[讨论]求个思路，rootkit应该在哪个层面做隐藏文件才能绕过普遍的杀毒软件扫描-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[讨论]求个思路，rootkit应该在哪个层面做隐藏文件才能绕过普遍的杀毒软件扫描

发表于: 2012-4-8 11:43 10503

[讨论]求个思路，rootkit应该在哪个层面做隐藏文件才能绕过普遍的杀毒软件扫描

cherryEx

活跃值

1

2012-4-8 11:43

10503

刚才试了一下对\\FileSystem\\Ntfs做IRP_MJ_DIRECTORY_CONTROL的DISPATCH hook
来针对某个文件夹下的一个病毒文件进行隐藏。explorer看起来是隐藏了，但是我试用360自定义扫描这个文件夹，里面这个病毒还是被扫出来了。

ps:暂时还没测试其他杀软，不会是360比较强大吧

[招生]科锐逆向工程师培训(2025年3月11日实地，远程教学同时开班, 第52期)！

收藏・3

免费

支持

分享

最新回复 (13)
cherryEx 雪币： 128 活跃值： (27) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 195 粉丝 0 关注私信	cherryEx 1 2 楼测试了一下，国外几款，小红伞、avast nod32都扫不到隐藏文件。居然是国产软件给力，360和金山都能扫出来看来什么样的国情就应该用相应的软件 2012-4-12 14:36 0
ycmint 雪币： 1149 活跃值： (1008) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 894 粉丝 11 关注私信	ycmint 5 3 楼不hook 正规过滤，不会提示的.... 2012-4-12 14:39 0
cherryEx 雪币： 128 活跃值： (27) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 195 粉丝 0 关注私信	cherryEx 1 4 楼没道理吧，正规过滤（是指挂设备栈吗？）和hook DISPATCH都是处理那个irp呀，试过寒江独钓里面的例子sflt_smpl就是正规吧，也不能躲过扫描金山神马的扫文件时不知道做的哪个层去了？ 2012-4-12 15:40 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 243 关注私信	cvcvxk 10 5 楼 AK922那个隐藏可以躲过那啥的扫描~ 2012-4-12 23:38 0
cherryEx 雪币： 128 活跃值： (27) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 195 粉丝 0 关注私信	cherryEx 1 6 楼恩，hook CompleteRequest来处理是有点效果的，其实我更想了解他们那个irp怎么走，有时想提前截获而不想等Complete的时候 2012-4-13 14:58 0
wowocock 雪币： 405 活跃值： (2635) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 22 关注私信	wowocock 1 7 楼 FSD 深层 INLINE HOOK ，同时拒绝打开NTOS,NTFS,FASTFAT等驱动文件。 2012-4-13 17:02 0
izc 雪币： 203 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 77 粉丝 0 关注私信	izc 8 楼膜拜楼上 2012-4-13 17:31 0
Crakme 雪币： 2203 活跃值： (1021) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 378 粉丝 0 关注私信	Crakme 9 楼请各位达达解释下深层INLINE HOOK 2012-4-15 23:46 0
cherryEx 雪币： 128 活跃值： (27) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 195 粉丝 0 关注私信	cherryEx 1 10 楼通常hook都是修改关键导出函数地址开始的几字节吧，估计这里是说hook到进一步有深度的地方。还不让打开那些驱动文件，估计是防止被从磁盘读取源数据恢复hook 这样的话也挺暴力和不和谐的 2012-4-16 00:33 0
lionxyes 雪币： 890 活跃值： (55) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 69 粉丝 0 关注私信	lionxyes 2 11 楼 AK922很有深度，随便膜拜5楼7楼大牛， 2012-4-16 06:51 0
liioer 雪币： 33 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 55 粉丝 0 关注私信	liioer 12 楼简单一点就是在IRP_MJ_DIRECTORY_CONTROL中过滤FileBothDirectoryInformation. 你也可以自己把文件对其他进程或系统重定向到一个正常的文件.这样彻底了。 2012-4-16 12:09 0
cherryEx 雪币： 128 活跃值： (27) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 195 粉丝 0 关注私信	cherryEx 1 13 楼重定向到一个正常的文件？是指IRP_MJ_CREATE吗？在哪层驱动做手脚呢？因为我试过在\\FileSystem\\Ntfs，360还是能正常检测该文件 2012-4-16 16:41 0
诺手无敌雪币： 194 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	诺手无敌 14 楼太深奥了 2018-5-5 21:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

cherryEx

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区