[原创]分享比较完整的ROOTKIT DEMO! 原来Shadow Hook和SSDT Hook一样容易！-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]分享比较完整的ROOTKIT DEMO! 原来Shadow Hook和SSDT Hook一样容易！

发表于: 2008-8-5 23:37 106754

[原创]分享比较完整的ROOTKIT DEMO! 原来Shadow Hook和SSDT Hook一样容易！

embedlinux 活跃值

2008-8-5 23:37

106754

查看主题内容

收藏・93

免费・7

支持

最新回复 (116) ◀ 1 2 3 4 5 ▶
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 26 楼测试并修改中。 2008-8-7 16:05 0
frozenrain 雪币： 107 活跃值： (1693) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 509 粉丝 1 关注私信	frozenrain 27 楼欢迎驱动可惜看不懂驱动太邪恶了 2008-8-7 16:32 0
MCY 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	MCY 28 楼非常感谢楼主,这是个好东西呀. 2008-8-7 17:03 0
lopman 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 0 关注私信	lopman 29 楼路过，帮顶 2008-8-7 17:37 0
embedlinux 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 47 粉丝 0 关注私信	embedlinux 1 30 楼有哪位高手修改好驱动了吗？我在XPSP2下用INSTDRV.EXE能成功加载驱动，但在卸载时，却蓝屏了！不对SSDT HOOK ，只hook shadow，驱动能够顺利加载和卸载，估计是SSDT hooK方面出问题了！对于SSDT HOOK，首先恢复SSDT HOOK，然后再HOOK，每隔几ms重新HOOK。在没有装杀毒软件的系统中也不能正常卸载！目前也在加紧修改中测试中！！！！ 2008-8-7 19:37 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 31 楼 SSDT hooK 已经可能不是很好而且稳定的办法，建议研究江民驱动[hook shadow+inline hook]。 2008-8-7 21:20 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 32 楼小伟的意思是说你对原函数的内容是硬编码，在不同的系统或不同的内核文件的情况下会挂掉。 2008-8-7 21:36 0
embedlinux 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 47 粉丝 0 关注私信	embedlinux 1 33 楼我的程序采用硬编码编程兼容性很差，我在XPSP2下是： kd> u NtOpenProcess nt!NtOpenProcess: 805c0e1e 68c4000000 push 0C4h 805c0e23 6890aa4d80 push offset nt!FsRtlLegalAnsiCharacterArray+0x1ff0 (804daa90) 805c0e28 e8d374f7ff call nt!wctomb+0x45 (80538300) 在不同系统或不同内核文件下函数前面几个字节就变了，应该写个模块直接从内核中读取函数前面几个字节！ 2008-8-7 22:37 0
shdow浅蓝雪币： 103 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 77 粉丝 0 关注私信	shdow浅蓝 34 楼楼主有才！！！ 2008-8-8 09:58 0
neverqq 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 48 粉丝 0 关注私信	neverqq 35 楼学习 .... 2008-8-9 19:33 0
lixupeng 雪币： 563 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 36 楼学习下 2008-8-9 21:00 0
vcfan 雪币： 109 活跃值： (11) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	vcfan 1 37 楼很好很强大，严重支持！ 2008-8-10 02:53 0
