网安面试必看:RootKitUnhooker检测工具的使用

原创 于 2025-07-25 09:59:16 发布 · 561 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #服务器 #网络安全 #网络攻击模型 #开发语言 #eclipse

基础:什么是Rootkit

  • Rootkit是一种特殊的恶意软件,自身会保留着root的访问权限。
  • 他的目标是在安装目标上隐藏自身以及指定的文件、进程和网络链接等信息,比较多见的是Rootkit和木马、后门等恶意程序结合使用。
  • Rootkit通过加载特殊的驱动,修改系统内核,进而隐藏信息。
  • Rootkit Unhooker是Rootkit的检测工具,主要的功能是服务描述表钩子检测和恢复、强大的进程检测、强大的驱动检测、隐藏进程杀除、API钩子检测、驱动转储、生成报告。
  • Rootkit运行在32位的Windows 2000、Windows XP、Windows Server 2003、Windows Vista和Windows Server 2008上面
  • 需要管理员权限,如果在安全模式运行,需要Setup->Extended Mode

RKunhooker检测什么

SSDT检测

  • SSDT钩子的检测和恢复,会显示内核系统调用表的所有函数,函数地址,挂钩标记和挂钩函数的模块的名字。能清理90%的rootkit。
  • 通过该功能追踪到挂钩函数的模块的名字(和安全软件对抗的模块)后,可以清理所有的SSDT钩子,在注册表中搜索目标模块并且删除引用了模块的项,然后删除目标模块并且重启。
    请添加图片描述

隐藏进程检测

  • 显示所有的正在运行的进程、进程的EPROCESS地址和进程的状态,所有的状态为“从WIndows API隐藏”的进程都是在运行但是又不是在进程链表里面的,隐藏的进程既可以是一个rootkit,也可以是一个使用了rootkit技术的隐藏程序。

在这里插入图片描述

隐藏驱动检测

  • 显示了所有已经加载的驱动,驱动的路径以及驱动的大小、驱动加载的基本地址、隐藏标记和引用列,所有标记为隐藏的驱动都是已经加载但是不在设备驱动列表中的驱动,这样可以清楚的表明一个内核层的rootkit
    在这里插入图片描述

隐藏代码检测

  • 潜藏代码检测,是Rootkit的特有的功能,主要是检测无标识的、可执行的代码片段(如驱动中隐藏的可执行代码)
    在这里插入图片描述

隐藏文件检测

  • 会检测所有的隐藏属性的文件
    在这里插入图片描述

隐藏钩子检测

  • 显示所有已经加载的进程的用户模式的钩子-进程注入,因为有内核钩子,rootkit unhooker可以摘掉所有被进程注入的谷子或者有选择性的摘掉特定进程的钩子,如果可能的话害会显示安装钩子的模块名称。
    在这里插入图片描述

