渗透测试之内核安全系列课程:Rootkit技术初探(六)

最新推荐文章于 2024-08-11 21:23:47 发布
最新推荐文章于 2024-08-11 21:23:47 发布
阅读量1.1k 收藏 15
点赞数 24
CC 4.0 BY-SA版权
分类专栏: 原创文章 渗透测试 信息安全 文章标签: 安全 c语言 windows 系统安全 安全架构 程序人生 学习方法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/fearhacker/article/details/139586875

今天,我们来讲一下内核安全!

本文章仅提供学习,切勿将其用于不法手段!

目前,在渗透测试领域,主要分为了两个发展方向,分别为Web攻防领域和PWN(二进制安全)攻防领域。在PWN二进制领域免杀技术,一直是后渗透利用阶段的重要安全技术之一。

想要免杀,需要了解的安全技术知识包括软件加壳、代码混淆(例如,使用花指令)、隐匿技术(例如,Rootkit技术)、动态加密等内容。

接上一篇文章,我们来继续讲述下 Rootkit技术 的相关基础知识点内容!

我们来继续讲一些 实战类 的 技术干货 !

上篇文章的内容中,讲述了 在 Windows  环境下 进行 驱动开发 的 两大 工具类型

WDM Windows 驱动程序 模型WDF Windows 驱动开发 框架

WDM Windows 驱动程序 模型 采用  面向过程 编程方法 进行 Windows 环境下的 驱动程序开发 

WDF Windows 驱动程序 框架 采用  面向对象编程方法 进行 Windows 环境下的 驱动程序开发 

WDM Windows 驱动程序 模型开发工具包DDK Driver Developer Kit

WDF Windows 驱动程序 模型开发工具包WDK Windows Driver Kit  !

今天,我们来继续科普一些 驱动开发领域 的 基础知识 !

在进行驱动程序开发时,我们优先推荐使用 DDK( Driver Developer Kit )进行驱动程序开发工作!原因相对简单, DDK( Driver Developer Kit 

