Rootkit Unhooker 3.8.341.552新增MBR rootkit检测原理

最新推荐文章于 2023-10-12 19:38:57 发布
原创 最新推荐文章于 2023-10-12 19:38:57 发布 · 955 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#磁盘 #disk

Unhooker3.8.341.552新增了MainBootRecordVerification功能,在sybex38.sys中通过sub_10E7A函数实现。该功能利用SCSI_REQUEST_BLOCK读取磁盘数据,并与正常方式读取的数据进行对比,以此检测MBR Rootkit等恶意软件。虽然与机器狗II代代码相似,但未能检测到tophet的隐藏。

BY mj:

 

Unhooker 3.8.341.552新增了一个Main Boot Record Verification (Check MBR for mismatchs at program start(SCSI Level))功能

功能实现是在sybex38.sys中sub_10E7A,使用该函数读出磁盘数据后,和正常方式读取的磁盘扇区做对比,来检查MBR Rootkit(或其他BOOTKIT)


该函数的实现是直接向DISK发送SCSI_REQUEST_BLOCK(IRP_MJ_SCSI),用以读写磁盘扇区

和机器狗II代的代码非常相似:D

不过还是无法检测tophet的隐藏的

 

SCSI_REQUEST_BLOCK这个思路

MBR Rootkit 谈起...
a519609598的博客
10-27 204
今天复习 windows internals 4th 的时候,看到chatper5,关于windows启动和停机的.. 突然想把这些开机启动的Rootkit技术,好好梳理一遍,下面列个目录吧,后续内容慢慢研究补上. [0.0]----Windows启动过程 [1.0]----剖析MBR [2.0]----调试NTLDR [3.0]----分析Stoned Bootkit [4...
一不小心捕获MBR rootkit
weixin_34233421的博客
06-03 404
一不小心捕获MBR rootkit 话说前两天早上一开机,发现IE自动打开N个网页(好家伙),有程序修改regedit,哥一看哈哈有的玩了(寂寞好久啦!!!)。二话没说,拔网线,插上俺的U盘(BT5的),解压哥的Anti-hacker工具箱,然后打开process explorer,(见鬼)没什么异常,然后Fireup Process Hacker启用Kernel Mo...
Mebroot:感染硬盘主引导记录的rootkit、恶煞般的安全威胁
Purpleendurer@优快云
03-10 1396
MBR rootkit Mebroot: A tough threat to securityMebroot:感染硬盘主引导记录的rootkit、恶煞般的安全威胁Author: Arun Radhakrishnan作者:Arun RadhakrishnanCategory: News, Security分类:新闻,安全Tags: Software, Malware, F-Secure
Rootkit技术的主要原理
joy
03-22 1362
【原创】Rootkit技术的主要原理 http://www.chinaunix.net 作者:hackisle   【发表评论】 【查看原文】 rootkit的主要分类:  应用级->内核级->硬件级  早期的rootkit主要为应用级rootkit,应用级rootkit主要通过替换login、ps、ls、net
MBR Rootkit: new tricks added
06-02 1229
Since the beginning of this year, a new kind of rootkit has been discovered in the wild. The MBR rootkit, the rootkit that affects Master Boot Record to hide itself inside Windows, has enticed the sec
Rootkit Unhooker LE v3.8.340.551
Linhanshi Blog
08-05 840
LE means Lite Edition. This is not VX (Veritable eXtended) variant and it doesnt includes anything from VX. There is no homepage of this software and no official support. Do you experience "problems"
Rootkit Unhooker 3.8 最新版发布,反Hook利器
Rootkit Unhooker 3.8(最新版)是一款专注于检测和清除系统中隐藏的Rootkit恶意软件的安全工具,尤其以其强大的“反Hook”能力著称。该工具由捷克安全研究人员Ondrej Holy开发,因其在底层系统监控与内核级防护方面...
RootKitUnhooker 3.8.341.552
08-26
RootKitUnhooker 3.8.341.552是该软件的特定版本,它针对的是RootKit检测和清除。 RootKit的工作原理通常涉及到系统调用劫持、内核驱动注入以及进程隐藏等手段。系统调用劫持是指RootKit替换系统的关键函数指针,...
HitmanPro v3.8.28.324一款功能强大的专业级恶意软件清除程序.rar
01-14
凭借其先进的行为检测技术,您的计算机就好像从未被感染过一样。此外,HitmanPro可以与您当前的防病毒软件一起运行,以捕获可能已经漏掉的任何内容。HitmanPro深入挖掘你的计算机任何挥之不去的感染。快速,专业的...
RUK最新版本3.8.340.551发布:反rootkit利器
标题和描述中提到了“Rootkit Unhooker LE v3.8.340.551”,这是一款用于检测和清除rootkit的工具软件。首先需要解释rootkit的基本概念,然后介绍该软件的功能与特性,并对其版本号进行解读。最后,结合文件名列表中...
基于MBR的Bootkit
qq_45784103的博客
