MS的RootKit ?

最新推荐文章于 2025-07-24 17:10:03 发布
置顶 最新推荐文章于 2025-07-24 17:10:03 发布
阅读量436 收藏
点赞数 1
CC 4.0 BY-SA版权
文章标签: google 百度 浏览器 任务 微软 c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/memeng2003/article/details/4737479
好久没写博客 。一直也没什么可写的(我是一个很懒的人 :) )。 但这次我忍不住了,一定要写出来。 主要是为了大家了解MS的真面目。怕大家被MS卖了还帮比尔盖茨数钱呢。:) 昨天我用windbg调试了一天程序。快下班时,发现机器很慢,打开管理器一看,内存占了1G多,我机器就1G。 于是乎我就把浏览器VS2003等占内存的软件都关了。 OK,一切都如预料的那样,内存将了下来,400M多。 猛然间我突然发现,任务管理器中有一个奇怪的进程在执行gevzc.exe,我立刻上baidu、google搜索了一下,什么都没有!?? 以往不管是程序还是病毒都会有些信息啊,奇怪。 我有查看了一下该文件的位置,居然是C:/Program Files/qquij/gevzc.exe, 我倒,我从没装过这样的软件啊,而且名字也很奇怪。 我第一反应就是,病毒,一定是病毒。 我立刻又查了一下TCP/IP连接。 啊,令我大吃一惊的是它居然访问wwwtk2test2.microsoft.com这个网站,是微软么? 难道MS在做监守自盗之事,实在是令人难以相信, 我又搜了一下,百度:一条无用结果;google:不错,有好几条。大概看了一下,btw:我英文不太好。不对地方请多包含。 大家可以自己去看。 有的说是MS的验证正版的程序,更多的是劫持了他们的火狐,发给MS消息。XXX,一定是MS在窃取我们的隐私。 百度没有结果,看来我们中招的还不多。 主要是给大家提个醒,注意提防。
memeng2003
关注
[网络安全提高篇] 一二八.恶意软件分析之利用MS Defender实现恶意样本家族批量标注(含学术探讨)
杨秀璋的专栏
04-24 833
前文介绍了IDA Python配置过程和基础用法,然后尝试提取恶意软件的控制流图(CFG)。这篇文章将讲解如何利用MS Defender实现恶意样本家族批量标注,在通过VS、VT采集批量样本后,通常需要样本家族标注,如何准确识别家族类别至关重要,其将为后续的恶意软件家族分类或溯源提供帮助。在此感谢李师弟热心的指导和帮助,基础性基础,希望您喜欢,且看且珍惜。
[系统安全] 五十七.恶意软件分析 (9)利用MS Defender实现恶意样本家族批量标注(含学术探讨)
杨秀璋的专栏
04-18 874
前文介绍了IDA Python配置过程和基础用法,然后尝试提取恶意软件的控制流图(CFG)。这篇文章将讲解如何利用MS Defender实现恶意样本家族批量标注,在通过VS、VT采集批量样本后,通常需要样本家族标注,如何准确识别家族类别至关重要,其将为后续的恶意软件家族分类或溯源提供帮助。在此感谢李师弟热心的指导和帮助,基础性基础,希望您喜欢,且看且珍惜。
【转】Rootkit相关链接
annhf的专栏
05-04 1191
Rootkit相关链接October 21, 2007 – 15:05 categories:Decompilers Garage - Homebrew haxoring of a different type Network Drivers - Contains links for both NDIS and TDI drivers. Remote Control Packages
Daemon Tool Is A Rootkit ? - The Unknown Driver
04-20 3429
rootkit is hot today, everybody wanna write a rootkit, if you often browse USENET, youre gonna see many guys ask forhow to get an undocumented kernel structure, or something how to hook a kernel rout
rootkit
hanwei_1049的专栏
03-15 591
 在网络安全中经常会遇到rootkit,NSA安全和入侵检测术语字典( NSA Glossary of Terms Used in Security and Intrusion Detection)对rootkit的定义如下:A hacker security tool that captures passwords and message traffic to and from a comput
Rootkit
dodream的专栏
11-11 944
   好多人有一个误解,他们认为rootkit是用作获得系统root访问权限的工具。实际上,rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。通常,攻击者通过远程攻击获得root访问权限,或者首先密码猜测或者密码强制破译的方式获得系统的访问权限。进入系统后,如果他还没有获得root权限,再通过某些安全漏洞获得系统的root权限。接着,攻击者会在侵入的主机中安装rootkit,然
Linux Rootkit suterusu
weixin_33973609的博客
11-09 190
前言最早Rootkit用于善意用途,但后来Rootkit也被骇客用在***和***他人的电脑系统上,电脑病毒、间谍软件等也常使用Rootkit来隐藏踪迹,因此Rootkit已被大多数的防毒软件归类为具危害性的恶意软件。Linux、Windows、Mac OS等操作系统都有机会成为Rootkit的受害目标。Rootkit出现于二十世纪90年代初,在1994年2月的一篇安全咨询报...