kagayaki 雪币： 1312 活跃值： (5164) 能力值： ( LV3，RANK：20 ) 在线值：发帖 174 回帖 1253 粉丝 25 关注私信	kagayaki 38 楼收藏!!!! 2008-8-10 03:24 0
ppanger 雪币： 255 活跃值： (49) 能力值： ( LV9，RANK：180 ) 在线值：发帖 7 回帖 126 粉丝 5 关注私信	ppanger 4 39 楼驱动编译错误： irpfile.c <548> : error c2039 'QueryDirectory' : is not a member of '__unnamed' irpfile.c <549> : error c2039 'QueryDirectory' : is not a member of '__unnamed' irpfile.c <550> : error c2039 'QueryDirectory' : is not a member of '__unnamed' 不知是什么错误望LZ赐教 2008-8-10 20:35 0
embedlinux 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 47 粉丝 0 关注私信	embedlinux 1 40 楼 //自己的ntddk.h中添加的代码: QueryDirectory //Parameters for IRP_MJ_DIRECTORY_CONTROL struct { ULONG Length; PUNICODE_STRING FileName; FILE_INFORMATION_CLASS POINTER_ALIGNMENT \ FileInformationClass; } QueryDirectory; 详情请用WinDbg查看IO_STACK_LOCATION 结构。 2008-8-10 23:36 0
ppanger 雪币： 255 活跃值： (49) 能力值： ( LV9，RANK：180 ) 在线值：发帖 7 回帖 126 粉丝 5 关注私信	ppanger 4 41 楼感谢LZ的回答编译通过 DDK中 ntddk.h 对于 _IO_STACK_LOCATION结构确实有很多参数没有定义再次感谢希望LZ的项目不断更新 2008-8-11 11:22 0
embedlinux 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 47 粉丝 0 关注私信	embedlinux 1 42 楼呵呵！That's OK! 2008-8-11 15:18 0
embedlinux 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 47 粉丝 0 关注私信	embedlinux 1 43 楼今天去看了网龙，环境果然很不错！没人顶，自己顶帖子了！ 2008-8-13 23:24 0
reebox 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	reebox 44 楼学习，谢谢分享！！！ 2008-8-18 20:32 0
梦魇颖雨雪币： 234 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 163 粉丝 0 关注私信	梦魇颖雨 45 楼确实不错。。支持一下，刚刚也要用。。。谢谢了 2008-9-16 18:58 0
junxiong 雪币： 208 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 34 粉丝 0 关注私信	junxiong 1 46 楼谢谢分享。 2008-9-16 23:02 0
dragoneroo 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	dragoneroo 47 楼谢谢楼主的分享。得到很多帮助！ 2008-9-24 11:26 0
nanalied 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	nanalied 48 楼弱弱的问一下。。。我不小心运行了。。。怎么才能把系统恢复过来。。。 2008-9-24 14:41 0
embedlinux 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 47 粉丝 0 关注私信	embedlinux 1 49 楼进入安全模式，打开注册表，删除 SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run 下的键就可以了！ 2008-9-26 12:43 0
infuse 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	infuse 50 楼我在干净的XP sp3下加载驱动没问题 2008-9-26 20:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

