阅读:5082回复:25
[开放思路]固化挂钩
目前一提到挂钩,保证会想到SSDT,ShadowTable,inline hook等玩意,但是这种挂钩仅仅是在内存里挂钩,我们把这种挂钩称之为动态挂钩,也叫非固化挂钩。
而固化挂钩,顾名思义就是非动态的,不在内存里的,说白了就是在文件里挂钩,把钩子处理代码都放在文件里的钩子。这样的挂钩叫做固化挂钩,也叫静态挂钩。固化挂钩从某个角度说就是感染文件插入一段代码,然后EPO了某个地方来调用,但不一定返回去了。 相比动态挂钩,他的最大优势就是可以绕过多数现存的AntiRootkit工具的检查来实现一些隐藏,比如说端口隐藏,我们固化挂钩tcpip.sys内的一个irp dispatch routine就可以绕过IS,DArkspy等检查隐藏端口,同样比如说文件隐藏,我们固化挂钩ntfs.sys,fastfat.sys,disk.sys实现绕过IS,Darkspy的检查隐藏文件,SVV类软件也无法检查出是否是我们做了钩子,同样可以固化挂钩直接修改Win32k.sys里的ShadowTable来hook某些东西(同理可以修改文件中的SSDT——这个有点困难需要移动PE文件几个结构,原因大家很明白,ntos文件没有大空隙和一些东西,要固化挂钩只能用文件尾扩展感染的办法,法,具体大家可以看看那个什么。) 固化挂钩可以用用来做的事情很多~~哈哈~~ 不多说了...... 以前就有一些感染Win32k.sys的病毒,不过他们去Hook NtCreateFile去了,没有给大家一个好玩的东西,但是后来有了MGF某版本固化挂钩HAL里某个函数填入后门,不过还是没有太多人注意这个猥琐的注意,哈哈。 |
|
|
沙发#
发布于:2007-02-26 02:29
bin和src因为某些原因不能出现~
无奈无奈~ |
|
|
板凳#
发布于:2007-02-26 04:46
引用第2楼xyzreg于2007-02-26 04:32发表的“”: 是啊~不过确实比较好用,对于那些费死力气想获得正确irp dispatch routine和code的玩意真的百用百灵~ |
|
|
地板#
发布于:2007-02-26 12:16
引用第4楼wowocock于2007-02-26 09:12发表的“”: 确实,SFC还比较容易搞定的~~哈哈~~ |
|
|
地下室#
发布于:2007-02-26 12:50
引用第6楼xikug于2007-02-26 12:34发表的“”: 发生冲突,系统就蓝了~~ 我们要的是不蓝屏~ |
|
|
5楼#
发布于:2007-02-26 13:49
引用第8楼xikug于2007-02-26 12:57发表的“”: ...... |
|
|
6楼#
发布于:2007-02-27 03:15
引用第10楼guaiguaiguan于2007-02-26 20:08发表的“”: 基本不可能~ |
|
|
7楼#
发布于:2007-02-27 09:04
引用第12楼wowocock于2007-02-27 08:54发表的“”: 还扣。。。仓天阿,大地阿~ |
|
|
8楼#
发布于:2007-06-08 11:10
引用第23楼nscboy于2007-06-07 13:13发表的 : 如果负责签名验证的Bin也被固化修改了呢?? |
|
|