首页>编程与逆向>内核编程>隐藏驱动和文件的一般方法
回复
« 返回列表
cyliu
cyliu
论坛版主
论坛版主
  • 注册日期2003-06-13
  • 最后登录2014-04-11
  • 粉丝5
  • 关注0
  • 积分1238分
  • 威望2531点
  • 贡献值0点
  • 好评度577点
  • 原创分14分
  • 专家分10分
写私信
阅读:1924回复:14

隐藏驱动和文件的一般方法

楼主#
更多 发布于:2007-02-25 17:11
转自<www.rootkit.com>

Driver hidding based on the following methods:

1. removing module from PsLoadedModulesList
(that bypasses some old rkdetectors)
2. removing object from ObjectDirectory
(that bypassed GMER, IceSword and some others)
3. removing module from DriverObjects
4. removing module from DeviceObjects
5. memzero for POBJECT_HEADER (that finally bypasses DarkSpy)
6. fake thread start address (to be sure that antirootkit will not show "unknown thread")
7. using non usual wait function to bypass "Stealth Walker" detection method of our Rootkit Unhooker Antirootkit.

//-----------------------------------------------------------------------------------

File hidding based on the following methods:

1. We are using NTFS ADS (that's bypasses DarkSpy, IceSword automatically)
2. ADS attach to root directory of disk C: (that automatically bypass GMER, RootkitRevealer)
3. driver set up itself as File System Filter and filters some IRP's like IRP_MJ_READ, IRP_MJ_QUERY_INFORMATION etc. Thats bypasses all other antirootkit thats using RAW reading (BlackLight, Rootkit Unhooker etc).
喜欢1

最新喜欢:

HWFDVDHWFDVD
走走看看开源好 Solaris vs Linux
回复
cyliu
cyliu
论坛版主
论坛版主
  • 注册日期2003-06-13
  • 最后登录2014-04-11
  • 粉丝5
  • 关注0
  • 积分1238分
  • 威望2531点
  • 贡献值0点
  • 好评度577点
  • 原创分14分
  • 专家分10分
写私信
沙发#
发布于:2007-02-25 17:22
因此可以利用deviceObjects来删除antirootkit的deviceobject,从而达到隐藏自己的作用。
走走看看开源好 Solaris vs Linux
回复(0) 喜欢(0)
killvxk
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
写私信
板凳#
发布于:2007-02-25 17:44
其实更简单的说就是不让AntiRootkit运行~
没有战争就没有进步 X3工作组 为您提供最好的军火
回复(0) 喜欢(0)
WQXNETQIQI
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
写私信
地板#
发布于:2007-02-25 18:02
这是EP_X0FF的那个unreal呢,那个简单哦,本版有相关帖子
驱动开发者 呵呵
回复(0) 喜欢(0)
cyliu
cyliu
论坛版主
论坛版主
  • 注册日期2003-06-13
  • 最后登录2014-04-11
  • 粉丝5
  • 关注0
  • 积分1238分
  • 威望2531点
  • 贡献值0点
  • 好评度577点
  • 原创分14分
  • 专家分10分
写私信
地下室#
发布于:2007-02-25 19:10
呵呵
走走看看开源好 Solaris vs Linux
回复(0) 喜欢(0)
wowocock
wowocock
VIP专家组
VIP专家组
  • 注册日期2002-04-08
  • 最后登录2016-01-09
  • 粉丝16
  • 关注2
  • 积分601分
  • 威望1651点
  • 贡献值1点
  • 好评度1227点
  • 原创分1分
  • 专家分0分
写私信
5楼#
发布于:2007-02-26 08:51
目前有办法可以检测所有内核执行代码,包括你直接分配一块内存,然后将代码拷贝过去,再将本身卸载,不过稳定性如何还是个问题,这年头大家都不得不BT点......
花开了,然后又会凋零,星星是璀璨的,可那光芒也会消失。在这样 一瞬间,人降生了,笑者,哭着,战斗,伤害,喜悦,悲伤憎恶,爱。一切都只是刹那间的邂逅,而最后都要归入死亡的永眠
回复(0) 喜欢(0)
killvxk
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
写私信
6楼#
发布于:2007-02-26 12:17
引用第5楼wowocock2007-02-26 08:51发表的“”:
目前有办法可以检测所有内核执行代码,包括你直接分配一块内存,然后将代码拷贝过去,再将本身卸载,不过稳定性如何还是个问题,这年头大家都不得不BT点......

