ak922.sys分析

最新推荐文章于 2024-12-31 20:00:41 发布
最新推荐文章于 2024-12-31 20:00:41 发布
阅读量1.2k 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 磁盘 工具 hook system query disk
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/iiprogram/article/details/2470154

-*- begin -*-
 
这是一个 C 语言编写的驱动级的 rootkit 程序。这个驱动可以隐藏名为 AK922.SYS 的文件。

 

该驱动加载后首先获取 nt!IofCompleteRequest 函数的地址。以及在 kpeb 中定位进程名的偏移。之后,该驱动会依次完成以下操作:

 

1、通过 nt!ObReferenceObjectByName 打开磁盘驱动 /Driver/Disk,并遍历该驱动创建的所有设备对象,该驱动会保存 Disk 创建的名字以 '/DR' 开头并且类型为磁盘设备类型的设备对象指针,最多可以存 8 个设备对象指针。该驱动记录这些设备对象的地址用来在将来进行文件隐藏操作时用。

2、创建一个名为 /Device/AzyKit922 的设备,目前截获的版本没有创建符号链接,或许以后的版本会进行创建符号连接以便可以通过用户态程序控制来灵活地控制要隐藏的文件。

 

3、设置 irp 处理回调以及卸载驱动的回调例程。

 

4、通过把 nt!IofCompleteRequest 函数的入口前 6 个字节替换成 push hook_IofCompleteRequest / ret 实现对该函数的挂钩。该驱动对文件的隐藏操作全部在 nt!IofCompleteRequest 的钩子处理例程中完成。

 

完成上述操作后,该驱动会保存自身的驱动对象以及设备对象指针并返回成功给 i/o 管理器。当系统中发生的文件 i/o 操作完成时,rootkit 的钩子会被激活,并依次完成以下操作:

 

1、关闭可屏蔽中断。
2、对已经完成的 irp 进行修改来实现文件隐藏。
3、恢复 eflags 并跳回执行 nt!IofCompleteRequest 的原入口代码。

 

以下是 rootkit 实现文件隐藏的流程分析:

 

流程1、判断该 i/o 请求是否为 IRP_MJ_DIRECTORY_CONTROL,并且 MinorFunction 为 IRP_MN_QUERY_DIRECTORY。如果不是则转入下一个流程;如果是,则判断传入的请求结构类型,并查找文件系统返回的遍历结果,如果发现文件系统遍历到的结果为 'AK922.sys',则对结果进行修改(根据该结构在整个结构链中的位置决定是截断该链还是只断开一个节点)。

 

流程2、依次执行以下操作:
1、如果 i/o 请求不是 IRP_MJ_READ,则该 rootkit 不再进行处理,并直接返回。

 

2、检查传入的设备对象指针是否是之前保存的 8 个 /Driver/Disk 创建的设备对象之一,如果不是则不再进行处理,直接返回。

 

3、判断是否当前在 system 进程下运行,如果是则直接返回。

 

4、检查当前的 irql,如果不在 DISPATCH_LEVEL 则直接返回不进行下一步处理。

 

5、排队一个 WorkItem 来对磁盘驱动读出的 AK922.SYS 文件记录的元数据进行修改实现磁盘级的隐藏。

 

