打印

[原创]内核级后门Rootkit技术

xyzreg

团队执行官

Rank: 8 Rank: 8

E.S.T核心成员技术主管

帖子: 318
精华: 20
积分: 5854
阅读权限: 200
性别: 男
在线时间: 95 小时
注册时间: 2005-1-17
最后登录: 2008-12-16

原创技术奖核心建议奖技术活跃奖

发短消息
加为好友
当前离线

楼主大中小发表于 2006-7-17 22:24 只看该作者

[原创]内核级后门Rootkit技术

文章作者：xyzreg [E.S.T]
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

本PPT原为我在我们系讨论会上所作的演讲。因CVC最近搞了个专题讨论，受vxk等朋友之邀，放点血，把PPT放出来，希望对想研究Rootkit技术的朋友有所引导。其中有些敏感技术信息已删去，不过相信对有些朋友还是有用的。当然，大牛们就不必看了。

ppt见附件，此ppt没溢出，放心打开，呵呵。

4月9日更新：
因为原PPT使用WPS制作的缘故，有些使用MS Office的朋友无法正常打开PPT文档。
现更新了压缩包，附含了相应的PDF文档。

内核级后门Rootkit技术.rar (193 KB)

http://www.xyzreg.net

TOP

ZV

荣誉会员

Rank: 6 Rank: 6 Rank: 6

E.S.T论坛贵宾

帖子: 464
精华: 10
积分: 4786
阅读权限: 100
性别: 男
来自: 福建福州
在线时间: 105 小时
注册时间: 2004-12-10
最后登录: 2008-1-10

发短消息
加为好友
当前离线

沙发大中小发表于 2006-7-17 22:54 只看该作者

记得当初ps刚刚流行的时候(就是那个第一个在2000/nt下可以关联进程和端口的程序),我在幻影就看到eva还是谁提出断掉PspCidTable链来隐藏不被ps发现的办法.好像距离现在有好几个年头了.所以当时看到icesword居然用读该链来查进程确实是有点吃惊.

流氓会武术,谁都挡不住. http://hi.baidu.com/zvrop

TOP

xyzreg

团队执行官

Rank: 8 Rank: 8

E.S.T核心成员技术主管

帖子: 318
精华: 20
积分: 5854
阅读权限: 200
性别: 男
在线时间: 95 小时
注册时间: 2005-1-17
最后登录: 2008-12-16

原创技术奖核心建议奖技术活跃奖

发短消息
加为好友
当前离线

椅子大中小发表于 2006-7-17 23:05 只看该作者

引用:

这里是引用第[1 楼]的ZV于2006-07-17 22:54发表的：
记得当初ps刚刚流行的时候(就是那个第一个在2000/nt下可以关联进程和端口的程序),我在幻影就看到eva还是谁提出断掉PspCidTable链来隐藏不被ps发现的办法.好像距离现在有好几个年头了.所以当时看到icesword居然用读该链来查进程确实是有点吃惊.

嗯，不过IceSword1.18改进了。
另外CardMagic和Wowocock二位老兄合写的DarkSpy在进程检测方面做得不错。

http://www.xyzreg.net

TOP

金州

智囊团成员

Rank: 7 Rank: 7 Rank: 7 Rank: 7

E.S.T智囊团成员

帖子: 1243
精华: 8
积分: 6153
阅读权限: 150
性别: 男
在线时间: 593 小时
注册时间: 2005-3-18
最后登录: 2008-6-6

原创技术奖

发短消息
加为好友
当前离线

板凳大中小发表于 2006-7-18 00:53 只看该作者

简介绕过DarkSpy的方法
http://forum.eviloctal.com/read-htm-tid-21859.html
http://www.xfocus.net/articles/200604/864.html

以下引用
“先说说里面的新东西：驱动开发网站的一位会员启发我们DarkSpy修改了
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager中的
GlobalFlag为0x4000，这是做什么呢？原来这会使得NtGlobalFlag加入Maintain
Object Typelist标志，于是系统创建对象时会把它加入Type链表中，这样可以
遍历链表来查找对象。修改标志需要重启机器，这应该就是“强模式”要重启的理由。
正如那位会员所说，作者故意隐瞒了这点，我也觉得不妥：如果是为了防止别人crack，
也应该提供卸载程序的，因为这个标志一直不被清除，不再使用DarkSpy的用户依然
会为此付出代价：每个内核对象都要额外分配16字节的核心空间，那成千上万的
对象呢?
”

人情如冰六月寒，花做一份艳，为谁笑人间？如果任何人发现我转载的有图像的文章中图像失效或者文章有问题，请及时短消息通知我。先谢谢。：：）） coup de foudre

TOP

xyzreg

团队执行官

Rank: 8 Rank: 8

E.S.T核心成员技术主管

帖子: 318
精华: 20
积分: 5854
阅读权限: 200
性别: 男
在线时间: 95 小时
注册时间: 2005-1-17
最后登录: 2008-12-16

原创技术奖核心建议奖技术活跃奖

发短消息
加为好友
当前离线

地板大中小发表于 2006-7-18 01:35 只看该作者

引用:

这里是引用第[3 楼]的金州于2006-07-18 00:53发表的：
每个内核对象都要额外分配16字节的核心空间，那成千上万的
对象呢?
.......

也占不了没多少～
不过DarkSpy还不错，文中的方法对新1.05版本应该无效了。

不过从R3层面上实用猥琐的方法还是可以对付目前的DarkSpy的。
国外有个叫GMER的Anti－Rootkit软件，虽然没DS强，但是人性化，适合国人使用。

http://www.xyzreg.net

TOP

netxfly

技术核心组

Rank: 8 Rank: 8

E.S.T核心成员

帖子: 306
精华: 12
积分: 4110
阅读权限: 200
性别: 男
在线时间: 260 小时
注册时间: 2005-1-20
最后登录: 2008-12-26

原创技术奖技术活跃奖

发短消息
加为好友
当前离线

6楼大中小发表于 2006-7-18 10:18 只看该作者

恰好偶找到一个国外免费的Rootkit 检测工具和源码Nigilant32，顺便放上来吧。

附件

Nigilant32-0.1beta.zip (786 KB): 2006-7-18 10:18, 下载次数: 418

TOP

iamacracker

晶莹剔透§烈日灼然

Rank: 1

帖子: 3
精华: 0
积分: 7
阅读权限: 40
在线时间: 43 小时
注册时间: 2005-1-15
最后登录: 2008-12-13

发短消息
加为好友
当前离线

7楼大中小发表于 2006-8-2 16:18 只看该作者

[quote]这里是引用第[1 楼]的ZV于2006-07-17 22:54发表的：
记得当初ps刚刚流行的时候(就是那个第一个在2000/nt下可以关联进程和端口的程序),我在幻影就看到eva还是谁提出断掉PspCidTable链来隐藏不被ps发现的办法.好像距离现在有好几个年头了.quote]

PspCidTable不是什么链吧？感觉你是弄混了，文章在哪有？想看看。
我好像在hxdef的主页上最先看到介绍的，几句话，那也是不到一年.