遭遇新公敌 “隐形”rootkit现身(转)

最新推荐文章于 2025-12-20 10:32:27 发布
转载 最新推荐文章于 2025-12-20 10:32:27 发布 · 98 阅读 · 0
文章标签:

#数据结构与算法

安全研究揭示了一款名为Backdoor.Rustock.A的新型rootkit,该恶意软件采用创新技术,能在包括Windows Vista Beta在内的系统中隐形运行,规避多数安全软件检测。这款rootkit运用NTFS交替数据流等技术,每次启动时更改代码,甚至扫描rootkit检测工具,被视为新一代rootkit的先驱。
安全研究人员发现了一种几乎可以完全“隐形”的新型rootkit后门软件,大大提高了防护软件检测、清除的难度。
  这种被赛门铁克称为Backdoor.Rustock.A、被F-Secure称为Mailbot.AZ的rootkit使用了一系列新技术,并结合已有技术,在被感染的系统(即使是Windows Vista Beta)中安装后可有效逃避大多数安全软件的检测,被视为“新一代rootkit的先锋”。

  据介绍,该rootkit的主要“隐形”技术有:与NTFS交替数据流(ADS)技术结合、运行在驱动程序和内核线程中而没有自己的线程、不与任何原生API挂接、通过特殊的中断要求封包(IRP)来控制系统内核功能、将自己完全从内核结构中移除、SYS内核驱动每次都会改换代码、扫描已运行的rootkit检测工具。

  F-Secure表示,其rootkit扫描工具BlackLight 2.2.1041可以检测到这种新型rootkit,但还很难达到有效地随时检测、清除的目的。

  赛门铁克认为这种rootkit来自俄罗斯,而且其代码显示可能很快会出现新的变种。赛门铁克计划将其称为Backdoor.Rustock.B。

  安全研究人员Joanna Rutkowska日前曾表示,她已经利用AMD的SVM/Pacifica虚拟化技术开发出一种新的恶意软件,“百分之百无法被检测到”。

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/10294527/viewspace-124146/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/10294527/viewspace-124146/

