首页
社区
课程
招聘
[求助]为什么现在大家都不谈论关于隐藏的事儿了呢
发表于: 2014-8-27 16:49 10199

[求助]为什么现在大家都不谈论关于隐藏的事儿了呢

2014-8-27 16:49
10199
在论坛中,看到关于进程、驱动、文件隐藏的帖子都是很久很久以前的了,为什么现在没有人谈论了呢?是因为隐藏能够被彻底发现,从而谈论这个变得没有意义了?还是有其他的原因。

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (28)
雪    币: 2161
活跃值: (750)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
2
有啥好说的,无非就是hook、断链、伪造等手法
想检测怎么都能检测到,除非你把东西抹杀掉,但那样就没有意义了
想蒙蔽RING3很容易,但RING0基本不可能,最起码我不知道
比如进程可以搜索更加底层的链表,甚至调度链表
文件可以直接物理解析
驱动也可以暴力搜索
这些都是RING0做的,所以我才说意义不大,也就是骗骗RING3
2014-8-27 17:20
0
雪    币: 1555
活跃值: (3103)
能力值: ( LV11,RANK:180 )
在线值:
发帖
回帖
粉丝
3
见光死, 算是一种可能吗
2014-8-27 17:29
0
雪    币: 16
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
还有系统触不到有硬件资源可以用来隐藏的。
2014-8-27 17:45
0
雪    币: 2161
活跃值: (750)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
5
你在开玩笑么?你学过《操作系统》这本书吗?除非你没上过大学或非计算机专业。
操作系统就是负责管理硬件资源的,你所谓的“系统触不到”已经违背了设计初衷。
或许我无知了?你给个说法我去查资料,我是真不知道“有硬件资源可以用来隐藏”
比如
系统“触不到”的进程如何进行调度管理?
系统“触不到”的文件如何访问?
系统“触不到”的驱动如何驱动硬件?
我很好奇。
2014-8-27 18:19
0
雪    币: 2161
活跃值: (750)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
6
这个不好说吧,从WRK出现后内核的秘密已经很少了
再加上M$的符号表,深入分析内核已经不难
再说现在的隐藏技术没有什么市场,有什么东西需要隐藏?
除了恶意程序,但现在病毒已经萎靡,没有以前疯狂了
所以关注的人也少了(其实也没什么新思路出现)
2014-8-27 18:26
0
雪    币: 16
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
首先,可能是我无知了。

——
1.你知道IA-32架构支持除实模式、保护模式之外的模式,SMM否
2.你知道hypervisor这玩意否
3.你知道bootkit,扩展ROM,UEFI固件否
4.你知道硬盘驱动器的HPA和DCO否,知道磁盘闲置空间否,我把代码放里面自成生态,你操作系统能访问的到?

另外,你说的“hook、断链、伪造等手法”只不过是隐藏技术的一小部分
——
本人重点大学毕业,不要随便侮辱我没上过学
2014-8-27 22:38
0
雪    币: 2161
活跃值: (750)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
8
我没有任何对你不敬的态度,如果我的话使你感到不爽,我道歉
你所说的那些东西有一部分我知道,我也有不懂的,非全才
但你自己都说是自成生态,脱离了OS的管理,隐藏毫无意义啊
我认为隐藏就是某程序可见,某程序不可见,归根到底都是OS提供的服务
不需要钻牛角尖非要怎么怎么隐藏,或者对系统隐藏,要有实际意义
即系统要对某资源(文件,进程,内存等)有管理权,才会有隐藏的目的性和意义
好了跑题了,别让别人看笑话哈。
另外,我毕业的大学非重点大学,你比我强的。
2014-8-27 23:30
0
雪    币: 31
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
加驱动就拦死。。。
2014-8-27 23:36
0
雪    币: 2161
活跃值: (750)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
10
yes
在内核中只有比谁更猥琐
没有什么“你知道我不知道的”
当然我知道的肯定不多,需要学习
2014-8-27 23:44
0
雪    币: 1555
活跃值: (3103)
能力值: ( LV11,RANK:180 )
在线值:
发帖
回帖
粉丝
11
两位大牛,学术研讨,大家都要心平气和。大家都有自己的长短,多海涵呀!

“事在人为,休言万般皆是命;境由心生,退后一步自然宽”
2014-8-28 09:12
0
雪    币: 2161
活跃值: (750)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
12
你一说长短我就想到了深浅,太邪恶了我。
2014-8-28 10:35
0
雪    币: 6
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
谢谢你的回答。关于进程更底层链表的搜索,可以讲的更仔细一些吗?
2014-8-28 16:55
0
雪    币: 11
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
很多东西可以自己实现
比如调度啊进程对象管理啊什么的
2014-8-28 17:34
0
雪    币: 11
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
如果你不爽,再自己reload个内核自己用

再用intel-vt & AMD-v藏内存(如果不支持的话用缺页异常来藏,不过防不了物理内存搜索)
就彻底没痕迹了
2014-8-28 17:36
0
雪    币: 2161
活跃值: (750)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
16
如何检测VT我倒是没接触过
但重载内核或接管缺页异常就必须有HOOK吧,那检测就更简单了
我还是认为,在同级别的对抗中没有什么方法是检测不到的,只有谁更猥琐
无坚不摧,唯快不破。(病毒与反病毒、外挂与反外挂,等等等等)
2014-8-28 19:14
0
雪    币: 2161
活跃值: (750)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
17
Windows是以线程为调度单位的
直接找这个链表,顺藤摸瓜找到进程对象即可
只是这个方法没有通用性,需要硬编码
2014-8-28 19:20
0
雪    币: 11
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
VT处理的好无法检测
这个是cpu特性,你懂的
上帝模式
2014-8-28 20:17
0
雪    币: 11
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
连进程对象都可以完全抹干净,不过如果这样我们得自己实现系统的很多机制^

