首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [下载]rokit专题研究 0.00雪花
发表于: 2010-6-24 16:47 2466

[旧帖] [下载]rokit专题研究 0.00雪花

oatzhang 活跃值
2010-6-24 16:47
2466
rokit专题研究的帖子整理一下,方便大家学习 rookit.part1.rar

rookit.part2.rar

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (36)
oatzhang
雪    币: 2477
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
做一回沙发,哈哈
2010-6-25 08:19
0
tianyitai
雪    币: 44
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
板凳一个,咱是穷人 转正 再说
2010-6-26 11:53
0
mmhunter
雪    币: 13
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
我也是穷人,下不起啊
2010-6-26 11:59
0
oatzhang
雪    币: 2477
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
好东西下载不要钱
2010-6-27 09:15
0
oatzhang
雪    币: 2477
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
1. 内核hook
   对于hook,从ring3有很多,ring3到ring0也有很多,根据api调用环节递进的顺序,在每一个环节都有hook的机会,可以有 int 2e或者 sysenter hook,ssdt hook,inline hook ,irp hook,object hook,idt hook等等。在这里,我们逐个介绍。
   1)object hook
   2)ssdt hook
   3)inline-hook
   4)idt hook
   5)IRP hook
   6)SYSENTER hook
   7)IAT HOOK
   8)EAT HOOK

2. 保护模式篇章第一部分: ring3进ring0之门
   1)通过调用门访问内核
   2)通过中断门访问内核
   3)通过任务门访问内核
   4)通过陷阱门访问内核

3。保护模式篇章第二部分:windows分页机制
   1)windows分页机制
   
4。保护模式篇章第三部分:直接访问硬件
   1)修改iopl,ring3直接访问硬件
   2)追加tss默认I/O许可位图区域
   3)更改tss I/O许可位图指向

5。detour 修改函数执行路径,可用于对函数的控制流程进行重定路径。
   1)detour补丁
   

6. 隐身术
   1)文件隐藏
   2)进程隐藏
   3)注册表键值隐藏
   4)驱动隐藏
   5)进程中dll模块隐藏
   6)更绝的隐藏进程中的dll模块,绕过IceSword的检测
   7)端口隐藏
  
7。ring0中调用ring3程序
  1) apc方式
  2) deviceiocontrol 方式

8。进程线程监控
  1)监控进程创建
  2)杀线程
  3)保护进程和屏蔽文件执行   

9。其他
  1)获取ntoskrnl.exe模块地址的几种办法
  2)驱动感染技术扫盲
  3)shadow ssdt学习笔记
  4)高手进阶windows内核定时器之一
  5)高手进阶windows内核定时器之二
  6)运行期修改可执行文件的路径和Command Line
  7)查找隐藏驱动
  8)装载驱动的几种办法
  9)内核中注入dll的一种流氓方法
  10)另一种读写进程内存空间的方法
  11)完整驱动感染代码
  12)Hook Shadow SSDT
  13)ring0检测隐藏进程
对于rootkit的研究,涉及到的内容比较多,需要在充分学习理解这些技术的前提下,透过目前网络上出现的一些rootkit病毒,木马来进行分析,做到活学活用。因此,对于本版块的思路很清晰,首先是基础技术理论的研究,由于目前windows还是主流的操作系统,因此,我们主要研究windows下的rootkit,这个课题是一个长期的,对这个课题感兴趣的朋友,欢迎大家一起参与讨论
2010-6-27 09:30
0
oatzhang
雪    币: 2477
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
顺便看看KX数
2010-6-29 08:56
0
gjden
雪    币: 6790
活跃值: (4441)
能力值: (RANK:600 )
在线值:
发帖
回帖
粉丝
私信
8
如何参与?
以何种方式?
2010-7-14 21:36
0
Funnyhe
雪    币: 34
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
收藏了谢谢O(∩_∩)O~
2010-7-15 08:51
0
狂世战神
雪    币: 61
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
暂时收藏,转正后在下
2010-7-15 13:38
0
hellomike
雪    币: 20
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
穷人,下不起啊
2010-7-15 22:13
0
gtict
雪    币: 228
活跃值: (3163)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
12
收藏下~~·
2010-7-15 22:28
0
fwxj星星
雪    币: 208
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
13
谢谢LZ了,下了学习
2010-8-25 09:44
0
我是sld
雪    币: 261
活跃值: (55)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
14
收藏了...谢谢楼主...
2010-8-25 12:30
0
Silvin
雪    币: 26
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
15
看到楼主的在线时长和注册时间,惭愧,惭愧
嘿嘿,等会下载学习下咯
2010-8-26 10:40
0
qqroot
雪    币: 1102
活跃值: (975)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
16
额。。我的看看kx多少了。。
2010-8-26 21:55
0
LuckyG
雪    币: 275
活跃值: (51)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
17
最喜欢doc跟chm的了 下载了chm的 正在复制粘贴doc版本的结果lz就放上来了 感谢啊~
2010-10-13 11:16
0
ycmint
雪    币: 1149
活跃值: (888)
能力值: ( LV13,RANK:260 )
在线值:
发帖
回帖
粉丝
私信
18
好东西。。正找着呢】
2010-10-13 11:40
0
何厚铧
雪    币: 12
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
19
这是好东西,可是我不会用。
2010-10-13 12:20
0
cscncllf
雪    币: 192
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
20
收藏了谢谢
2010-10-13 12:26
0
unknownace
雪    币: 28
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
21
转正还有很长的路要走啊~~~
2010-10-13 12:43
0
lookzo
雪    币: 6
活跃值: (1125)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
22
收藏,THKS
2010-10-13 12:47
0
woyuwoxing
雪    币: 2
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
23
收藏了,谢谢楼主
2010-10-13 14:20
0
咪···WC
雪    币: 255
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
24
等转正后在来吧···
2010-10-13 16:47
0
cuidaniu
雪    币: 147
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
25
不错的教程,谢谢发布,一定要深入学习
2010-10-13 18:47
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//