能力值:
( LV7,RANK:100 )
|
-
-
2 楼
有啥好说的,无非就是hook、断链、伪造等手法
想检测怎么都能检测到,除非你把东西抹杀掉,但那样就没有意义了
想蒙蔽RING3很容易,但RING0基本不可能,最起码我不知道
比如进程可以搜索更加底层的链表,甚至调度链表
文件可以直接物理解析
驱动也可以暴力搜索
这些都是RING0做的,所以我才说意义不大,也就是骗骗RING3
|
能力值:
( LV11,RANK:180 )
|
-
-
3 楼
见光死, 算是一种可能吗
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
还有系统触不到有硬件资源可以用来隐藏的。
|
能力值:
( LV7,RANK:100 )
|
-
-
5 楼
你在开玩笑么?你学过《操作系统》这本书吗?除非你没上过大学或非计算机专业。
操作系统就是负责管理硬件资源的,你所谓的“系统触不到”已经违背了设计初衷。
或许我无知了?你给个说法我去查资料,我是真不知道“有硬件资源可以用来隐藏”
比如
系统“触不到”的进程如何进行调度管理?
系统“触不到”的文件如何访问?
系统“触不到”的驱动如何驱动硬件?
我很好奇。
|
能力值:
( LV7,RANK:100 )
|
-
-
6 楼
这个不好说吧,从WRK出现后内核的秘密已经很少了
再加上M$的符号表,深入分析内核已经不难
再说现在的隐藏技术没有什么市场,有什么东西需要隐藏?
除了恶意程序,但现在病毒已经萎靡,没有以前疯狂了
所以关注的人也少了(其实也没什么新思路出现)
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
首先,可能是我无知了。
——
1.你知道IA-32架构支持除实模式、保护模式之外的模式,SMM否
2.你知道hypervisor这玩意否
3.你知道bootkit,扩展ROM,UEFI固件否
4.你知道硬盘驱动器的HPA和DCO否,知道磁盘闲置空间否,我把代码放里面自成生态,你操作系统能访问的到?
另外,你说的“hook、断链、伪造等手法”只不过是隐藏技术的一小部分
——
本人重点大学毕业,不要随便侮辱我没上过学
|
能力值:
( LV7,RANK:100 )
|
-
-
8 楼
我没有任何对你不敬的态度,如果我的话使你感到不爽,我道歉
你所说的那些东西有一部分我知道,我也有不懂的,非全才
但你自己都说是自成生态,脱离了OS的管理,隐藏毫无意义啊
我认为隐藏就是某程序可见,某程序不可见,归根到底都是OS提供的服务
不需要钻牛角尖非要怎么怎么隐藏,或者对系统隐藏,要有实际意义
即系统要对某资源(文件,进程,内存等)有管理权,才会有隐藏的目的性和意义
好了跑题了,别让别人看笑话哈。
另外,我毕业的大学非重点大学,你比我强的。
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
加驱动就拦死。。。
|
能力值:
( LV7,RANK:100 )
|
-
-
10 楼
yes
在内核中只有比谁更猥琐
没有什么“你知道我不知道的”
当然我知道的肯定不多,需要学习
|
能力值:
( LV11,RANK:180 )
|
-
-
11 楼
两位大牛,学术研讨,大家都要心平气和。大家都有自己的长短,多海涵呀!
“事在人为,休言万般皆是命;境由心生,退后一步自然宽”
|
能力值:
( LV7,RANK:100 )
|
-
-
12 楼
你一说长短我就想到了深浅,太邪恶了我。
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
谢谢你的回答。关于进程更底层链表的搜索,可以讲的更仔细一些吗?
