rookit for window：rookit技术资料.docVIP

rookit for window：rookit技术资料 Rootkit For Windows:Rookit技术资料 2009-10-12 17:34 转自：/content-431992-1.html Rootkit For Windows:Rookit技术资料 明白什么是Rootkit 文章作者：sunwear [E.S.T] 信息来源：邪恶八进制信息安全团队（） 转载请保留文章完整，谢谢！ List： 作者信息 一,前言 二,简介 三,rootkit的一些以公开的隐藏技术 四,一些隐藏技术的应对方法 五,about ring0 rootkit 六,rootkit的检测 七,参考资料,推荐 ：） ************************* 作者信息: *作者:sunwear [E.S.T] *E-mail:shellcoder[0x40]163[0x2E]com , sunwear[0x40]eviloctal[0x2E]com *QQ:47347 */ (邪恶八进制信息安全团队) *创作日期:2005年 一．先说几句与技术无关的话。 现在很多人对rootkit认识不够，可以说空白。而此愚文的目的就是让菜鸟认识rootkit→了解rootkit。也让一些想研究它的人把这篇文章当作一个参考或是入门级的指导。文章中介绍的rootkit的隐藏方法只是一部分。还有很多技术没有提到，另外还有一些未公开的技术。有些地方我未引用代码，因为不想占用过多的篇幅。以免有玩弄代码的嫌疑,不过写完以后还是觉得代码太多，请个位见谅。一-三的内容适合菜鸟看，也许第四部分之后对很多人来说都有些意义吧。如果高手不幸看到了，请准备好，不要吐到屏幕上或身上。 以往的文章写的比较乱，而且格式不公正，这样的形式写文章也是第一次。以前文章中引用代码和文字也没有详细说明，再此也对作者表示谦意。感谢XX提的这个建议。 今天是9月11号，庆祝一下童童的生日。顺便为911事件中的遇难者祈祷。同时也感谢MGF病毒的作者指点。 ************************* 二．简单的说说rootkit. Rootkit的历史已经很悠久了。存在于windows,unix,linux等操作系统中，不只局限在windows,此文我只以windows平台为例来说rootkit。Root在英语中是根,扎根的意思,kit是包的意思。rootkit我们可以把它理解成一个利用很多技术来潜伏在你系统中的一个后门，并且包含了一个功能比较多的程序包，例如有、清除日志，添加用户，b7cmdshell，添加删除启动服务等功能。当然它的设计者也要用一些技术来隐藏自己，确保不被发现。隐藏包括隐藏进程，隐藏文件，端口，或句柄，注册表的项，键值等等。总之，写rootkit的人是狡尽乳汁利用很多办法不被发现。 现在人们最熟悉的windows rootkit 就是hacker defender和ntrootkit了,还有使用了baiyuanfan在XCON提出的ring3 rootkit新思路的byshell,呵呵。而linux下就是knark了。 rootkit 技术分析 三．rootkit的一些以公开的隐藏技术以及检测技术。 1. 删除进程双项链上的进程对象。 ps:用的似乎很多，连现在的一些盗号的程序也利用上了 现在所有人查看进程一般都是通过任务管理器(taskmgr.exe)来查看。了解一些编程知识的人都知道，任务管理器枚举进程信息是靠的NtQuerySystemInformation 也就是ZwQuerySystemInformation 函数。众所周知，这个Native Api （本机API）枚举进程是要通过进程活动链表的。我们就来看看这个结构。 typedef struct _OBJECT_ATTRIBUTES { ULONG Length; HANDLE RootDirectory; PUNICODE_STRING ObjectName; ULONG Attributes; PVOID SecurityDescriptor; PVOID SecurityQualityOfService; } OBJECT_ATTRIBDTES, *POBJECT_ ATTRIBUTES; typedef struct _IO_STATUS_BLOCK { NTSTATDS Status; ULONG Information; }IO_STATUS_BLOCK , * PIO_STATUS_BLOCK ; typedef struct _LIST_ENTRY { Struct _LIS