该驱动隐藏的文件可以躲过目前绝大多数安全检测工具,包括类似 WinHex 的基于磁盘分区格式遍历的工具。

iiprogram
关注
收盘价时空模式挖掘与多股票走势聚类分析:探索市场行为共性
Hi20240217的博客
02-29 1314
​ 基于探究潜在关联性的初衷,我们旨在探讨是否存在某种显著的共性驱动特定类别股票表现出趋同的市场走势。本文系统地阐述了如何自深圳证券交易所、上海证券交易所、科创板以及北京证券交易所获取各上市公司的历史交易数据,并通过标准化处理各股票的收盘价序列,进而绘制其归一化曲线并转化为图像形式予以保存。随后,我们运用变分自编码器(VAE)模型对选取的部分代表性图像进行了深度学习建模,籍此提取每一张股票价格曲线图像的内在特征向量。
NTFS分区DBR汇编代码
12-04
NTFS文件系统分区DBR的汇编引导代码
NTFS磁盘解析,检测Ak922.sys
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-07 922
完整源码下载: 基于NTFS磁盘格式的解析/删除/读写破坏.完整源码   --------------------------------------------------------------------------------------------------------------------------------      人家07年就把 NTFS解析/ 删除/ 增加/ 恢
AK922: 突破磁盘低级检测实现文件隐藏
05-22 1331
AK922: 突破磁盘低级检测实现文件隐藏作者:Azyemail: Azy000@gmail.com完成于:2007-08-08   目前,一些已公开的主流anti-rootkit检测隐藏文件主要有两种方法:第一种是文件系统层的检测,属于这一类的有icesword,darkspy,gmer等。第二种便是磁盘级别的低级检测(Disk Low-Level Scanning),属于这一类的ark也很多,
突破磁盘低级检测实现文件隐藏
09-27 1194
作者:Azy完成于:2007-08-08目前,一些已公开的主流anti-rootkit检测隐藏文件主要有两种方法:第一种是文件系统层的检测,属于这一类的有icesword, darkspy,gmer等。第二种便是磁盘级别的低级检测(Disk Low-Level Scanning),属于这一类的ark也很多,典型代表为rootkit unhooker,filereg(is的插件),rootkit r
摘除过滤驱动
wowbell的专栏
06-07 1324
转自:http://hi.baidu.com/_achillis/blog/item/cc9cf925c23260064d088d05.html 开始本文之前先膜拜一下老V~“无法F5的驱动,不是好驱动啊~不是好驱动啊~ ”            -----killvxk语录这两天下午的时间,破解那个驱动保护搞得好痛苦,每次关机都要蓝一次,有时候设备还不工作,郁闷...
ROOTKIT[C/C++]
amerbaimuself的博客
12-31 424
Rootkit 是一种恶意软件,它的主要目的是隐藏自身以及其他恶意软件(如病毒、木马)的存在,并且能够获取系统的最高权限(在类 Unix 系统中相当于 root 权限,在 Windows 系统中相当于管理员权限)。而 Rootkit 会修改这个调用返回的结果,把它自己相关的恶意进程从返回列表中删除,使得这些进程在任务管理器等工具中无法被看到。Rootkit 可以修改文件系统的驱动程序或者相关的系统调用,使得某些文件或者目录在正常的文件浏览操作中无法被发现。命令所依赖的系统调用。结语:希望对你有帮助。
西门子D7-SYS V7.1 SP1的更新UPDATE1.zip
09-14
V7.1版本是该系统的一个重要里程碑,它集成了先进的控制逻辑、可视化界面以及数据管理功能,为用户提供了一个强大且灵活的平台来实现设备监控、生产过程控制和数据分析。 Service Pack (SP) 是软件升级的一种形式,...
import sys import akshare as ak import mplfinance as mpf from PyQt5 import QtWidgets from matplotlib.backends.backend_qt5agg import FigureCanvasQTAgg class KLineApp(QtWidgets.QWidget): def __init__(self): super().__init__() self.init_ui() def init_ui(self): # 创建GUI组件 self.code_input = QtWidgets.QLineEdit(self) self.plot_btn = QtWidgets.QPushButton('生成K线图', self) self.figure = mpf.figure(style='charles', figsize=(10,6)) self.canvas = FigureCanvasQTAgg(self.figure) # 布局设置 layout = QtWidgets.QVBoxLayout() input_layout = QtWidgets.QHBoxLayout() input_layout.addWidget(QtWidgets.QLabel("股票代码:")) input_layout.addWidget(self.code_input) input_layout.addWidget(self.plot_btn) layout.addLayout(input_layout) layout.addWidget(self.canvas) self.setLayout(layout) # 绑定事件 self.plot_btn.clicked.connect(self.plot_kline) def