首页
论坛
课程
招聘
[专题四]Rootkit的学习与研究
2007-12-20 14:02 472636

[专题四]Rootkit的学习与研究

2007-12-20 14:02
472636
Rootkit是什么?估计很多朋友并不明白,简单的说,Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。Rootkit通过加载特殊的驱动,修改系统内核,进而达到隐藏信息的目的。技术是双刃剑,我们研究它的目的在于,透过我们的研究,用这项技术来保护我们的系统,使我们的系统更加健壮,充分发挥这个技术的正面应用。

对于ROOTKIT专题的研究,主要涉及的技术有如下部分:
  
1. 内核hook
   对于hook,从ring3有很多,ring3到ring0也有很多,根据api调用环节递进的顺序,在每一个环节都有hook的机会,可以有int 2e或者sysenter hook,ssdt hook,inline hook ,irp hook,object hook,idt hook等等。在这里,我们逐个介绍。
   1)object hook
   2)ssdt hook
   3)inline-hook
   4)idt hook
   5)IRP hook
   6)SYSENTER hook
   7)IAT HOOK
   8)EAT HOOK

2. 保护模式篇章第一部分: ring3进ring0之门
   1)通过调用门访问内核
   2)通过中断门访问内核
   3)通过任务门访问内核
   4)通过陷阱门访问内核

3。保护模式篇章第二部分:windows分页机制
   1)windows分页机制
   
4。保护模式篇章第三部分:直接访问硬件
   1)修改iopl,ring3直接访问硬件
   2)追加tss默认I/O许可位图区域
   3)更改tss I/O许可位图指向

5。detour 修改函数执行路径,可用于对函数的控制流程进行重定路径。
   1)detour补丁
   

6. 隐身术
   1)文件隐藏
   2)进程隐藏
   3)注册表键值隐藏
   4)驱动隐藏
   5)进程中dll模块隐藏
   6)更绝的隐藏进程中的dll模块,绕过IceSword的检测
   7)端口隐藏
  
7。ring0中调用ring3程序
  1) apc方式
  2) deviceiocontrol 方式

8。进程线程监控
  1)监控进程创建
  2)杀线程
  3)保护进程和屏蔽文件执行  

9。其他
  1)获取ntoskrnl.exe模块地址的几种办法
  2)驱动感染技术扫盲
  3)shadow ssdt学习笔记
  4)高手进阶windows内核定时器之一
  5)高手进阶windows内核定时器之二
  6)运行期修改可执行文件的路径和Command Line
  7)查找隐藏驱动
  8)装载驱动的几种办法
  9)内核中注入dll的一种流氓方法
  10)另一种读写进程内存空间的方法
  11)完整驱动感染代码
  12)Hook Shadow SSDT
  13)ring0检测隐藏进程
对于rootkit的研究,涉及到的内容比较多,需要在充分学习理解这些技术的前提下,透过目前网络上出现的一些rootkit病毒,木马来进行分析,做到活学活用。因此,对于本版块的思路很清晰,首先是基础技术理论的研究,由于目前windows还是主流的操作系统,因此,我们主要研究windows下的rootkit,这个课题是一个长期的,对这个课题感兴趣的朋友,欢迎大家一起参与讨论。