所以我固化了~
没有战争就没有进步 X3工作组 为您提供最好的军火
回复(0) 喜欢(0)
WQXNETQIQI
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
写私信
7楼#
发布于:2007-02-26 12:45
今天你固化了吗?
驱动开发者 呵呵
回复(0) 喜欢(0)
killvxk
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
写私信
8楼#
发布于:2007-02-26 12:54
固化其实也是可以检查的~~,比如自带系统文件HASH数据——我们就带着~
没有战争就没有进步 X3工作组 为您提供最好的军火
回复(0) 喜欢(0)
wowocock
wowocock
VIP专家组
VIP专家组
  • 注册日期2002-04-08
  • 最后登录2016-01-09
  • 粉丝16
  • 关注2
  • 积分601分
  • 威望1651点
  • 贡献值1点
  • 好评度1227点
  • 原创分1分
  • 专家分0分
写私信
9楼#
发布于:2007-02-26 13:09
引用第8楼killvxk2007-02-26 12:54发表的“”:
固化其实也是可以检查的~~,比如自带系统文件HASH数据——我们就带着~

所有系统文件数据及HASH全放在服务器上(来自MS系统安装盘),然后在LINUX下连服务器验证,所有不符合的一率咔察.
花开了,然后又会凋零,星星是璀璨的,可那光芒也会消失。在这样 一瞬间,人降生了,笑者,哭着,战斗,伤害,喜悦,悲伤憎恶,爱。一切都只是刹那间的邂逅,而最后都要归入死亡的永眠
回复(0) 喜欢(0)
guaiguaiguan
guaiguaiguan
驱动中牛
驱动中牛
  • 注册日期2003-10-11
  • 最后登录2011-01-12
  • 粉丝0
  • 关注0
  • 积分14分
  • 威望556点
  • 贡献值0点
  • 好评度490点
  • 原创分0分
  • 专家分0分
写私信
10楼#
发布于:2007-02-26 17:41
引用第5楼wowocock2007-02-26 08:51发表的“”:
目前有办法可以检测所有内核执行代码,包括你直接分配一块内存,然后将代码拷贝过去,再将本身卸载,不过稳定性如何还是个问题,这年头大家都不得不BT点......


和感染(固化)一样,也是害人之心。大家都在系统地址空间里面斗,不是你死就是我活,这样谁也占不到便宜。驱动开发网怎么不教化人往好里学,不是hook 系统的接口,就是感染正常的驱动文件,还美名其曰“固化”,要么就是改写或者覆盖对方的内存代码,或者破坏、卸载对方用来和上层应用通信的设备对象,成了黑人招数大全了。
回复(0) 喜欢(0)
wowocock
wowocock
VIP专家组
VIP专家组
  • 注册日期2002-04-08
  • 最后登录2016-01-09
  • 粉丝16
  • 关注2
  • 积分601分
  • 威望1651点
  • 贡献值1点
  • 好评度1227点
  • 原创分1分
  • 专家分0分
写私信
11楼#
发布于:2007-02-26 17:51
引用第10楼guaiguaiguan2007-02-26 17:41发表的“”:


和感染(固化)一样,也是害人之心。大家都在系统地址空间里面斗,不是你死就是我活,这样谁也占不到便宜。驱动开发网怎么不教化人往好里学,不是hook 系统的接口,就是感染正常的驱动文件,还美名其曰“固化”,要么就是改写或者覆盖对方的内存代码,或者破坏、卸载对方用来和上层应用通信的设备对象,成了黑人招数大全了。

不黑人,和OS无关,只在CPU层面进行处理.
花开了,然后又会凋零,星星是璀璨的,可那光芒也会消失。在这样 一瞬间,人降生了,笑者,哭着,战斗,伤害,喜悦,悲伤憎恶,爱。一切都只是刹那间的邂逅,而最后都要归入死亡的永眠
回复(0) 喜欢(0)
guaiguaiguan
guaiguaiguan
驱动中牛
驱动中牛
  • 注册日期2003-10-11
  • 最后登录2011-01-12
  • 粉丝0
  • 关注0
  • 积分14分
  • 威望556点
  • 贡献值0点
  • 好评度490点
  • 原创分0分
  • 专家分0分
写私信
12楼#
发布于:2007-02-26 20:03
引用第11楼wowocock2007-02-26 17:51发表的“”:

不黑人,和OS无关,只在CPU层面进行处理.

虚拟机,厉害,类似于Vmware和VirualPC
回复(0) 喜欢(0)
killvxk
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
写私信
13楼#
发布于:2007-02-26 21:50
wowo也开始用虚拟了?
没有战争就没有进步 X3工作组 为您提供最好的军火
回复(0) 喜欢(0)
aqiuzaizai
aqiuzaizai
驱动牛犊
驱动牛犊
  • 注册日期2007-02-02
  • 最后登录2008-04-02
  • 粉丝0
  • 关注0
  • 积分180分
  • 威望69点
  • 贡献值0点
  • 好评度68点
  • 原创分0分
  • 专家分0分
写私信
14楼#
发布于:2007-04-30 18:55
[fly]双刃刀,看你爱怎么使唤了[/fly]
竹密何妨流水过 山高岂碍野云飞
回复(0) 喜欢(0)
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部