killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
阅读:4552回复:13

一种新的隐藏思路——SteelKernelGroup

楼主#
更多 发布于:2007-08-11 12:15

其实这并不是一种真正意义上的隐藏,而是一种器欺骗用户眼睛的方式。
很多anti rootkit/rootkit detector在显示进程、文件、注册表,端口等时都使用listbox或者
listctrl,因此如果对控件本身进行修改(某文件)或者劫持控件消息,就可以轻易的对特定的
项目进行隐藏。

由于多数工具都防御了远程线程、全局钩子等注入,但是我们可以通过劫持进程创建,在进程创建时注入,或者干脆修改knowdlls中的user32来达到目的或者加载外在dll——手法很多不多列举。


PS:
有些anti工具对于list条目数会做比对,不过既然劫持list,这个自然可以处理,呵呵~
没有战争就没有进步 X3工作组 为您提供最好的军火
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
沙发#
发布于:2007-08-11 12:17
感谢baiyuanfan,黑客守卫者给予的帮助和支持。
这里不便于给出demo和Src,如果有意购买定制者,可以联系QQ:51449276
没有战争就没有进步 X3工作组 为您提供最好的军火
z.b.Azy
驱动牛犊
驱动牛犊
  • 注册日期2006-03-11
  • 最后登录2013-04-29
  • 粉丝0
  • 关注0
  • 积分263分
  • 威望95点
  • 贡献值0点
  • 好评度91点
  • 原创分2分
  • 专家分0分
板凳#
发布于:2007-08-11 12:23
SteelKernelGroup的发言人?
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
地板#
发布于:2007-08-11 15:36
SteelKernelGroup 是我,baiyuanfan,黑客守卫者的工作室
没有战争就没有进步 X3工作组 为您提供最好的军火
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
地下室#
发布于:2007-08-11 18:16
三个猥亵男人集合
驱动开发者 呵呵
zzzevazzz
驱动小牛
驱动小牛
  • 注册日期2002-12-27
  • 最后登录2020-06-29
  • 粉丝0
  • 关注0
  • 积分1008分
  • 威望242点
  • 贡献值0点
  • 好评度170点
  • 原创分0分
  • 专家分0分
  • 社区居民
5楼#
发布于:2007-08-11 22:32
我觉得界面元素隐藏通用性不足。像procexp和autoruns等的复杂界面不容易处理。还有些工具的界面是Delphi写的。或者是用自定义消息的界面库,那就更不通用了。

P.S. 所以我从来只写命令行工具,呵呵。
[b][url]http://hi.baidu.com/zzzevazzz[/url][/b]
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
6楼#
发布于:2007-08-12 13:56
引用第5楼zzzevazzz于2007-08-11 22:32发表的  :
我觉得界面元素隐藏通用性不足。像procexp和autoruns等的复杂界面不容易处理。还有些工具的界面是Delphi写的。或者是用自定义消息的界面库,那就更不通用了。

P.S. 所以我从来只写命令行工具,呵呵。





命令行~
不知道拦截命令行输出好不好用~
没有战争就没有进步 X3工作组 为您提供最好的军火
zzzevazzz
驱动小牛
驱动小牛
  • 注册日期2002-12-27
  • 最后登录2020-06-29
  • 粉丝0
  • 关注0
  • 积分1008分
  • 威望242点
  • 贡献值0点
  • 好评度170点
  • 原创分0分
  • 专家分0分
  • 社区居民
7楼#
发布于:2007-08-12 20:57
拦截是没问题的啦,主要是过滤比较麻烦。
要能准确的消去一行输出才不会露馅。
[b][url]http://hi.baidu.com/zzzevazzz[/url][/b]
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
8楼#
发布于:2007-08-12 22:14
引用第7楼zzzevazzz于2007-08-12 20:57发表的  :
拦截是没问题的啦,主要是过滤比较麻烦。
要能准确的消去一行输出才不会露馅。


所以一般都是要针对工具来工作...
没有战争就没有进步 X3工作组 为您提供最好的军火
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
9楼#
发布于:2007-08-13 00:15
以后写ark要直接操作VGA的IO,还要进HIGH_LEVEL,清drx......
驱动开发者 呵呵
wowocock
VIP专家组
VIP专家组
  • 注册日期2002-04-08
  • 最后登录2016-01-09
  • 粉丝16
  • 关注2
  • 积分601分
  • 威望1651点
  • 贡献值1点
  • 好评度1227点
  • 原创分1分
  • 专家分0分
10楼#
发布于:2007-08-13 08:55
控制加载才是王道,其他的都可以被干掉。
花开了,然后又会凋零,星星是璀璨的,可那光芒也会消失。在这样 一瞬间,人降生了,笑者,哭着,战斗,伤害,喜悦,悲伤憎恶,爱。一切都只是刹那间的邂逅,而最后都要归入死亡的永眠
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
11楼#
发布于:2007-08-13 11:17
引用第10楼wowocock于2007-08-13 08:55发表的  :
控制加载才是王道,其他的都可以被干掉。


ring3也可以控制加载~

我们正确做一个纯ring3的rootkit,呵呵~
没有战争就没有进步 X3工作组 为您提供最好的军火
z.b.Azy
驱动牛犊
驱动牛犊
  • 注册日期2006-03-11
  • 最后登录2013-04-29
  • 粉丝0
  • 关注0
  • 积分263分
  • 威望95点
  • 贡献值0点
  • 好评度91点
  • 原创分2分
  • 专家分0分
12楼#
发布于:2007-08-13 12:10
引用第11楼killvxk于2007-08-13 11:17发表的  :


ring3也可以控制加载~

我们正确做一个纯ring3的rootkit,呵呵~

有什么新思路和新角度么?
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
13楼#
发布于:2007-08-13 15:04
引用第12楼z.b.Azy于2007-08-13 12:10发表的  :

有什么新思路和新角度么?


商业化,不求那些新xxx

求实用!
没有战争就没有进步 X3工作组 为您提供最好的军火
游客

返回顶部