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
很多东西可以自己实现
比如调度啊进程对象管理啊什么的
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
如果你不爽,再自己reload个内核自己用
再用intel-vt & AMD-v藏内存(如果不支持的话用缺页异常来藏,不过防不了物理内存搜索)
就彻底没痕迹了
|
能力值:
( LV7,RANK:100 )
|
-
-
16 楼
如何检测VT我倒是没接触过
但重载内核或接管缺页异常就必须有HOOK吧,那检测就更简单了
我还是认为,在同级别的对抗中没有什么方法是检测不到的,只有谁更猥琐
无坚不摧,唯快不破。(病毒与反病毒、外挂与反外挂,等等等等)
|
能力值:
( LV7,RANK:100 )
|
-
-
17 楼
Windows是以线程为调度单位的
直接找这个链表,顺藤摸瓜找到进程对象即可
只是这个方法没有通用性,需要硬编码
|
能力值:
( LV2,RANK:10 )
|
-
-
18 楼
VT处理的好无法检测
这个是cpu特性,你懂的
上帝模式
|
能力值:
( LV2,RANK:10 )
|
-
-
19 楼
连进程对象都可以完全抹干净,不过如果这样我们得自己实现系统的很多机制^
而且进程这种东西只是个容器
抛掉也无妨
其实做隐藏要换个思路,不一定要你无法发现我,让你忽视掉我就行
|
能力值:
( LV5,RANK:60 )
|
-
-
20 楼
弱弱问一下r3用缺页怎么搞。以前研究了几天放弃了。
|
能力值:
( LV2,RANK:10 )
|
-
-
21 楼
建议直接放弃 我也尝试过,咋搞都不稳定
但是我坚信这个思路是可行的……
|
能力值:
( LV2,RANK:10 )
|
-
-
22 楼
windows中线程会被分配到多个链表中,如等待,就绪等等。如此多的链表,是存在同一个地方吗?还是不同的地方,有没有什么具体的数据结构,是与这些链表相关的。
|
能力值:
( LV8,RANK:130 )
|
-
-
23 楼
说两句哈,别喷我,尽量不带情绪
首先,解释一下,
”文件“ 属于文件系统范畴,是对数据进程归纳,抽象到一个对象中,作为一个实体存在。
”线程,句柄“ 属于操作系统范畴,硬件资源上不存在这些概念,如果想要操作这些对象,必须上升到操作系统层面上来。
”内存数据“ 本贴讨论的内存,是指操作系统范畴内的数据,对于当前操作系统有意义的数据,除此之外的”内存数据“,不在本贴讨论范围。
另外,本贴中的文件,也属于操作系统范畴内的文件,不能脱离于操作系统,隐藏一个脱离于当前操作系统的文件,对本贴来说,无任何意义 ,不要讨论的范围内。
无论是硬件,还是软件,最终必须上层到操作系统层面上,才能完成”隐藏的那些事“,一但上升到操作系统,就是软件层面上的事了,跟硬件没半毛关系了,所以,根本不存在能干”隐藏的那些事“的纯硬件,硬件只能作为 软件的载体,
所以,你讲的那样的硬件,的确不存在,即使存在,也只能作为软件载体,剩下的无非就是hook、断链、伪造等手法,
至于 这样的硬件,操作系统能否访问,已无关紧要了
本文标题所指的“隐藏的哪些事”是指在操作系统意义下的 文件,进程,线程,句柄,内存数据 等等内容,所以,要想干这些事的硬件,必须能干涉操作系统才行,还是得回到操作系统层面上面来,纯硬件,是干涉不了操作系统的,除非他向操作系统注入代码,并且执行,最终还是得回到"hook、断链、伪造等手法"上面来
就你“的smm,vt等”的确可以用来干这些事,但这东西,操作系统是可以“触摸”的,参见win2008
至于 “bootkit,扩展ROM,UEFI固件否等”,最终还是得回到操作系统层面上来,而且,这些东西,是操作系统本身可以访问的,
至于 ”硬盘驱动器的HPA和DCO“,这东西,你应该讲的是通过特殊编程器编程的驱动器吧,这种 是无法干涉操作系统,只能隐藏文件,而且编程十分麻烦,所以一般没有实际应用意义,只能在一些特殊领域起作用,如果可以在操作系统,直接对驱动器编程的,就是操作系统可访问的硬件了,
据我所知,网卡,硬盘,主板bios,等均可写入代码,并且执行,其中,能插入后门的,我见过的只有bios,而这种代码,能写入的数据很少,而且代码必须进入到操作系统层面,还是回到了现有的技术问题上面来,还是得回到"hook、断链、伪造等手法"上面来
至于 “磁盘闲置空间” ,可以明确告诉你,硬盘全空间,操作系统均可访问,只是你没有访问权限而已
至于 “我把代码放里面自成生态” ,可以明确告诉你,你的代码是死的,不会起任何作用,只是一堆无用数据而已,
如果配合“bootkit" ,"mbr"等,最终还是得回到操作系统层面上来,
”本人重点大学毕业,不要随便侮辱我没上过学“ 他辱没你,的确不对,有点带刺,
但你这个所谓的”硬件资源“,我没有见过
至于 这样的硬件,是否存在,我想,理论上应该存在,只是在实际环境 中我们都没有见过,
那就是CPU后门程序,这种程序直接写入硬件,必须通过特殊编程器件,才能编程,操作系统不可访问,数据 存放在cpu中特定flush中,,,可以达到想要的隐藏效果,但,还是最终还是得回到操作系统层面上面来,因为需要隐藏的东西,除了文件以外,其它的,都属于操作系统范畴,不到操作系统层面上来,就不存在这些东西,对吧,
|
能力值:
( LV2,RANK:10 )
|
-
-
24 楼
脱离文件系统的二进制片段不叫文件,那你说的是对的,没有能隐藏的东西了。这种基于硬件的只能完全隐藏自身,隐藏不了操作系统的东西。
跟我说你手撸了这么多!!
|
能力值:
( LV7,RANK:100 )
|
-
-
25 楼
强势围观,我是打酱油的。
|
|
|