idt hook等等。在这里,我们逐个介绍。
1)object hook
2)ssdt hook
3)inline-hook
4)idt hook
5)IRP hook
6)SYSENTER hook
7)IAT HOOK
8)EAT HOOK
2. 保护模式篇章第一部分: ring3进ring0之门
1)通过调用门访问内核
2)通过中断门访问内核
3)通过任务门访问内核
4)通过陷阱门访问内核
3。保护模式篇章第二部分:windows分页机制
1)windows分页机制
4。保护模式篇章第三部分:直接访问硬件
1)修改iopl,ring3直接访问硬件
2)追加tss默认I/O许可位图区域
3)更改tss I/O许可位图指向
5。detour 修改函数执行路径,可用于对函数的控制流程进行重定路径。
1)detour补丁
6. 隐身术
1)文件隐藏
2)进程隐藏
3)注册表键值隐藏
4)驱动隐藏
5)进程中dll模块隐藏
6)更绝的隐藏进程中的dll模块,绕过IceSword的检测
7)端口隐藏
7。ring0中调用ring3程序
1) apc方式
2) deviceiocontrol 方式
8。进程线程监控
1)监控进程创建
2)杀线程
3)保护进程和屏蔽文件执行
9。其他
1)获取ntoskrnl.exe模块地址的几种办法
2)驱动感染技术扫盲
3)shadow ssdt学习笔记
4)高手进阶windows内核定时器之一
5)高手进阶windows内核定时器之二
6)运行期修改可执行文件的路径和Command Line
7)查找隐藏驱动
8)装载驱动的几种办法
9)内核中注入dll的一种流氓方法
10)另一种读写进程内存空间的方法
11)完整驱动感染代码
12)Hook Shadow SSDT
13)ring0检测隐藏进程
2008-09-01
Windows WDM 驱动程序编程 chm
Windows WDM 驱动程序编程 chm版<br>Windows Driver Model(WDM)的根源可追溯到几年前一种叫做Windows for Workgroups 3.10的操作系统。那时候我们努力地支持无数不同的SCSI控制器,我长期地注意WindowsNT开发组创建的小端口驱动程序类型。不久就认识到重新构造必要的映象加载器(image loader)和小端口驱动程序需要的执行环境比把这些小端口驱动程序重写成某些VXD形式的驱动程序并调试完毕所花费的努力要少得多
2008-03-07
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人