embedlinux

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (116) ◀ 1 2 3 4 5 ▶
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 26 楼测试并修改中。 2008-8-7 16:05 0
frozenrain 雪币： 107 活跃值： (1693) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 509 粉丝 1 关注私信	frozenrain 27 楼欢迎驱动可惜看不懂驱动太邪恶了 2008-8-7 16:32 0
MCY 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	MCY 28 楼非常感谢楼主,这是个好东西呀. 2008-8-7 17:03 0
lopman 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 0 关注私信	lopman 29 楼路过，帮顶 2008-8-7 17:37 0
embedlinux 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 47 粉丝 0 关注私信	embedlinux 1 30 楼有哪位高手修改好驱动了吗？我在XPSP2下用INSTDRV.EXE能成功加载驱动，但在卸载时，却蓝屏了！不对SSDT HOOK ，只hook shadow，驱动能够顺利加载和卸载，估计是SSDT hooK方面出问题了！对于SSDT HOOK，首先恢复SSDT HOOK，然后再HOOK，每隔几ms重新HOOK。在没有装杀毒软件的系统中也不能正常卸载！目前也在加紧修改中测试中！！！！ 2008-8-7 19:37 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 31 楼 SSDT hooK 已经可能不是很好而且稳定的办法，建议研究江民驱动[hook shadow+inline hook]。 2008-8-7 21:20 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 32 楼小伟的意思是说你对原函数的内容是硬编码，在不同的系统或不同的内核文件的情况下会挂掉。 2008-8-7 21:36 0
embedlinux 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 47 粉丝 0 关注私信	embedlinux 1 33 楼我的程序采用硬编码编程兼容性很差，我在XPSP2下是： kd> u NtOpenProcess nt!NtOpenProcess: 805c0e1e 68c4000000 push 0C4h 805c0e23 6890aa4d80 push offset nt!FsRtlLegalAnsiCharacterArray+0x1ff0 (804daa90) 805c0e28 e8d374f7ff call nt!wctomb+0x45 (80538300) 在不同系统或不同内核文件下函数前面几个字节就变了，应该写个模块直接从内核中读取函数前面几个字节！ 2008-8-7 22:37 0
shdow浅蓝雪币： 103 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 77 粉丝 0 关注私信	shdow浅蓝 34 楼楼主有才！！！ 2008-8-8 09:58 0
neverqq 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 48 粉丝 0 关注私信	neverqq 35 楼学习 .... 2008-8-9 19:33 0
lixupeng 雪币： 563 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 36 楼学习下 2008-8-9 21:00 0
vcfan 雪币： 109 活跃值： (11) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	vcfan 1 37 楼很好很强大，严重支持！ 2008-8-10 02:53 0
kagayaki 雪币： 1312 活跃值： (5164) 能力值： ( LV3，RANK：20 ) 在线值：发帖 174 回帖 1253 粉丝 25 关注私信	kagayaki 38 楼收藏!!!! 2008-8-10 03:24 0
ppanger 雪币： 255 活跃值： (49) 能力值： ( LV9，RANK：180 ) 在线值：发帖 7 回帖 126 粉丝 5 关注私信	ppanger 4 39 楼驱动编译错误： irpfile.c <548> : error c2039 'QueryDirectory' : is not a member of '__unnamed' irpfile.c <549> : error c2039 'QueryDirectory' : is not a member of '__unnamed' irpfile.c <550> : error c2039 'QueryDirectory' : is not a member of '__unnamed' 不知是什么错误望LZ赐教 2008-8-10 20:35 0
embedlinux 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 47 粉丝 0 关注私信	embedlinux 1 40 楼 //自己的ntddk.h中添加的代码: QueryDirectory //Parameters for IRP_MJ_DIRECTORY_CONTROL struct { ULONG Length; PUNICODE_STRING FileName; FILE_INFORMATION_CLASS POINTER_ALIGNMENT \ FileInformationClass; } QueryDirectory; 详情请用WinDbg查看IO_STACK_LOCATION 结构。 2008-8-10 23:36 0
ppanger 雪币： 255 活跃值： (49) 能力值： ( LV9，RANK：180 ) 在线值：发帖 7 回帖 126 粉丝 5 关注私信	ppanger 4 41 楼感谢LZ的回答编译通过 DDK中 ntddk.h 对于 _IO_STACK_LOCATION结构确实有很多参数没有定义再次感谢希望LZ的项目不断更新 2008-8-11 11:22 0
embedlinux 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 47 粉丝 0 关注私信	embedlinux 1 42 楼呵呵！That's OK! 2008-8-11 15:18 0
embedlinux 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 47 粉丝 0 关注私信	embedlinux 1 43 楼今天去看了网龙，环境果然很不错！没人顶，自己顶帖子了！ 2008-8-13 23:24 0
reebox 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	reebox 44 楼学习，谢谢分享！！！ 2008-8-18 20:32 0
梦魇颖雨雪币： 234 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 163 粉丝 0 关注私信	梦魇颖雨 45 楼确实不错。。支持一下，刚刚也要用。。。谢谢了 2008-9-16 18:58 0
junxiong 雪币： 208 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 34 粉丝 0 关注私信	junxiong 1 46 楼谢谢分享。 2008-9-16 23:02 0
dragoneroo 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	dragoneroo 47 楼谢谢楼主的分享。得到很多帮助！ 2008-9-24 11:26 0
nanalied 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	nanalied 48 楼弱弱的问一下。。。我不小心运行了。。。怎么才能把系统恢复过来。。。 2008-9-24 14:41 0
embedlinux 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 47 粉丝 0 关注私信	embedlinux 1 49 楼进入安全模式，打开注册表，删除 SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run 下的键就可以了！ 2008-9-26 12:43 0
infuse 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	infuse 50 楼我在干净的XP sp3下加载驱动没问题 2008-9-26 20:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复