而且进程这种东西只是个容器
抛掉也无妨
其实做隐藏要换个思路,不一定要你无法发现我,让你忽视掉我就行
2014-8-28 20:18
0
雪    币: 135
活跃值: (63)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
20
弱弱问一下r3用缺页怎么搞。以前研究了几天放弃了。
2014-8-28 20:23
0
雪    币: 11
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
建议直接放弃我也尝试过,咋搞都不稳定
但是我坚信这个思路是可行的……
2014-8-28 20:32
0
雪    币: 6
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
windows中线程会被分配到多个链表中,如等待,就绪等等。如此多的链表,是存在同一个地方吗?还是不同的地方,有没有什么具体的数据结构,是与这些链表相关的。
2014-8-29 09:23
0
雪    币: 239
活跃值: (190)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
23
说两句哈,别喷我,尽量不带情绪

首先,解释一下,
”文件“ 属于文件系统范畴,是对数据进程归纳,抽象到一个对象中,作为一个实体存在。
”线程,句柄“ 属于操作系统范畴,硬件资源上不存在这些概念,如果想要操作这些对象,必须上升到操作系统层面上来。
”内存数据“ 本贴讨论的内存,是指操作系统范畴内的数据,对于当前操作系统有意义的数据,除此之外的”内存数据“,不在本贴讨论范围。
另外,本贴中的文件,也属于操作系统范畴内的文件,不能脱离于操作系统,隐藏一个脱离于当前操作系统的文件,对本贴来说,无任何意义 ,不要讨论的范围内。

无论是硬件,还是软件,最终必须上层到操作系统层面上,才能完成”隐藏的那些事“,一但上升到操作系统,就是软件层面上的事了,跟硬件没半毛关系了,所以,根本不存在能干”隐藏的那些事“的纯硬件,硬件只能作为 软件的载体,

所以,你讲的那样的硬件,的确不存在,即使存在,也只能作为软件载体,剩下的无非就是hook、断链、伪造等手法,
至于 这样的硬件,操作系统能否访问,已无关紧要了

本文标题所指的“隐藏的哪些事”是指在操作系统意义下的 文件,进程,线程,句柄,内存数据 等等内容,所以,要想干这些事的硬件,必须能干涉操作系统才行,还是得回到操作系统层面上面来,纯硬件,是干涉不了操作系统的,除非他向操作系统注入代码,并且执行,最终还是得回到"hook、断链、伪造等手法"上面来

就你“的smm,vt等”的确可以用来干这些事,但这东西,操作系统是可以“触摸”的,参见win2008
至于 “bootkit,扩展ROM,UEFI固件否等”,最终还是得回到操作系统层面上来,而且,这些东西,是操作系统本身可以访问的,

至于 ”硬盘驱动器的HPA和DCO“,这东西,你应该讲的是通过特殊编程器编程的驱动器吧,这种 是无法干涉操作系统,只能隐藏文件,而且编程十分麻烦,所以一般没有实际应用意义,只能在一些特殊领域起作用,如果可以在操作系统,直接对驱动器编程的,就是操作系统可访问的硬件了,
据我所知,网卡,硬盘,主板bios,等均可写入代码,并且执行,其中,能插入后门的,我见过的只有bios,而这种代码,能写入的数据很少,而且代码必须进入到操作系统层面,还是回到了现有的技术问题上面来,还是得回到"hook、断链、伪造等手法"上面来

至于  “磁盘闲置空间” ,可以明确告诉你,硬盘全空间,操作系统均可访问,只是你没有访问权限而已

至于 “我把代码放里面自成生态” ,可以明确告诉你,你的代码是死的,不会起任何作用,只是一堆无用数据而已,
如果配合“bootkit" ,"mbr"等,最终还是得回到操作系统层面上来,

”本人重点大学毕业,不要随便侮辱我没上过学“ 他辱没你,的确不对,有点带刺,
但你这个所谓的”硬件资源“,我没有见过

至于 这样的硬件,是否存在,我想,理论上应该存在,只是在实际环境 中我们都没有见过,
那就是CPU后门程序,这种程序直接写入硬件,必须通过特殊编程器件,才能编程,操作系统不可访问,数据 存放在cpu中特定flush中,,,可以达到想要的隐藏效果,但,还是最终还是得回到操作系统层面上面来,因为需要隐藏的东西,除了文件以外,其它的,都属于操作系统范畴,不到操作系统层面上来,就不存在这些东西,对吧,
2014-8-29 10:34
0
雪    币: 16
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
脱离文件系统的二进制片段不叫文件,那你说的是对的,没有能隐藏的东西了。这种基于硬件的只能完全隐藏自身,隐藏不了操作系统的东西。

跟我说你手撸了这么多!!
2014-8-29 14:50
0
雪    币: 2161
活跃值: (750)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
25
强势围观,我是打酱油的。
2014-8-29 18:32
0
游客
登录 | 注册 方可回帖
返回
//