10-12 428
覆盖原始的可启动分区表(VBM)无论是第一种还是第二种方法,都需要直接修改电脑硬盘,使用磁盘编辑工具(如DiskGenius)打开要修改的磁盘,找到MBR所在的扇区,定位到可启动表项的偏移位置然后进行修改。
计算机引导区病毒类型,主引导区MBR病毒解决方案
weixin_39614874的博客
07-31 2476
您可以使用趋势科技的RootkitBuster v5.0检查自己的MBR是否被修改下载地址:请参照下列步骤使用该工具:1)运行RootkitBuster.exe文件注意:运行后工具后会自动在您需要扫描的计算机中安装一个新的TMCOMM.SYS组件.并会提示您重启计算机来完成安装.重启完成后,再次执行工具。2)在左上方,选择您希望扫描的隐藏项类型,我们建议选择所有类型。3)单击“scan now”按...
Windows启动过程原理:叙Windows平台下基于MBR和UEFI的bootkit
zz_strive_2012的专栏
06-20 1255
安全的对抗首先在权限方面,权限高的进程对权限低的权限就是就是降维打击,无往不利。当权限相同时,启动得早便为王。所谓的bootkit也就是基于这个思路设计的一种复杂病毒。它优先于Windows系统启动,自然也就优先于杀毒软件启动的时间。鉴于国内对bootkit的文章不多,本文想介绍一下bootkit的具体技术细节。为了保证内容的梯度和完整度,其中基于MBRrootkit分别以WindowsXp和Win7为例,而基于UEFI的bootkit则可以在Windows7以上版本(7,8,10)的运行。 一:基于M
【电力系统潮流】5节点系统潮流计算-牛拉法和PQ分解法(Matlab代代码实现
最新发布
11-26
【电力系统潮流】5节点系统潮流计算-牛拉法和PQ分解法(Matlab代代码实现)内容概要:本文介绍了基于Matlab实现的5节点电力系统潮流计算,重点采用牛顿-拉夫逊法(牛拉法)和PQ分解法两种经典算法进行求解。文档详细阐述了两种方法的数学模型、迭代过程及收敛特性,并通过Matlab代码实现对同一测试系统进行仿真分析,对比了两种算法在计算精度、收敛速度和编程复杂度方面的差异。文中包含完整的代码结构、关键函数说明以及运行结果展示,有助于理解电力系统潮流计算的基本原理与数值方法的应用。; 适合人群:电力系统相关专业的本科生、研究生及从事电力系统分析与仿真的科研人员和技术工程师。; 使用场景及目标:①掌握牛顿-拉夫逊法和PQ分解法在电力系统潮流计算中的具体实现过程;②通过Matlab编程加深对潮流算法迭代机制、雅可比矩阵构建与节点分类的理解;③用于教学演示、课程设计或科研项目中作为基础算法参考。; 阅读建议:建议读者结合电力系统分析基础知识,先理解算法原理再逐步调试代码,重点关注节点导纳矩阵的形成、功率偏差计算与修正方程求解环节,同时可通过修改系统参数验证算法稳定性与适用范围。
基于51单片机的直流电机调速测速正反转控制
11-26
基于51单片机,实现对直流电机的调速、测速以及正反转控制。项目包含完整的仿真文件、源程序、原理图和PCB设计文件,适合学习和实践51单片机在电机控制方面的应用。 功能特点 调速控制:通过按键调整PWM占空比,实现电机的速度调节。 测速功能:采用霍尔传感器非接触式测速,实时显示电机转速。 正反转控制:通过按键切换电机的正转和反转状态。 LCD显示:使用LCD1602液晶显示屏,显示当前的转速和PWM占空比。 硬件组成 主控制器:STC89C51/52单片机(与AT89S51/52、AT89C51/52通用)。 测速传感器:霍尔传感器,用于非接触式测速。 显示模块:LCD1602液晶显示屏,显示转速和占空比。 电机驱动:采用双H桥电路,控制电机的正反转和调速。 软件设计 编程语言:C语言。 开发环境:Keil uVision。 仿真工具:Proteus。 使用说明 液晶屏显示: 第一行显示电机转速(单位:转/分)。 第二行显示PWM占空比(0~100%)。 按键功能: 1键:加速键,短按占空比加1,长按连续加。 2键:减速键,短按占空比减1,长按连续减。 3键:反转切换键,按下后电机反转。 4键:正转切换键,按下后电机正转。 5键:开始暂停键,按一下开始,再按一下暂停。 注意事项 磁铁和霍尔元件的距离应保持在2mm左右,过近可能会在电机转动时碰到霍尔元件,过远则可能导致霍尔元件无法检测到磁铁。 资源文件 仿真文件:Proteus仿真文件,用于模拟电机控制系统的运行。 源程序:Keil uVision项目文件,包含完整的C语言源代码。 原理图:电路设计原理图,详细展示了各模块的连接方式。 PCB设计:PCB布局文件,可用于实际电路板的制作。
基于OPPO竞赛的本科毕业论文开源实现方案
11-26
本资源包所含程序代码均已完成全面质量检测,各项功能模块运行状态稳定可靠。针对技术实现层面的疑问或系统架构讨论,用户可通过站内通信渠道提交问题,项目维护团队将在24小时内予以专业解答。 该资源包主要面向计算机学科教育应用场景,特别适用于高等院校的毕业设计项目开发、课程实践任务等教学需求。在人工智能、计算机科学与技术等专业方向的教学实践中,该资源包提供的算法实现案例和工程框架具有显著参考价值。 使用者获取资源后,建议优先查阅项目文档中的README技术说明文件(若存在),其中详细记载了环境配置要求、依赖组件清单及部署流程等关键技术参数。需要特别声明的是,本资源包所有内容仅限于技术交流与学术研究范畴,严格禁止任何形式的商业性应用或二次销售行为。所有源代码及文档资料的知识产权均受相关法律法规保护。 资源来源于网络分享,仅用于学习交流使用,请勿用于商业,如有侵权请联系我删除!
2025 AI赋能能源系统:解锁可持续AI 助力韧性能源转型研究报告.pdf
11-26
2025 AI赋能能源系统:解锁可持续AI 助力韧性能源转型研究报告
C# winform yolov11-onnx实例分割模型部署源码.zip
11-26
【测试环境】 vs2019 net framework4.7.2 opencvsharp4.8.0 onnxruntime1.16.3 视频演示:https://www.bilibili.com/video/BV1yu1qYaE5K/ 博文地址:https://blog.csdn.net/FL1623863129/article/details/142727953
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值