|
阅读:4553回复:13
一种新的隐藏思路——SteelKernelGroup 其实这并不是一种真正意义上的隐藏,而是一种器欺骗用户眼睛的方式。 很多anti rootkit/rootkit detector在显示进程、文件、注册表,端口等时都使用listbox或者 listctrl,因此如果对控件本身进行修改(某文件)或者劫持控件消息,就可以轻易的对特定的 项目进行隐藏。 由于多数工具都防御了远程线程、全局钩子等注入,但是我们可以通过劫持进程创建,在进程创建时注入,或者干脆修改knowdlls中的user32来达到目的或者加载外在dll——手法很多不多列举。  PS: 有些anti工具对于list条目数会做比对,不过既然劫持list,这个自然可以处理,呵呵~ |
|
|
|
沙发#
发布于:2007-08-11 12:17
感谢baiyuanfan,黑客守卫者给予的帮助和支持。
这里不便于给出demo和Src,如果有意购买定制者,可以联系QQ:51449276 |
|
|
|
板凳#
发布于:2007-08-11 12:23
SteelKernelGroup的发言人?
|
|
|
地板#
发布于:2007-08-11 15:36
SteelKernelGroup 是我,baiyuanfan,黑客守卫者的工作室
|
|
|
|
地下室#
发布于:2007-08-11 18:16
三个猥亵男人集合
 |
|
|
|
5楼#
发布于:2007-08-11 22:32
我觉得界面元素隐藏通用性不足。像procexp和autoruns等的复杂界面不容易处理。还有些工具的界面是Delphi写的。或者是用自定义消息的界面库,那就更不通用了。
P.S. 所以我从来只写命令行工具,呵呵。 |
|
|
|
6楼#
发布于:2007-08-12 13:56
引用第5楼zzzevazzz于2007-08-11 22:32发表的 :  命令行~ 不知道拦截命令行输出好不好用~ |
|
|
|
7楼#
发布于:2007-08-12 20:57
拦截是没问题的啦,主要是过滤比较麻烦。
要能准确的消去一行输出才不会露馅。 |
|
|
|
8楼#
发布于:2007-08-12 22:14
引用第7楼zzzevazzz于2007-08-12 20:57发表的 : 所以一般都是要针对工具来工作... |
|
|
|
9楼#
发布于:2007-08-13 00:15
以后写ark要直接操作VGA的IO,还要进HIGH_LEVEL,清drx......
|
|
|
|
10楼#
发布于:2007-08-13 08:55
控制加载才是王道,其他的都可以被干掉。
|
|
|
|
11楼#
发布于:2007-08-13 11:17
引用第10楼wowocock于2007-08-13 08:55发表的 : ring3也可以控制加载~ 我们正确做一个纯ring3的rootkit,呵呵~ |
|
|
|
12楼#
发布于:2007-08-13 12:10
引用第11楼killvxk于2007-08-13 11:17发表的 : 有什么新思路和新角度么? |
|
|
13楼#
发布于:2007-08-13 15:04
引用第12楼z.b.Azy于2007-08-13 12:10发表的 : 商业化,不求那些新xxx 求实用! |
|
|