plot_kline(self): """获取数据并绘制K线图""" code = self.code_input.text() try: df = ak.stock_zh_a_daily(symbol=code, adjust="qfq") df.index = pd.to_datetime(df['date']) df = df.rename(columns={'open':'Open', 'high':'High', 'low':'Low', 'close':'Close', 'volume':'Volume'}) self.figure.clear() ax = self.figure.add_subplot(111) mpf.plot(df[-30:], type='candle', ax=ax, volume=True) self.canvas.draw() except Exception as e: QtWidgets.QMessageBox.warning(self, "错误", f"数据获取失败: {str(e)}") if __name__ == '__main__': app = QtWidgets.QApplication(sys.argv) ex = KLineApp() ex.setWindowTitle('股票K线图分析') ex.show() sys.exit(app.exec_())这个代码有什么问题,为什么无法获取股票数据
03-24
</think>### 排查 `ak.stock_zh_a_daily` 获取失败的解决方案 #### 1. **检查网络连接** - **问题**:AkShare 依赖网络请求获取数据,若网络不稳定或被限制,可能导致失败。 - **解决方案**: - 测试网络是否...
我将分开发送给你一个较长程序,请逐渐分析并记忆该程序,下面是第一段 # coding=utf-8 # /usr/bin/env python3 """ Author: Liu Liu Email: Nicke_liu@163.com DateTime: 2023/11/4 15:08 Description: 用于导航产品数据处理的文件 """ import sys import matplotlib.pyplot as plt from matplotlib import gridspec import numpy as np from scipy.optimize import least_squares import pandas as pd from tools import chooseFile, chooseFromInput, dataFilter, SpatialTrans, Plot np.set_printoptions(precision=2, suppress=True) # numpy输出精度的小数点个数为3,不以科学计数法输出 plt.rcParams['font.family'] = ['SimHei'] # 设置字体 plt.rcParams['axes.unicode_minus'] = False # 正确显示负号 #该函数读取特定格式的传感器数据文件(来自CB2板),解析并转换原始数据为物理量单位(磁场:uT,加速度:m/s²,转速:deg/s,角度:rad)。返回包含时间戳、通道数据和PCB板载传感器数据的字典。 def readDataCB2(fileName, start=0, end=sys.maxsize): """ 基于CB2板的输出结果,磁场单位: uT, 加速度单位: m/s^2, 转速单位: deg/s, 角度单位: rad :param fileName: 【string】数据文件名 :param start: 【int】起始行 :param end: 【int】结尾行 :return:【dict】原始数据字典 """ chNum = 12 # 通道数 mmcSen = 6.25e-3 # mmc5983磁传感器的灵敏度[uT/LSB] akSen = 1.1 # AK磁传感器的灵敏度[uT/LSB] g0 = 9.8 # 重力加速度常数 encoderFR = pow(2, 18) # 绝编的最大量程 sensorNames = ["m1x", "m1y", "m1z", "m2x", "m2y", "m2z", "check"] #传感器名称列表 chSensorNames = ["ch" + str(i) + sensor for i in range(1, chNum + 1) for sensor in sensorNames] #通道传感器名称列表 sensorPcb = ["ak1x", "ak1y", "ak1z", "ak2x", "ak2y", "ak2z", "ak3x", "ak3y", "ak3z", "ax", "ay", "az", "gx", "gy", "gz", "check", "e1", "e2"] data = pd.read_table(filepath_or_buffer=fileName, header=None, sep=',', skiprows=start, nrows=end - start, names=["ts"] + chSensorNames + sensorPcb) print("read {}, from {} to {}, done!".format(fileName, start, start + len(data))) ts = data.ts.values chData = {} for i in range(1, chNum + 1): ch = "ch" + str(i) chm1 = ch + "m1" chm2 = ch + "m2" chData[chm1] = (data.loc[:, [chm1 + 'x', chm1 + 'y', chm1 + 'z']].values - 2 ** 