本文将引领读者打造一个初级的内核级Rootkit,然后为其引入两种简单的隐形技术:进程隐形技术和文件隐形技术。同时,为了让读者获得rootkit编程的相关经验,我们顺便介绍了rootkit的装载、卸载 *** ,以及必不可少的测试技术。
本文介绍的Rootkit的主要构件是一个设备驱动程序,所以我们首先了解一下我们的之一个rootkit。
二、rootkit主体
本节引入一个简单的rootkit实例,它实际上只给出了rootkit的主体框架,换句话说,就是一个设备驱动程序。那么为什么要用设备驱动程序作为主体呢?很明显,因为在系统中,设备驱动程序和操作系统一样,都是程序中的特权阶级——它们运行于Ring0,有权访问系统中的所有代码和数据。还有一点需要说明的是,因为本例主要目的在于介绍rootkit是如何隐形的,所以并没有实现后门之类的具体功能,。
我们将以源代码的形式说明rootkit,对着重介绍一些重要的数据结构和函数。下面,先给出我们用到的之一个文件,它是一个头文件,名为Invisible.h,具体如下所示:
//Invisible.h:我们rootkit的头文件
#ifndef _INVISIBLE_H_
#define _INVISIBLE_H_
typedef BOOLEAN BOOL;
typedef unsigned long DWORD;
typedef DWORD* PDWORD;
typedef unsigned long ULONG;
typedef unsigned short WORD;
typedef unsigned char BYTE;
typedef struct _DRIVER_DATA
{
LIST_ENTRY listEntry;
DWORD unknown1;
DWORD unknown2;
DWORD unknown3;
DWORD unknown4;
DWORD unknown5;
DWORD unknown6;
DWORD unknown7;
UNICODE_STRING path;
UNICODE_STRING name;
} DRIVER_DATA;
#endif
我们知道,应用软件只要简单引用几个文件如stdio.h和windows.h,就能囊括大量的定义。但这种做法到了驱动程序这里就行不通了,原因大致有二条,一是驱动程序体积一般较为紧凑,二是驱动程序用途较为专一,用到的数据类型较少。因此,我们这里给出了一个头文件Invisible.h,其中定义了一些供我们的rootkit之用的数据类型。
这里定义的类型中,有一个数据类型要提一下:双字类型,它实际上是一个无符号长整型。此外,DRIVER_DATA是Windows 操作系统未公开的一个数据结构,其中含有分别指向设备驱动程序目录中上一个和下一个设备驱动程序的指针。而我们这里开发的rootkit恰好就是作为设备驱动程序来实现,所以,只要从设备驱动程序目录中将我们的rootkit(即驱动程序)所对应的目录项去掉,系统管理程序就看不到它了,从而实现了隐形。
一、外汇被骗怎么找黑客 1、黑客找网目前,黑客使用侵入计算机系统的基本技术,如破解密码通行证、开启天窗、Trapoor、后门巴克多。外汇被骗免费刷会员同样,他还写了一种用于符号计算机的语言和系统。找黑...
上海市模特网上预约女艺人经纪人微信号码【杨瑞进】 今日给大伙儿共享的內容是“上海市模特网上预约女艺人经纪人微信号码【杨瑞进】”,我是杨瑞进,来源于克拉玛依市,2020年31岁,做为岗位:广州市商务伴游...
邮票的方寸空间,常体现一个国家或地区的历史、科技、经济、文化、风土人情、自然风貌等特色,这让邮票除了邮政价值之外还有收藏价值。邮票也是某些国家或地区重要的财源来源。世界上最早的邮票是英国罗兰·希尔爵士...
这篇文章主要介绍了用PowerShell代替批处理吧!本文讲解了批处理文件的历史、Windows NT 和 Cmd.exe、Windows Script 主机、进入 Windows PowerShel...
点找网络黑客高手合作相关问题 黑客用什么电脑牌子相关问题 黑客怎么在qq找到别人位置 公安可以通过抖音号查到人吗(公安部令第123号全文...
本文导读目录: 1、数控机床的工作过程分为哪几步? 2、简述数控机床程序编制的内容与步骤 3、简述数控编程的内容和步骤 4、数控加工步骤? 5、数控机床加工程序的编制步骤 数控机床的...