最低0.47元/天 解锁文章
渗透测试之内核安全系列课程Rootkit技术初探(一)
fearhacker的专栏
06-06 1767
注意,段描述符中,第 41-44 位,是 TYPE ,其 配合 段描述符 中的 第 45 位 S 位 的值,来确定 当前 段描述符 所指向的 段空间 是 数据段空间,还是 代码段空间!注意,段描述符中,第 55 位,存储着 D / B 位 ,其影响着,段的寻址方式!如果值为 0 ,意味着,这个段描述符,也会是无效的!注意,段描述符中,第17-32位,存储着 段地址 的 第1-16位 ,第33-40位,存储着 段地址 的 第17-24位,第57-64位,存储着 段地址 的 第25-32位。
渗透测试之内核安全系列课程Rootkit技术初探(四)
fearhacker的专栏
06-10 1257
当 PDE( 页目录项 ) 的 PS 位( 第8位 ) 为 1 时,代表PDE( 页目录项 )直接指向页( P ),这时,页的大小为 4MB(这是一个大页),此时,这个大页( 4MB 大小的物理页)的物理地址计算公式为: PDE( 页目录项 ) 的 高 10 位 + 线性地址 的 低 22 位。上述的页目录( PDT )的子项(PDE)除了前7位之外,其它各比特位用途不固定(各关键比特位的位置,同样不固定),因操作系统类型、CPU 版本不同而存在差异!
RootKit基础源码
03-03
收集整理自www.rootkit.com的RootKit基础源码。
内核级Rootkit技术入门(1)
09-27 794
【导读】本文介绍了Windows下的内核级Rootkit的最基础性的东西,以及利用驱动程序将代码导入到内核的方法。虽然我们还没有涉及到真正的Rootkit,但这些内容是我们掌握Rootkit的必经之路,就像我们要建一座6层的楼房,却不能撇开基础和低层而直接盖第层一样!更多的内容,会在后续的文章中陆续介绍。
rootkit开发
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
05-04 685
进程和线程 rootkit开发者应该知道,管理运行中代码的主要机制是线程, 并非进程。Windows内核基于线程而不是进程的数量对进程进行调度。 假如丰在两个进程,一个是单线程的,另一个具有9个线程。则系 统将为每个线程分配10%的处理时间。单线程的进程只能获得10%的CPU 时间,而具有9个线程的进程会得到90%的时间。当然,这是一个人为示例, 因为其它因素(如优先级)也在调
【转】内核级Rootkit技术入门(二)
annhf的专栏
05-04 1238
本文将向读者介绍如何将编译好的驱动程序运行起来并察看它的调试语句给出的消息。换句话说,我们要做的是最简单的调试工作。一、驱动程序的加载和执行当我们开发Rootkit的时候,经常需要改变其功能,这时经常重复加载、运行、测试、停止和卸载这一系列的动作。加载和运行驱动程序方法很多,我们这里介绍的是最简单的一种——利用工具软件InstDrv。InstDrv是一款非常小巧的工具,它的.zip压缩包
渗透测试之内核安全系列课程Rootkit技术初探(三)
fearhacker的专栏
06-08 1151
相应的,每个进程,都会存在一个页目录表),1024MB = 1 GB;GDT 全局描述符表、LDT 局部描述符表、GDTR 全局描述符表 寄存器、LDTR 局部描述符表 寄存器 、一致性代码、非一致性代码、实模式、保护模式、线性地址。在 Intel 系列的 芯片中,存在专门的电路,负责将虚拟地址(线性地址)转译为内存物理地址!目前这块,笔者本人,也需要更加深入的理解,也许以后,会涉及到对这方面的更详细讲解 )。想要免杀,需要了解的安全技术知识包括软件加壳、代码混淆(例如,使用花指令)、隐匿技术(例如,
渗透测试之内核安全系列课程Rootkit技术初探(五)
fearhacker的专栏
06-10 1180
Rootkit 技术,涉及到多方面的知识,包括 硬件系统 、 软件系统 、 内核驱动 、Rootkit 技巧(例如,如何绕过安全软件的检测、如何检测到工作于内核层面的 Rootkit 软件)等。,只有了解底层的内核实现,我们才能去 读取 或 更改 页目录表( PDT ) 、页表( PTT )、页( P ) 的 数据内容( 比较重要的,包括 访问权限、读写开关、偏移量、物理地址 等)。Rootkit 的 防御技术,主要是指 驻留内核底层,检测 Rootkit 软件的存在,取证 Rootkit 软件的行为!
渗透测试之内核安全系列课程Rootkit技术初探(二)
fearhacker的专栏
06-06 690
GDT全局描述符表 中存储了多个不同的 LDT 局部描述符表( LDT 段 ) 所对应的不同内存空间信息(所谓的内存空间信息,指的就是 段基址、段限长、段属性 这些信息)!含有 LDT 段 的 段基址、段限长、段属性 信息 的 段描述符,在 GDT 全局描述符表中,被当成普通的 段描述符 进行使用!不同的进程,不同的数据,存储在不同的物理内存之上,尽管不同进程的线性地址,可能是不同的,也可能是相同的!细心的童鞋儿,会发现,GDTR 和 LDTR 寄存器,在命名规则上,除了首字母不同,其它都是相同的!
rootkit入门(翻译)
gzfqh的专栏 →底层代码研究
11-15 7983
常见问题解答 : 如何入门?来源:rootkit_com 作者:Clandestiny 翻译:fqh “Help!我是一名新手!我需要一款rootkit入侵朋友的机器…我想编写自己的rootkit…我想开始开发代码… 该从哪里入手?”此类问题在rootkit.com上不断地出现,并且重复回答一些人问的相同问题浪费了大量时间,我想到我们应当编辑一个短小的文档来对它们进行一般性的叙述。下面的论述远非完
Rootkits,黑客之颠!
2402_84205067的博客
05-23 997
以上就是四个月入门内核安全学习路线了,需要说明的是,四个月的时间可能还是不太够,很多东西只能学个皮毛,但足够大家摸到这个门槛了。大家在学习的时候,可以结合自己的实际情况进行缩短和增加学习时间。比如你对C语言已经有基础了,就可以跳过这一部分。又比如你觉得汇编部分,一周不够,那就多加一周,适合自己的节奏就好。大家对这份学习路线有什么疑问都可以在评论区告诉我哦。
[系统安全26]Rootkit基础
17bdw的编程备份笔记
07-23 226
1、构建Rootkit基础环境 1.1、构建开发环境 VS2012+WDK8 1.2、构建基于VS2012的调试环境 将目标机、调试机配置在同一个工作组内 sVS2012配置->DRIVER->Test->Configure Computers,Add New computer按钮。 1.3、构建基于Windbg的调试环境 WinDBG+Vmware+VirtualKD 1...
windows内核态恶意软件分析
最新发布
zhangyihu321的专栏
08-11 1153
内核态恶意软件分析 windows
win驱动开发笔记-驱动对象结构分析
weixin_30905133的博客
04-11 105
DIRVER_OBJET typedef struct { PDEVICE_OBJECT DeviceObject;//驱动程序创建的设备对象。调用IoCreateDevice的时候会自动赋予正确的设备对象指针。 PUNICODE_STRING HardwareDatabase;//设备的硬件数据库名(Unicode字符串)。一般为HKEY_LOCAL_MACHINE\Hardware\D...
rootkit原理与编写教程
qq_42882717的博客
03-31 3280
rootkit原理与编写教程rootkit原理rootkit介绍windowsrootkit编写windows编程技术Linux下rootkit编写 rootkit原理 rootkit介绍 Rootkit的历史已经很悠久了。存在于windows,unix,linux等操作系统中。Root在英语中是根,扎根的意思,kit是包的意思。 rootkit我们可以把它理解成一个利用很多技术来潜伏在你系统中的一个后门,并且包含了一个功能比较多的程序包,例如有清除日志,添加用户,cmdshell,添加删除启动服务等功能
rootkit技术
sdulibh的专栏
02-25 6548
熬夜写llroot,写的头有些晕了,代码也有点乱,所以停下来歇歇;就又去逆向昨天下的那个rootkit,搞了1个多小时,头又晕了,才搞了不到一半,夜深人静的时候,孤孤单单,没有美女陪,不爽啊.想想好长时间没有在这个blog上写技术文章了,于是就转来下面一篇文章,文章比较老了,针对linux2.2内核的,但是基本的思路是没有失效的.正好这学期的操作系统课程考试也打算让研究生写一些类似的程序,所以贴在
Rootkit
热门推荐
tiandyoin的专栏
07-14 1万+
Rootkit自身也是木马后门或恶意程序的一类,只是,它很特殊,为什么呢?因为,你无法找到它。 正如自然界的规则一样,最流行的病毒,对生物的伤害却是最小的,例如一般的感冒,但是最不流行的病毒,却是最夺命的。Rootkit木马就是信息世界里的 AIDS,一旦感染,就难以用一般手段消灭了,因为它和自然界里的同类做的事情一样,破坏了系统自身检测的完整性——抛开术语的描述也许难以理解,但是可以配合AID
Rootkit总结
bcbobo21cn的专栏
04-10 6312
rootkit Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。 外文名 rootkit  rootkit是什么 在悬念迭起的中外谍战片里,对战双方中的一派势力通常会派遣特工人员潜伏到对手阵营中。这名卧底人员良好的伪装使得对手对此长时间毫无察觉;为了能
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值