S.l.e!ep.￠%

Rootkit是什么?估計很多朋友并不明白,簡單的說,Rootkit是一種特殊的惡意軟件,它的功能是在安裝目標上隱藏自身及指定的文件,進程和網絡鏈接等信息,比較多見到的是Rootkit一般都和木馬,后門等其他惡意程序結合使用.Rootkit通過加載特殊的驅動,修改系統內核,進而達到隱藏信息的目的.技術是雙刃劍,我們研究它的目的在于,透過我們的研究,用這項技術來保護我們的系統,使我們的系統更加健壯,充分發揮這個技術的正面應用.

對于Rootkit專題的研究,主要涉及的技術有如下部分:

1.內核Hook
??? 對于Hook,從ring3有很多,ring3到ring0也有很多,根據api調用環節遞進的順序,在每一個環節都有hook的機會,可以有int 2E或者SysEnter Hook,SSDT Hook,Inline Hook ,IRP Hook,Object Hook,IDT Hook等等.在這里,我們逐個介紹.
??? 1) O bject Hook
??? 2） SSDT Hook
??? 3）I nline Hook
??? 4） IDT Hook
??? 5） IRP Hook
??? 6） SYSENTER Hook
??? 7） IAT HOOK
??? 8） EAT HOOK

2.保護模式篇章第一部分:Ring3進Ring0之門
??? 1) 通過調用門訪問內核
??? 2) 通過中斷門訪問內核
??? 3) 通過任務門訪問內核
??? 4) 通過陷阱門訪問內核

3.保護模式篇章第二部分:Windows分頁機制
??? 1）W indows分頁機制
???
4.保護模式篇章第三部分:直接訪問硬件
??? 1） 修改IOPL,Ring3直接訪問硬件
??? 2） 追加TSS默認I/O許可位圖區域
??? 3） 更改TSS I/O許可位圖指向

5.Detour 修改函數執行路徑,可用于對函數的控制流程進行重定路徑.
??? 1）D etour補丁

6.隱身術
??? 1） 文件隱藏
??? 2） 進程隱藏
??? 3） 注冊表鍵值隱藏
??? 4）驅動隱藏
??? 5） 進程中dll模塊隱藏
??? 6）端口隱藏
??
7.Ring0中調用Ring3程序
?? 1) APC方式
?? 2) DeviceIOControl 方式

8.進程線程監控
?? 1）進程/線程監控
?? 2） 殺線程

9.其他
?? 1） 獲取NTOSKrnl.exe模塊地址的幾種辦法
?? 2） 驅動感染技術掃盲
?? 3）S hadow SSDT學習筆記
?? 4） 高手進階Windows內核定時器之一
?? 5） 高手進階Windows內核定時器之二
?? 6） 運行期修改可執行文件的路徑和Command Line
?? 7） 查找隱藏驅動
?? 8） 裝載驅動的幾種辦法

?