[Reference]Rootkit是什么

Rootkit是什么?估计很多朋友并不明白,简单的说,Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件,进程和网络链接等信息,比较多见到的是Rootkit一般都和木马,后门等其他恶意程序结合使用.Rootkit通过加载特殊的驱动,修改系统内核,进而达到隐藏信息的目的.技术是双刃剑,我们研究它的目的在于,透过我们的研究,用这项技术来保护我们的系统,使我们的系统更加健壮,充分发挥这个技术的正面应用.

对于Rootkit专题的研究,主要涉及的技术有如下部分:

1.内核Hook
    对于Hook,从ring3有很多,ring3到ring0也有很多,根据api调用环节递进的顺序,在每一个环节都有hook的机会,可以有int 2E或者SysEnter Hook,SSDT Hook,Inline Hook ,IRP Hook,Object Hook,IDT Hook等等.在这里,我们逐个介绍.
    1) O bject Hook
    2) SSDT Hook
    3)I nline Hook
    4) IDT Hook
    5) IRP Hook
    6) SYSENTER Hook
    7) IAT HOOK
    8) EAT HOOK

2.保护模式篇章第一部分:Ring3进Ring0之门
    1) 通过调用门访问内核
    2) 通过中断门访问内核
    3) 通过任务门访问内核
    4) 通过陷阱门访问内核

3.保护模式篇章第二部分:Windows分页机制
    1)W indows分页机制
   
4.保护模式篇章第三部分:直接访问硬件
    1) 修改IOPL,Ring3直接访问硬件
    2) 追加TSS默认I/O许可位图区域
    3) 更改TSS I/O许可位图指向

5.Detour 修改函数执行路径,可用于对函数的控制流程进行重定路径.
    1)D etour补丁

6.隐身术
    1) 文件隐藏
    2) 进程隐藏
    3) 注册表键值隐藏
    4)驱动隐藏
    5) 进程中dll模块隐藏
    6)端口隐藏
  
7.Ring0中调用Ring3程序
   1) APC方式
   2) DeviceIOControl 方式

8.进程线程监控
   1)进程/线程监控
   2) 杀线程

9.其他
   1) 获取NTOSKrnl.exe模块地址的几种办法
   2) 驱动感染技术扫盲
   3)S hadow SSDT学习笔记
   4) 高手进阶Windows内核定时器之一
   5) 高手进阶Windows内核定时器之二
   6) 运行期修改可执行文件的路径和Command Line
   7) 查找隐藏驱动
   8) 装载驱动的几种办法

 

你可能感兴趣的:([Reference]Rootkit是什么)