rootkit是什麼?估計很多朋友並不明白,簡單的說,rootkit是一種特殊的惡意軟體,它的功能是在安裝目標上隱藏自身及指定的檔案、程序和網路鏈結等資訊,比較多見到的是rootkit一般都和木馬、後門等其他惡意程式結合使用。rootkit通重載入特殊的驅動,修改系統核心,進而達到隱藏資訊的目的。技術是雙刃劍,我們研究它的目的在於,透過我們的研究,用這項技術來保護我們的系統,使我們的系統更加健壯,充分發揮這個技術的正面應用。
對於rootkit專題的研究,主要涉及的技術有如下部分:
1. 核心hook
對於hook,從ring3有很多,ring3到ring0也有很多,根據api呼叫環節遞進的順序,在每乙個環節都有hook的機會,可以有int 2e或者sysenter hook,ssdt hook,inline hook ,irp hook,object hook,idt hook等等。在這裡,我們逐個介紹。
1)object hook
2)ssdt hook
3)inline-hook
4)idt hook
5)irp hook
6)sysenter hook
7)iat hook
8)eat hook
2. 保護模式篇章第一部分: ring3進ring0之門
1)通過呼叫門訪問核心
2)通過中斷門訪問核心
3)通過任務門訪問核心
4)通過陷阱門訪問核心
3。保護模式篇章第二部分:windows分頁機制
1)windows分頁機制
4。保護模式篇章第三部分:直接訪問硬體
1)修改iopl,ring3直接訪問硬體
2)追加tss預設i/o許可位圖區域
3)更改tss i/o許可位圖指向
5。detour 修改函式執行路徑,可用於對函式的控制流程進行重定路徑。
1)detour補丁
6. 隱身術
1)檔案隱藏
2)程序隱藏
3)登錄檔鍵值隱藏
4)驅動隱藏
5)程序中dll模組隱藏
6)更絕的隱藏程序中的dll模組,繞過icesword的檢測
7)埠隱藏
7。ring0中呼叫ring3程式
1) apc方式
2) deviceiocontrol 方式
8。程序執行緒監控
1)監控程序建立
2)殺執行緒
3)保護程序和遮蔽檔案執行
9。其他
1)獲取ntoskrnl.exe模組位址的幾種辦法
2)驅動感染技術掃盲
3)shadow ssdt學習筆記
4)高手高階windows核心定時器之一
5)高手高階windows核心定時器之二
6)執行期修改可執行檔案的路徑和command line
7)查詢隱藏驅動
8)裝載驅動的幾種辦法
9)核心中注入dll的一種流氓方法
10)另一種讀寫程序記憶體空間的方法
11)完整驅動感染**
12)hook shadow ssdt
13)ring0檢測隱藏程序
宣告: 轉貼請註明看雪學院。
Rootkit的學習與研究
rootkit的學習與研究 rootkit是什麼?估計很多朋友並不明白,簡單的說,rootkit是一種特殊的惡意軟體,它的功能是在安裝目標上隱藏自身及指定的檔案 程序和網路鏈結等資訊,比較多見到的是rootkit一般都和木馬 後門等其他惡意程式結合使用。rootkit通重載入特殊的驅動,修改系統核心...
學習與研究
因為時代背景和所處行業的原因,隨時學習新知識是必須的。現在是網際網路時代,知識 學習的成本很低。但是如果只是簡單的瀏覽各種資訊,是無法收穫知識的。學習是為了更好的開展研究,這裡主要梳理一下學習和研究的一些基本理念。邊學邊做筆記是必須的,筆記裡面最重要的是對知識的歸納總結,是今後長期的參考,半年之後再...
ECharts的研究與學習
echarts的學習和研究 首先用到的主要外掛程式有 echarts.min.js 該檔案必須放在當前目錄 1.根據文件說明,進行了乙個簡單的練習 注意 首先一定要引入外部js檔案,然後為echarts準備好乙個容器,根據具體需求進行 的完善。2.主要看了echarts 裡面的熱力圖和地圖的知識,其...