[转帖]黑客通过 Rootkit 恶意软件感染超 5 万台 MS-SQL 和 PHPMyAdmin 服务器
weixin_30885111的博客
06-03 96
黑客通过 Rootkit 恶意软件感染超 5 万台 MS-SQL 和 PHPMyAdmin 服务器 https://www.cnbeta.com/articles/tech/852141.htm 病毒非常猖獗.. 都是集团作战 比特币改变经济没看到 倒是先改变了计算机病毒界 Guardicore Labs 的安全研究人员发布了一份报告,该报告关于...
Linux Rootkit Sample && Rootkit Defenser Analysis
weixin_30855761的博客
08-02 1470
目录 1. 引言 2. LRK5 Rootkit 3. knark Rootkit 3. Suckit(super user control kit) 4. adore-ng 5. WNPS 6. Sample Rootkit for Linux 7. suterusu 8. Rootkit Defense Tools 9. Linux Rootkit Scanner: k...
Rootkit检测技术研究
深度技术安全
02-28 3089
<br />1、现有检测技术<br />1.1 特征码扫描<br /> <br /> 特征码扫描是检测已知恶意代码的最简单的方法,我在反外挂和反木马过程中,几乎每天要提各式病毒的特征。方法快速,简便,不过经验不足会造成严重后果。<br /> 早期的特征码扫描只检测可执行文件,其原理是打开被检测文件,扫描其中是否含有特征数据库中的恶意代码特征串,如果含有则判断该文件含有恶意代码。不过,在游戏反外挂中,提取内存特征,分节提取。其中特征数据库是在确定某个程序是恶意代码后,通过静态反汇编或动态调试,手工提取其中不同
Volatility:分析MS10-061攻击
YJ_12340的博客
07-18 1050
Volatility是开源的Windows,Linux,MaC,Android的内存取证分析工具。基于Python开发而成,可以分析内存中的各种数据。Volatility支持对32位或64位Wnidows、Linux、Mac、Android操作系统的RAM数据进行提取与分析。volatilityvolatility -f --profile= [插件参数]objdump命令是Linux下的反汇编目标文件或者可执行文件的命令。objdump。
618号外:MS08067安全实验室也做安全培训了
Ms08067安全实验室
06-18 751
全新 红队攻防直播培训 课程重磅来袭 直播培训的目标是让您学会 而不是仅仅给您一堆视频教程去看 私塾式小班精讲,可免费重听!课程费用每期班定价2999,首期班618首发价 1...