17) * 6.25e-3 chData[chm2] = (data.loc[:, [chm2 + 'x', chm2 + 'y', chm2 + 'z']].values - 2 ** 17) * 6.25e-3 chPcbm1 = "ak1" chPcbm2 = "ak2" chPcbm3 = "ak3" pcbA = "a" pcbG = "g" pcbData = {"ak1": data.loc[:, [chPcbm1 + 'x', chPcbm1 + 'y', chPcbm1 + 'z']].values * akSen, "ak2": data.loc[:, [chPcbm2 + 'x', chPcbm2 + 'y', chPcbm2 + 'z']].values * akSen, "ak3": data.loc[:, [chPcbm3 + 'x', chPcbm3 + 'y', chPcbm3 + 'z']].values * akSen, "acc": data.loc[:, [pcbA + 'x', pcbA + 'y', pcbA + 'z']].values * g0 / 2048, "gyro": data.loc[:, [pcbG + 'x', pcbG + 'y', pcbG + 'z']].values / 16.4, "encoder": data.loc[:, ["e1", "e2"]].values % encoderFR * 2 * np.pi / encoderFR } return {"ts": ts, "chData": chData, "pcbData": pcbData}
最新发布
07-25
sensorPcb = ["ak1x", "ak1y", "ak1z", "ak2x", "ak2y", "ak2z", "ak3x", "ak3y", "ak3z", "ax", "ay", "az", "gx", "gy", "gz", "check", "e1", "e2"] # 读取数据文件 data = pd.read_table( filepath_or_...
STM32与Linux平台AK09918驱动程序调试教程
9. **设备驱动程序的加载与卸载**: 在Linux系统中,需要掌握如何加载和卸载驱动模块,这通常涉及到编写Makefile、modprobe和rmmod等命令的使用,以及对/proc、/sys等虚拟文件系统的理解和操作。 10. **实时操作系统...
ARP欺骗学习以及mj的hook代码还原
井底之蛙
12-16 1666
ARP欺骗学习以及mj的hook代码还原文章作者:zhuwg信息来源:邪恶八进制信息安全团队(www.eviloctal.com)ARP协议是建立在信任局域网内所有结点的基础上的,它很高效,但却不安全。它是无状态的协议,不会检查自己是否发过请求包,也不管(其实也不知道)是否是合法的应答,只要收到目标MAC是自己的ARP reply包或arp广播包(包括ARP request和ARP reply
IRP完成函数:IofCompleteRequest
qq350625238的专栏
02-17 2571
IRP完成函数:IofCompleteRequest 一.IRP的完成 1.IRP完成后,做些什么(简单描述)? A.执行完成Routine> B.释放(有可能要复制还给“用户层”,见下面详细)缓冲区 C.删除IRP   2.怎么完成一个IRP? A.调用IoCompleteRequest,而IoCompleteRequest是一个“宏”== IofCompleteReques
IRP请求的完成与返回
博文视点(北京)官方博客
05-15 1889
 IRP请求的完成与返回    每当完成了一个以IRP为代表的I/O操作请求的时候,就要执行IRP的善后操作IoCompleteRequest(),这是个宏操作,定义为函数IofCompleteRequest()。#define  IoCompleteRequest  IofCompleteRequest    如前所述,以IRP为代表的I/O操作请求的执行可以是同步的,也可以是异步的,所以一
对内核函数IoCompleteRequest的分析
sqqsongqiqi的专栏
01-06 1396
该文来自看雪   对内核函数IoCompleteRequest的分析 作 者: RYYMike 原文地址 http://bbs.pediy.com/showthread.php?t=109018 今天是我的18周岁生日,突然就想发表篇文章,而前几天刚好在做IopfCompleteRequest的分析,所以今天就赶赶急,把分析做做完,发表出来。       我在网上认识的一个前辈说
I/O管理器执行IO完成
TCP/IP
02-09 4692
IO管理器的任务就是管理IO,本质上windows的IO操作都是异步的,这是由IO流的分层下递和IRQL共同决定的,效果就是IO流被处 理的每一个步骤都可能在任意线程上下文中进行,那么如果最下面的驱动完成了一个irp,这个怎么让上面的驱动知道呢?当然方法很多,比如上层驱动等待在一 个event上,而microsoft的作法显然更好,就是为每一个irp流经的每一个设备提供了一个选择,该设备的驱动可以
Response.End与ApplicationInstance.completeRequest
cxzhq2002的杂记
02-21 4434
原贴:http://www.cnblogs.com/joejoe/archive/2007/11/26/972866.html 终止线程 Response.End 在Asp.net 里面的正确使用 PRB:在使用 Response.End、Response.Redirect 或 server.Transfer 时出现 ThreadAbortException 症状 如果使用 R
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值