声明: 转贴请注明看雪学院。
联系作者

看雪招聘平台创建简历并且简历完整度达到90%及以上可获得500看雪币~

收藏
点赞1
打赏
分享
最新回复 (151)
雪    币: 1613
活跃值: 活跃值 (33)
能力值: (RANK:1010 )
在线值:
发帖
回帖
粉丝
北极星2003 活跃值 25 2007-12-20 14:06
2
0
rootkit可以说是目前最流行而最具神秘色彩的技术之一。希望有兴趣的朋友都来参与这个学习过程,一起揭开rootkit的神秘面纱。
雪    币: 207
活跃值: 活跃值 (37)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
sislcb 活跃值 7 2007-12-20 16:43
3
0
貌似和windows rookit那本书的目录那么像的。。。
雪    币: 207
活跃值: 活跃值 (37)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
sislcb 活跃值 7 2007-12-20 16:45
4
0
请问这个是报名参加,还是一起讨论的?
雪    币: 1298
活跃值: 活跃值 (63)
能力值: ( LV9,RANK:490 )
在线值:
发帖
回帖
粉丝
yijun8354 活跃值 12 2007-12-20 17:17
5
0
就是学习windows rookit?
雪    币: 482
活跃值: 活跃值 (938)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
sudami 活跃值 25 2007-12-20 21:20
6
0
学习~~~
雪    币: 1613
活跃值: 活跃值 (33)
能力值: (RANK:1010 )
在线值:
发帖
回帖
粉丝
北极星2003 活跃值 25 2007-12-20 23:46
7
0
发起专题的其中一个作用是引导大家的研究方向,有兴趣的可以研究这方面的技术,然后与大家交流分享,不需要报名。这里提出的课题只是给定一个方向。
专题的另外一个作用是把这个方面的技术体系化,让学习过程变的更有方向性,也方便后来者的学习。如果希望即时交流的话,可以使用论坛短消息或者邮件之类的,与LZ进行交流。这应该是个主动的过程。
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
lOOp 活跃值 2007-12-21 11:19
8
0
我。。。。。
  以后跟着楼主学习了
雪    币: 240
活跃值: 活跃值 (116)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
xicao 活跃值 2007-12-21 12:34
9
0
真的和《ROOTKITS--WINDOWS内核的安全防护》结构差不多,大家一起学习
雪    币: 210
活跃值: 活跃值 (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
救世猪 活跃值 1 2007-12-23 17:56
10
0
楼主继续呀
只看目录看不到内容,不爽呀~~~~
雪    币: 109
活跃值: 活跃值 (197)
能力值: ( LV13,RANK:1050 )
在线值:
发帖
回帖
粉丝
combojiang 活跃值 26 2007-12-24 16:25
11
0
哈哈,大家不要着急,从08年1月份开始,将逐步贴出专题内容。到时,欢迎大家跟贴。
雪    币: 1613
活跃值: 活跃值 (33)
能力值: (RANK:1010 )
在线值:
发帖
回帖
粉丝
北极星2003 活跃值 25 2007-12-24 17:03
12
0
恭喜恭喜!
赶紧找个时间请客
雪    币: 104
活跃值: 活跃值 (18)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
sbright 活跃值 2 2007-12-24 23:35
13
0
rootkit方面的资料本来搜集了很多,主要是想用来做毕业设计,非常想写个自己的,强大的rootkit
安全焦点上有篇将rootkit植入芯片的文章,非常想实现这个~~~可是被学院决定做毕业设计做数学方向,......不过我还是会跟随楼主,一起努力学习,讨论的!!!!
雪    币: 207
活跃值: 活跃值 (37)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
sislcb 活跃值 7 2007-12-25 00:11
14
0
恭喜恭喜
支持北极星的意见。
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
netxfly 活跃值 2007-12-25 09:50
15
0
不错的文章,支持搂住,希望早日看到后续的文章
雪    币: 13
活跃值: 活跃值 (17)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
jadesoft 活跃值 1 2007-12-25 13:13
16
0
牛啊都总监了
雪    币: 208
活跃值: 活跃值 (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
hpxpj 活跃值 1 2007-12-25 21:57
17
0
学习,这部分知识真的太神秘了
雪    币: 294
活跃值: 活跃值 (73)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
liuzewei 活跃值 3 2007-12-25 22:43
18
0
强烈支持!一直不明确自己的目标!被楼主点破了这层纸!强烈希望跟楼主学习!请楼主慢慢来,能让我们能比较系统的学习!赞一个!

自己找了好久资料了。。。期待。。。看了这个帖子。。。好开心。。。 真想撞一下```呵呵!
雪    币: 294
活跃值: 活跃值 (73)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
liuzewei 活跃值 3 2007-12-25 22:49
19
0
忍不住再发个贴,说下我的一点建议:
请将重点放到1,2,3,4,5,6这6点上,请尽量慢一些,给我们学习者打好扎实的基础,这样最重要!

我大学毕业前一年就学这个了!最后毕业论文也以这方面知识做基础!

。。。楼主加油。。。!

绝对是国内首创!

感谢楼主的无私奉献精神!
雪    币: 201
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
robar 活跃值 2007-12-26 10:57
20
0
支持哦,小弟接触这方面不久,一定努力跟贴:)
雪    币: 215
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
maikkk 活跃值 2007-12-26 15:19
21
0
现在正在自学那本书,请大家多多指教
雪    币: 111
活跃值: 活跃值 (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
peowner 活跃值 2007-12-28 17:45
22
0
强烈支持!学习。。。。。
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
qandzjl 活跃值 2008-1-3 15:00
23
0
ROOTKIT和驱动这两个专题非常好啊
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
sssyyynnn 活跃值 2008-1-5 22:04
24
0
顶一下!喜欢,俺的邮箱是sssyyynnn@gmail.com qq是397833601,希望与大家一起学习!
雪    币: 109
活跃值: 活跃值 (197)
能力值: ( LV13,RANK:1050 )
在线值:
发帖
回帖
粉丝
combojiang 活跃值 26 2008-1-14 12:40
25
0
欢迎大家多多提供病毒、木马样本。。。。。。
游客
登录 | 注册 方可回帖
返回