生成报告

  • 显示了所有检测到的异常,按下“扫描”按钮可以生成一个报告,然后依次会对齐进行检测和生成报告。
    在这里插入图片描述
络攻防中黑客常用的恶意软件 Rootkit 详细使用教程
代码讲故事
04-12 566
络攻防中黑客常用的恶意软件 Rootkit 详细使用教程。 Rootkit是一种特殊的恶意软件,它设计用来隐藏自己的存在,同时为其他恶意软件提供持久性和控制权。Rootkit通常用于渗透测试和系统全评估,但在恶意行为中也被广泛使用。以下是对Rootkit的详细介绍,包括其定义、工作原理、使用场景、检测与防御策略。
Rootkit Unhooker驱动逆向分析
07-25 1674
 这个驱动本来准备端午节搞的,但后来端午节去了躺北京玩了几天,也就搁置了...最近连续花了4个晚上,大致把它搞的差不多了,有些收获...初学 window驱动,水平很菜,有些东西我也未清明,加上3环的代码还没有吃透,期间也没有用调试器跟踪,全是IDA(F5)静态分析的,谬误在所难免, 高手请飘过,希望对菜鸟学习有点帮助.1.SSDT检测这个功能有三个IoControlCode与之对应,他们分别是
rootkit unhooker
10-17
很好的检测工具,功能比Icesword更强大。检测隐藏的驱动,rootkit,隐藏的进程,文件等,可以检测很多隐藏的病毒。内核学习备。
Rootkit Unhooker
10-02
Rootkit Unhooker. SSDT shadow SSDT ring0 HOOK 不多说.用了就知道
RootkitUnhooker(Rootkit卸载工具)
04-19
Rootkit卸载工具,可以看到hide process,hide IAT,SSDT 等,且可以卸载rootkit.
IceSword&Rootkit Unhooker驱动简析
09-29 1375
IceSword版本:1.20cn 修订号:061022 ----------------------------------------------------0. 进程   (略) 1. 端口   IS调用IoBuildDeviceIoControlRequest分别向Tcpip.sys所创建的TCP设备对象和UDP设备对象发送IRP,在输出缓冲区中将返回端口/IP/状态/PID的结构数组(D
使用rootkit 技术的 soundmix.dll
Purpleendurer@优快云
10-24 1987
endurer 原创2006-10-24 第1版soundmix.dll 利用组策略来启动,因此没有显示在HijackThis的简明log中,但在启动项列表中可以看到:Autorun entries from Registry:HKLM/Software/Microsoft/Windows/CurrentVersion/policies/Explorer/RunDTService =
RootKitUnhooker 3.8.341.553
Linhanshi Blog
08-31 759
http://rapidshare.com/files/140970549/RkU3.8.341.553.rar.htmlMD5ea7b1e93a7d8d68985901fd3bef68efa *RkU3.8.341.553.exeChangelog inside help file.Enjoy.
面试考题合集-含答案
10-14
面试考题合集--含答案
面试资料:.md
06-24
面试资料:.md
永恒之蓝检测工具
04-02
"永恒之蓝检测工具"是一款专门针对Windows操作系统设计的病毒检测软件,主要用于检测和防范著名的"永恒之蓝"漏洞。永恒之蓝(EternalBlue)是利用微软Windows系统MS17-010全漏洞的一种攻击工具,由NSA(美国...
面试考题合集及答案(PDF资料)
04-17
目录 (全基侧、Web 全、渗透测试、CMS全、服务器中间件全、数据全、应急响应、流量分析) ...23、远程访问工具的风险是什么 24、ICMP 协议类型简述 25、防火墙的类别及其原理 字数首先无法完全展示
Rootkit Unhooker中文版
01-10
可以查看inline hook或SSDT的一个工具
win-unhooker:anti-rootkit-Windows Unhooker的简单实现
05-19
双赢 anti-rootkit-Windows Unhooker的简单实现。
面试考题合集含答案.pdf
07-02
面试考题合集含答案.pdf 本资源提供了网络安全面试考题集,涵盖了网络安全领域中的多个方面,包括网络安全基础知识、威胁与攻击、防护与全管理等。该资源对于网络安全专业人员来说非常有价值,可以作为...
RootKitUnhooker 3.8.341.552
Linhanshi Blog
08-26 602
http://bbs.pediy.com/showthread.php?t=71436
Diamorphine rootkit使用
热门推荐
神棍之路
04-16 5万+
仅作LKM rootkit研究之用,滥用后果自负。 查看支持版本是否为2.6.x/3.x/4.x: uname -r 下载代码: git clone https://github.com/m0nad/Diamorphine 进入目录编译: cd Diamorphine; make 装模块: insmod diamorphine.ko 卸载: kill...
远控共享版:最新信息技术远程控制工具
从提供的信息来看,标题、描述和标签均指向同一内容:“远控【共享版】”。而文件列表只提供了一个与标题相同的名称。这样的信息量较少,很难确切地知道具体的产品功能和技术细节。因此,我将根据标题中“...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值