首页
课程
问答
CTF
社区
招聘
峰会
发现
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
社区
课程
招聘
发现
问答
CTF
排行榜
知识库
工具下载
峰会
看雪商城
证书查询
社区
软件逆向
发新帖
3
0
[讨论]求个思路,rootkit应该在哪个层面做隐藏文件才能绕过普遍的杀毒软件扫描
发表于: 2012-4-8 11:43
10341
[讨论]求个思路,rootkit应该在哪个层面做隐藏文件才能绕过普遍的杀毒软件扫描
cherryEx
1
2012-4-8 11:43
10341
刚才试了一下对\\FileSystem\\Ntfs做IRP_MJ_DIRECTORY_CONTROL的DISPATCH hook
来针对某个文件夹下的一个病毒文件进行隐藏。explorer看起来是隐藏了,但是我试用360自定义扫描这个文件夹,里面这个病毒还是被扫出来了。
ps:暂时还没测试其他杀软,不会是360比较强大吧
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
#系统底层
收藏
・
3
免费
・
0
支持
分享
分享到微信
分享到QQ
分享到微博
赞赏记录
参与人
雪币
留言
时间
查看更多
赞赏
×
1 雪花
5 雪花
10 雪花
20 雪花
50 雪花
80 雪花
100 雪花
150 雪花
200 雪花
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
感谢分享~
最新回复
(
13
)
cherryEx
雪 币:
128
活跃值:
(27)
能力值:
( LV5,RANK:60 )
在线值:
发帖
11
回帖
195
粉丝
0
关注
私信
cherryEx
1
2
楼
测试了一下,国外几款,小红伞、avast nod32都扫不到隐藏文件。
居然是国产软件给力,360和金山都能扫出来
看来什么样的国情就应该用相应的软件
2012-4-12 14:36
0
ycmint
雪 币:
1149
活跃值:
(888)
能力值:
( LV13,RANK:260 )
在线值:
发帖
28
回帖
893
粉丝
10
关注
私信
ycmint
5
3
楼
不hook 正规过滤 ,不会提示的....
2012-4-12 14:39
0
cherryEx
雪 币:
128
活跃值:
(27)
能力值:
( LV5,RANK:60 )
在线值:
发帖
11
回帖
195
粉丝
0
关注
私信
cherryEx
1
4
楼
没道理吧,正规过滤(是指挂设备栈吗?)和hook DISPATCH都是处理那个irp呀,
试过寒江独钓里面的例子sflt_smpl就是正规吧,也不能躲过扫描
金山神马的扫文件时不知道做的哪个层去了?
2012-4-12 15:40
0
cvcvxk
雪 币:
8835
活跃值:
(2404)
能力值:
( LV12,RANK:760 )
在线值:
发帖
125
回帖
3095
粉丝
236
关注
私信
cvcvxk
10
5
楼
AK922那个隐藏可以躲过那啥的扫描~
2012-4-12 23:38
0
cherryEx
雪 币:
128
活跃值:
(27)
能力值:
( LV5,RANK:60 )
在线值:
发帖
11
回帖
195
粉丝
0
关注
私信
cherryEx
1
6
楼
恩,hook CompleteRequest来处理是有点效果的,
其实我更想了解他们那个irp怎么走,有时想提前截获而不想等Complete的时候
2012-4-13 14:58
0
wowocock
雪 币:
405
活跃值:
(2285)
能力值:
( LV4,RANK:50 )
在线值:
发帖
4
回帖
298
粉丝
21
关注
私信
wowocock
1
7
楼
FSD 深层 INLINE HOOK ,同时拒绝打开NTOS,NTFS,FASTFAT等驱动文件。
2012-4-13 17:02
0
izc
雪 币:
203
活跃值:
(15)
能力值:
( LV2,RANK:10 )
在线值:
发帖
13
回帖
77
粉丝
0
关注
私信
izc
8
楼
膜拜楼上
2012-4-13 17:31
0
Crakme
雪 币:
2194
活跃值:
(1001)
能力值:
( LV2,RANK:10 )
在线值:
发帖
3
回帖
378
粉丝
0
关注
私信
Crakme
9
楼
请各位达达解释下 深层INLINE HOOK
2012-4-15 23:46
0
cherryEx
雪 币:
128
活跃值:
(27)
能力值:
( LV5,RANK:60 )
在线值:
发帖
11
回帖
195
粉丝
0
关注
私信
cherryEx
1
10
楼
通常hook都是修改关键导出函数地址开始的几字节吧,估计这里是说hook到进一步有深度的地方。
还不让打开那些驱动文件,估计是防止被从磁盘读取源数据恢复hook
这样的话也挺暴力和不和谐的
2012-4-16 00:33
0
lionxyes
雪 币:
890
活跃值:
(55)
能力值:
( LV6,RANK:90 )
在线值:
发帖
11
回帖
69
粉丝
0
关注
私信
lionxyes
2
11
楼
AK922很有深度,随便膜拜5楼7楼大
牛,
2012-4-16 06:51
0
liioer
雪 币:
33
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
12
回帖
55
粉丝
0
关注
私信
liioer
12
楼
简单一点就是在IRP_MJ_DIRECTORY_CONTROL中过滤FileBothDirectoryInformation.
你也可以自己把文件对其他进程或系统重定向到一个正常的文件.这样彻底了。
2012-4-16 12:09
0
cherryEx
雪 币:
128
活跃值:
(27)
能力值:
( LV5,RANK:60 )
在线值:
发帖
11
回帖
195
粉丝
0
关注
私信
cherryEx
1
13
楼
重定向到一个正常的文件?是指IRP_MJ_CREATE吗?
在哪层驱动做手脚呢?因为我试过在\\FileSystem\\Ntfs,360还是能正常检测该文件
2012-4-16 16:41
0
诺手无敌
雪 币:
194
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
1
回帖
2
粉丝
0
关注
私信
诺手无敌
14
楼
太深奥了
2018-5-5 21:38
0
游客
登录
|
注册
方可回帖
回帖
表情
雪币赚取及消费
高级回复
返回
cherryEx
1
11
发帖
195
回帖
60
RANK
关注
私信
他的文章
[求助]不用WriteProcessMemory的话,还能用什么办法往QQ进程写数据呢
4915
[求助]用ida的android_server调试设备上的程序,刚要入门遇到了些问题
14228
[原创]一个hooklib源码 for ring0 ring3 x86 amd64
21406
[原创]哎哟,QQ又崩溃了。当一回义工dbgger回忆录
15641
[讨论]求个思路,rootkit应该在哪个层面做隐藏文件才能绕过普遍的杀毒软件扫描
10342
关于我们
联系我们
企业服务
看雪公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区
看原图
赞赏
×
雪币:
+
留言:
快捷留言
为你点赞!
返回
顶部