S.l.e!ep.￠%

Rootkit是什么?估計(jì)很多朋友并不明白,簡(jiǎn)單的說(shuō),Rootkit是一種特殊的惡意軟件,它的功能是在安裝目標(biāo)上隱藏自身及指定的文件,進(jìn)程和網(wǎng)絡(luò)鏈接等信息,比較多見(jiàn)到的是Rootkit一般都和木馬,后門(mén)等其他惡意程序結(jié)合使用.Rootkit通過(guò)加載特殊的驅(qū)動(dòng),修改系統(tǒng)內(nèi)核,進(jìn)而達(dá)到隱藏信息的目的.技術(shù)是雙刃劍,我們研究它的目的在于,透過(guò)我們的研究,用這項(xiàng)技術(shù)來(lái)保護(hù)我們的系統(tǒng),使我們的系統(tǒng)更加健壯,充分發(fā)揮這個(gè)技術(shù)的正面應(yīng)用.

對(duì)于Rootkit專題的研究,主要涉及的技術(shù)有如下部分:

1.內(nèi)核Hook
??? 對(duì)于Hook,從ring3有很多,ring3到ring0也有很多,根據(jù)api調(diào)用環(huán)節(jié)遞進(jìn)的順序,在每一個(gè)環(huán)節(jié)都有hook的機(jī)會(huì),可以有int 2E或者SysEnter Hook,SSDT Hook,Inline Hook ,IRP Hook,Object Hook,IDT Hook等等.在這里,我們逐個(gè)介紹.
??? 1) O bject Hook
??? 2） SSDT Hook
??? 3）I nline Hook
??? 4） IDT Hook
??? 5） IRP Hook
??? 6） SYSENTER Hook
??? 7） IAT HOOK
??? 8） EAT HOOK

2.保護(hù)模式篇章第一部分:Ring3進(jìn)Ring0之門(mén)
??? 1) 通過(guò)調(diào)用門(mén)訪問(wèn)內(nèi)核
??? 2) 通過(guò)中斷門(mén)訪問(wèn)內(nèi)核
??? 3) 通過(guò)任務(wù)門(mén)訪問(wèn)內(nèi)核
??? 4) 通過(guò)陷阱門(mén)訪問(wèn)內(nèi)核

3.保護(hù)模式篇章第二部分:Windows分頁(yè)機(jī)制
??? 1）W indows分頁(yè)機(jī)制
???
4.保護(hù)模式篇章第三部分:直接訪問(wèn)硬件
??? 1） 修改IOPL,Ring3直接訪問(wèn)硬件
??? 2） 追加TSS默認(rèn)I/O許可位圖區(qū)域
??? 3） 更改TSS I/O許可位圖指向

5.Detour 修改函數(shù)執(zhí)行路徑,可用于對(duì)函數(shù)的控制流程進(jìn)行重定路徑.
??? 1）D etour補(bǔ)丁

6.隱身術(shù)
??? 1） 文件隱藏
??? 2） 進(jìn)程隱藏
??? 3） 注冊(cè)表鍵值隱藏
??? 4）驅(qū)動(dòng)隱藏
??? 5） 進(jìn)程中dll模塊隱藏
??? 6）端口隱藏
??
7.Ring0中調(diào)用Ring3程序
?? 1) APC方式
?? 2) DeviceIOControl 方式

8.進(jìn)程線程監(jiān)控
?? 1）進(jìn)程/線程監(jiān)控
?? 2） 殺線程

9.其他
?? 1） 獲取NTOSKrnl.exe模塊地址的幾種辦法
?? 2） 驅(qū)動(dòng)感染技術(shù)掃盲
?? 3）S hadow SSDT學(xué)習(xí)筆記
?? 4） 高手進(jìn)階Windows內(nèi)核定時(shí)器之一
?? 5） 高手進(jìn)階Windows內(nèi)核定時(shí)器之二
?? 6） 運(yùn)行期修改可執(zhí)行文件的路徑和Command Line
?? 7） 查找隱藏驅(qū)動(dòng)
?? 8） 裝載驅(qū)動(dòng)的幾種辦法

?