本文将引领读者打造一个初级的内核级Rootkit,然后为其引入两种简单的隐形技术:进程隐形技术和文件隐形技术。同时,为了让读者获得rootkit编程的相关经验,我们顺便介绍了rootkit的装载、卸载 *** ,以及必不可少的测试技术。
本文介绍的Rootkit的主要构件是一个设备驱动程序,所以我们首先了解一下我们的之一个rootkit。
二、rootkit主体
本节引入一个简单的rootkit实例,它实际上只给出了rootkit的主体框架,换句话说,就是一个设备驱动程序。那么为什么要用设备驱动程序作为主体呢?很明显,因为在系统中,设备驱动程序和操作系统一样,都是程序中的特权阶级——它们运行于Ring0,有权访问系统中的所有代码和数据。还有一点需要说明的是,因为本例主要目的在于介绍rootkit是如何隐形的,所以并没有实现后门之类的具体功能,。
我们将以源代码的形式说明rootkit,对着重介绍一些重要的数据结构和函数。下面,先给出我们用到的之一个文件,它是一个头文件,名为Invisible.h,具体如下所示:
//Invisible.h:我们rootkit的头文件
#ifndef _INVISIBLE_H_
#define _INVISIBLE_H_
typedef BOOLEAN BOOL;
typedef unsigned long DWORD;
typedef DWORD* PDWORD;
typedef unsigned long ULONG;
typedef unsigned short WORD;
typedef unsigned char BYTE;
typedef struct _DRIVER_DATA
{
LIST_ENTRY listEntry;
DWORD unknown1;
DWORD unknown2;
DWORD unknown3;
DWORD unknown4;
DWORD unknown5;
DWORD unknown6;
DWORD unknown7;
UNICODE_STRING path;
UNICODE_STRING name;
} DRIVER_DATA;
#endif
我们知道,应用软件只要简单引用几个文件如stdio.h和windows.h,就能囊括大量的定义。但这种做法到了驱动程序这里就行不通了,原因大致有二条,一是驱动程序体积一般较为紧凑,二是驱动程序用途较为专一,用到的数据类型较少。因此,我们这里给出了一个头文件Invisible.h,其中定义了一些供我们的rootkit之用的数据类型。
这里定义的类型中,有一个数据类型要提一下:双字类型,它实际上是一个无符号长整型。此外,DRIVER_DATA是Windows 操作系统未公开的一个数据结构,其中含有分别指向设备驱动程序目录中上一个和下一个设备驱动程序的指针。而我们这里开发的rootkit恰好就是作为设备驱动程序来实现,所以,只要从设备驱动程序目录中将我们的rootkit(即驱动程序)所对应的目录项去掉,系统管理程序就看不到它了,从而实现了隐形。
显卡在我们电脑中是非常重要的一部分,选择一个适合的显卡驱动对显卡性能发挥有着重要任用,如果选择一个不好的显卡驱动,会导致玩游戏FPS值低以及玩游戏卡顿!游戏加速器www.ipdaili.co...
先说明一下,我是魅族用户,不是魅粉,也不是魅友,只是单纯喜欢这款手机而已。 认识魅族是从魅族M3(播放器)开始的,很漂亮,音效也很好,后面听说魅族出手机了果断入手。 我用过魅族的M8,M9,MX,...
大家会注意到因为国外的疫情比较严重,因此在国内几乎每天都会有新增境外输入病例,据最新消息报道31省区市新增境外输入21例,其中上海、广东等地的境外输入较多,相信大家也很好奇境外输入病例免费治疗吗,那么...
昨天在百度站长平台中看到百度推出的飓风算法,这次主要针对恶意采集。当然是针对采集,不是针对抄袭或者投稿。不过如果过分的抄袭,那么可能和采集判一样的刑! 对于我们站长博客来讲,最希望就是百度打开原...
近乎100%的网站都是需要关键词排名的,seo外包公司真是解决关键词优化问题的,因为有大量排名业务的需求,所以有外包这种形式来满足需求。什么是seo外包?seo外包什么意思?简而言之,就是企业主将se...
//缓冲区长度 { "32": "res/images/lightning_green.png",跨站恳求假造(英语:Cross-site request forgery),也被称为 one-c...