如何检测Linux内核的Rootkit
TCP/IP
04-12 3723
最近一段时间搞了些Rootkit攻略,每个方法都比较彻底,无论是隐藏进程,还是隐藏CPU利用率,隐藏TCP连接,隐藏文件,甚至隐藏CPU风扇的狂,均采用了相对底层的方案,一般的Rootkit检测很难检测到。 所谓的一般的Rootkit就是那些通常的hook,比方说hook系统调用,hook proc/sys接口,hook library等等,但是这些均是掩耳盗铃的鸵鸟策略,均不彻底。针对这些Ro...
权限维持—Linux系统&Rootkit后门
2301_76227305的博客
03-22 1249
一般来说,Rootkit自身并不是恶意软件,它是恶意软件用来隐藏自己的一种手段。但经二次改造的Rootkit可能包括间谍软件和其它的程序,如监视网络通信和用户击键的程序,也可以在系统中构建一个后门便于黑客使用,被改造的Rootkit恶意软件可以包含多个恶意工具,其中通常包括用于启动分布式拒绝服务(DDoS)攻击的机器人;可以禁用安全软件,窃取银行和信用卡详细信息以及窃取密码的软件;和击键记录器。
Linux Rootkit的反侦测手段漫谈
热门推荐
TCP/IP
04-30 1万+
任何恶意程序和反恶意程序都是左右手互搏,无关褒贬善恶,它们使用的均是同一种技术或者说手段。 之前说了很多如何做一个藏得很深的Rootkit,无论是藏进程,藏TCP连接,还是藏文件,当然,也顺便说了很多如何发现这些Rootkit的技巧,本文主要聊一下 Rootkit需要主动做哪些具体措施以反制侦测程序的侦测。 我们用之前的脚本隐彻底藏掉一个进程: [root@localhost test]# ps ...
Linux Rootkit躲避内核检测
TCP/IP
05-16 5231
Rootkit在登堂入室并得手后,还要记得把门锁上。 如果我们想注入一个Rootkit到内核,同时不想被侦测到,那么我们需要做的是精妙的隐藏,并保持低调静悄悄,这个话题我已经谈过了,诸如进程摘链,TCP链接摘链潜伏等等,详情参见: https://blog.youkuaiyun.com/dog250/article/details/105371830 https://blog.youkuaiyun.com/dog250/...
什么是 Rootkit
南北极之间
07-06 6513
常见的rootkit定义是一种恶意软件程序,它使网络犯罪分子能够在不被检测到的情况下访问和渗透计算机中的数据。它涵盖了旨在感染计算机,为攻击者提供远程控制并长时间保持隐藏的软件工具箱。因此,Rootkit是最难发现和删除的恶意软件之一,并且经常用于窃听用户和对计算机发起攻击。Rootkit恶意软件可以包含多个恶意工具,其中通常包括用于启动分布式拒绝服务(DDoS)攻击的机器人;可以禁用安全软件,窃取银行和信用卡详细信息以及窃取密码的软件;和击键记录器。Rootkit 通常为攻击者提供进入计算机的后门,使他们
可以自己隐藏自己CPU利用率的Rootkit(附:Rootkit的root权限)
TCP/IP
08-07 9852
想不想让CPU利用率展示成一首优美的旋律,就像弹琴一样。 我的意思是,你想让系统以及task的CPU利用率是多少它就是多少,一切都是由你的程序自己来 调制演奏。 这需要一种自指机制。 哈哈,完全可以,本文来演示,或者说,你可以把本文的内容看作一个戏弄运维人员的恶作剧。 运维人员经常会遇到各种CPU高的问题,然后成群结队地去排查,想让队伍更大些吗?想让事情更诡异吗?我让你查,我让你查。哈哈。 事先声明,若用本文描述的手段实施恶意行为,将会受到谴责,这并不是一个真正工程师该有的行为,更有辱手艺人的探索精神。
Rootkit
tiandyoin的专栏
07-14 1万+
Rootkit自身也是木马后门或恶意程序的一类,只是,它很特殊,为什么呢?因为,你无法找到它。 正如自然界的规则一样,最流行的病毒,对生物的伤害却是最小的,例如一般的感冒,但是最不流行的病毒,却是最夺命的。Rootkit木马就是信息世界里的 AIDS,一旦感染,就难以用一般手段消灭了,因为它和自然界里的同类做的事情一样,破坏了系统自身检测的完整性——抛开术语的描述也许难以理解,但是可以配合AID
Rootkit---进程隐藏
q759451733的博客
04-16 5510
进程隐藏
高级Rootkit对抗:OpenArk如何检测隐形进程线程
gitblog_00035的博客
09-06 820
你是否遇到过任务管理器中看不到却占用系统资源的幽灵进程?当常规工具失效时,如何穿透Rootkit的层层伪装?本文将深入剖析OpenArk(下一代Windows反Rootkit工具)的底层检测机制,带你掌握识别隐形进程线程的核心技术。读完本文,你将获得: - 3种Rootkit进程隐藏技术的原理防御方案 - OpenArk内核态进程枚举的实现代码解析 - 线程隐藏检测的实战技巧案例分析 - ...
内核级后门RootKit技术总揽pdf版最版本
01-05
随着技术的发展,RootKit也不断更换代,出现了各种变种和伪装技术。例如,一些RootKit可能利用虚拟化技术来绕过传统的检测手段,还有一些可以自适应地改变其行为模式,以对抗行为分析和异常检测技术。因此,对...
一种型Linux内核级Rootkit设计实现.pdf
09-06
一种型Linux内核级Rootkit设计实现.pdf 一、Rootkit概述 Rootkit是一种特殊类型的恶意软件,其功能是隐藏自身及指定的文件、进程和网络连接等信息。攻击者通常使用Rootkit来隐藏他们的踪迹,避免被检测和追踪...
论文研究-一种的内核级Rootkit的检测方法.pdf
07-22
在详细剖析内核级Rootkit 原理的基础上分析了其他检测Rootkit方法的局限性,提出一种的方法。该方法分析内核模块加载时是否有可疑行为,结合对比system.map和kmem文件判断其是否为Rootkit。最后用实验证明了此方法...
简易Rootkit - C#客户端Windows驱动程序.zip
11-30
简易rootkit,麦洛克菲期间毕设,C#客户端+windows驱动 简易Rootkit的毕业设计项目涉及到系统级编程,特别是Windows驱动开发,这是一个高级且敏感的领域。以下是一个基于C#客户端和Windows驱动程序的基本项目框架。...
Leetcode 79 最佳观光组合
im_AMBER的博客
12-17 578
每个元素只遍历一次只用了两个变量O(n)O(1)公式拆分是核心:将原得分公式拆分为,把双变量问题化为单变量的遍历问题。贪心维护最优值:遍历j时,用best维护之前所有i < j中的最大值,这样每一步只需要 O (1) 计算,整体时间复杂度是 O (n)。遍历顺序:因为要求i < j,所以从j=1开始遍历,先计算当前j的得分,再更best(避免 j 自己和自己配对)。
数据结构算法篇-布隆过滤器-原理、实现应用
haoly1989的博客
12-18 552
本文总结了布隆过滤器的原理、实现和应用。
LeetCode 面试经典 150_回溯_全排列(100_46_C++_中等)
huayimenghan的博客
12-19 790
LeetCode 面试经典 150_回溯_全排列(100_46_C++_中等) 题目描述: 给定一个不含重复数字的数组 nums ,返回其 所有可能的全排列 。你可以 按任意顺序 返回答案。
[LLM]AIM: Adaptive Inference of Multi-Modal LLMs via Token Merging and Pruning
最新发布
天下事有难易乎?为之,则难者亦易矣;不为,则易者亦难矣。人之为学有难易乎?学之,则难者亦易矣;不学,则易者亦难矣。
12-20 376
本文提出AIM框架,一种无需训练的多模态大语言模型(MLLMs)推理加速方法。通过双阶段设计:在LLM前基于相似度合并视觉Token,在LLM内基于注意力重要性剪枝Token,显著降低计算量。实验表明,该方法在视频理解任务中可减少6.8倍FLOPs,在图像任务中保持3.7倍加速的同时维持性能。关键发现包括:75%视觉Token冗余、LLM早期层侧重跨模态融合而后期侧重文本推理、跨帧合并会损害视频理解等。该方法支持动态调整压缩比例,为资源受限环境下的高效多模态推理提供了实用解决方案。
08.什么是监督学习?
AI算法蒋同学的博客
12-20 534
摘要: 监督学习是一种机器学习方法,通过标记数据集训练模型,使其识别输入输出间的关系,从而预测数据的结果。训练过程依赖真实标签数据(人工标注或测量获得),利用梯度下降等优化算法调整参数,并通过损失函数评估准确性。监督学习分为分类(如SVM、决策树)和回归(如线性回归)任务,广泛应用于图像识别、垃圾邮件分类等领域。无监督学习不同,监督学习需要标记数据指导模型训练,以实现高精度预测。其他学习方法还包括半监督、自监督和强化学习。
Java加解密相关的各种名词的含义,各种分类的算法及特点
一个愚者,一个小人物,渴望见真
12-17 476
Java 加解密是信息安全的核心,涉及大量专业名词和算法分类,理解这些概念是实现数据加密、签名、验签的基础。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值