恶意软件分析大合集
Sumarua的博客
05-09 819
这个列表记录着那些令人称赞的恶意软件分析工具和资源。受到 awesome-python 和 awesome-php 的启迪。
[系统安全] 五十八.恶意软件分析 (10)利用火绒安全实现恶意样本家族批量标注(含学术探讨)
杨秀璋的专栏
04-26 855
前文介绍了利用MS Defender实现恶意样本家族批量标注。这篇文章将讲解如何利用火绒实现恶意样本家族批量标注,在通过VS、VT采集批量样本后,通常需要样本家族标注,如何准确识别家族类别至关重要,其将为后续的恶意软件家族分类或溯源提供帮助。在此感谢李师弟热心的指导和帮助,基础性基础,希望您喜欢,且看且珍惜。
DigitalOcean 一键模型部署,新增支持百度开源大模型ERNIE 4.5 21B
了解关于云主机、GPU、AI、数据库托管、Kubernetes等相关技术知识,以及DigitalOcean云平台使用教程
07-24 643
使用过DigitalOcean GPU Droplet 服务器的用户应该对我们的一键模型部署功能不陌生。DigitalOcean 的功能是 DO 为开发者和企业提供的一种便捷方式,用于快速部署和运行预训练的生成式 AI 模型,尤其是大型语言模型 (LLM)。这项功能是 DigitalOcean 与 Hugging Face 合作的成果,旨在简化 AI 模型的部署流程,让用户无需复杂的配置即可开始构建 AI 应用。功能支持多种开源大语言模型,包括LLama、DeepSeek等。
百度文心大模型ERNIE全面解析
keny-大成的博客
07-23 802
文章摘要:本文汇总了多个Python自然语言处理(NLP)工具库的应用实例,涵盖百度文心大模型ERNIE、Hugging Face Transformers、StanfordNLP、SymSpell等主流框架。内容涉及文本预处理、情感分析、命名实体识别、机器翻译、文本纠错等典型NLP任务,并包含ERNIE-Lite、BART、T5等模型的调用示例。各工具库的特色功能包括:ERNIE的知识增强技术、Transformers的多任务统一接口、SymSpell的高效拼写纠正等。文章还提供了知识图谱构建、Rasa对
百度大涨,AIGC视频生成模型蒸汽机将会给百度带来什么?
2401_88566218的博客
07-23 204
第三,随着蒸汽机Turbo版限时免费公测的进行,并计划于8月推出Lite/Pro及全系列有声版本,实现行业首次支持单人人声、双人对话视频生成,这一系列动作展示了百度对于细分市场需求的深刻理解和快速响应能力。其次,蒸汽机上线两周内注册用户量突破30万,单小时任务提交量达1.8万次,累计生成内容超过200万条,这表明该模型已经迅速获得了市场的广泛接受和用户的高度参与。百度7月23日盘中表现强势,盘中一度涨4.49%。首先,百度股价的上涨反映了市场对其新推出的AIGC视频生成模型蒸汽机的高度认可和期待。
独家|百度副总裁尚国斌即将离职,此前统筹百度地图;行业搜索及智能体业务总经理谢天转岗IDG
最新发布
2401_87097330的博客
07-24 159
百度人事再变动。
百度视觉算法岗位30问及详解
weixin_51988935的博客
07-22 825
以上30个问题涵盖了百度视觉算法岗位面试的核心知识点,建议结合项目经验深入理解,祝大家面试顺利,早日拿到心仪offer!
堆栈中无三方驱动,或错误指向系统核心模块(如ntoskrnl.exe)。可能的问题是什么?
07-18
<think>我们正在分析Windows系统崩溃日志中堆栈无第三方驱动且错误指向核心系统模块(如ntoskrnl.exe)的可能原因。根据引用[1]和用户之前的问题,我们知道错误代码0x000000ef(CRITICAL_PROCESS_DIED)可能与系统关键进程终止有关。同时,引用[3]提到崩溃问题往往会重复出现,需要及时解决。 核心问题:堆栈中没有第三方驱动,但崩溃发生在系统核心模块(如ntoskrnl.exe)中,可能的原因有哪些? 分析思路: 1. 系统核心模块(ntoskrnl.exe)是Windows操作系统的核心,它负责进程管理、内存管理、硬件抽象等。当崩溃发生在核心模块时,即使堆栈中没有第三方驱动,也不能完全排除第三方驱动的影响,因为驱动可能通过异步操作(如DPC、中断)或破坏内核数据结构间接导致核心模块崩溃。 2. 如果没有明显的第三方驱动出现在堆栈中,我们需要考虑其他系统级问题。 可能原因: 一、硬件问题 - 内存故障:内存条损坏或接触不良可能导致核心模块执行时发生随机错误。因为核心模块需要频繁访问内存,内存问题会引发页面错误(Page Fault)或访问违规(Access Violation),进而导致崩溃[^1]。 - CPU问题:CPU过热、超频不稳定或缓存错误可能导致执行指令时出现异常。 - 硬盘问题:存储系统文件的硬盘扇区损坏,导致核心模块文件读取错误或分页文件写入失败。 - 其他硬件:主板、电源等不稳定也可能导致系统崩溃。 二、系统文件损坏 - 核心系统文件(如ntoskrnl.exe、hal.dll等)被损坏或版本不匹配,导致执行过程中出现意外错误。这可能是由于磁盘错误、病毒破坏或不正确的系统更新引起[^1]。 三、恶意软件 - 病毒或恶意软件可能钩住(Hook)系统调用或修改内核数据结构,破坏核心模块的正常执行流程。 四、Windows更新问题 - 不完整的Windows更新或补丁冲突可能导致系统核心模块处于不稳定状态。 五、电源问题 - 突然断电或不稳定的电源供应可能导致系统关键进程异常终止(引用[1]中提到的0x000000ef错误)。 六、超频或BIOS设置不当 - CPU或内存超频后不稳定,或者BIOS中关于电源管理、CPU特性的设置与系统不兼容。 七、页面文件问题 - 虚拟内存(页面文件)配置不当或磁盘空间不足,导致内存管理失败。 八、系统服务或应用程序冲突 - 某些系统服务或应用程序(特别是以高权限运行的服务)可能通过系统调用与核心模块交互,如果它们存在设计缺陷(如未处理异常),可能间接导致核心模块崩溃。 诊断步骤: 1. **检查内存**:运行Windows内存诊断工具(`mdsched.exe`)或MemTest86+进行详细测试。 2. **检查磁盘**:使用`chkdsk /f`命令检查磁盘错误。 3. **系统文件检查**:运行`sfc /scannow`和`DISM /Online /Cleanup-Image /RestoreHealth`修复系统文件。 4. **病毒扫描**:使用杀毒软件进行全盘扫描。 5. **查看事件查看器**:在“Windows日志”>“系统”中查找崩溃时间附近的错误或警告事件(引用[2]提到设备管理器、事件查看器等工具)[^2]。 6. **检查更新**:确保Windows更新到最新版本,并检查是否有已知问题。 7. **检查BIOS设置**:恢复BIOS默认设置,关闭超频。 8. **分析dump文件**:使用WinDbg进一步分析dump文件,查看崩溃时的具体上下文。即使堆栈中没有第三方驱动,也可以通过以下命令检查: - `!analyze -v`:自动分析崩溃原因。 - `lm`:查看加载的模块,确认是否有可疑模块。 - `!pte <address>`:查看崩溃地址对应的页表项,判断内存访问问题。 - `!pool <address>`:检查内存池是否损坏(可能由驱动内存泄漏或越界写入引起,但未在堆栈中体现)。 9. **压力测试**:使用Prime95、FurMark等工具进行CPU和显卡压力测试,观察是否触发崩溃。 10. **最小化启动**:通过“系统配置”(msconfig)禁用所有非Microsoft服务,然后逐步排除,观察是否由应用程序冲突引起。 根据引用[3],崩溃往往重复出现,因此需要耐心测试和排除[^3]。如果以上步骤无法解决,可能需要考虑重装系统或更换硬件。 总结:虽然堆栈中没有三方驱动,但问题可能由硬件故障、系统文件损坏、恶意软件等引起。核心模块(ntoskrnl.exe)是受害者,而非根本原因。需要结合系统日志和硬件诊断工具进一步定位。 §§相关问题§§ 1. 如何运行Windows内存诊断工具检测内存问题? 2. 使用WinDbg分析dump文件时,如何判断是否是硬件问题? 3. 系统文件损坏有哪些常见修复方法?</think>### Windows崩溃日志分析:堆栈无三方驱动且指向ntoskrnl.exe的可能原因 当Windows崩溃日志显示堆栈中没有第三方驱动,但错误指向核心系统模块`ntoskrnl.exe`时,可能涉及以下系统级问题: #### 1. **硬件故障(最常见原因)** - **内存故障**:物理内存损坏或兼容性问题会导致内核尝试访问无效地址,触发`PAGE_FAULT_IN_NONPAGED_AREA`错误,堆栈常显示`nt!MiRestoreTransitionPte`等内存管理函数[^1] - **存储设备故障**:硬盘/SSD坏道导致系统文件读取失败,引发`CRITICAL_PROCESS_DIED`(错误代码0xEF) - **CPU/主板问题**:CPU缓存错误或主板电压不稳定时,核心模块执行异常指令会崩溃 - **诊断方法**: ```powershell # 运行内存诊断工具 mdsched.exe # 检查磁盘健康 chkdsk /f /r ``` #### 2. **系统文件损坏** - **关键文件损坏**:`ntoskrnl.exe`、`hal.dll`等核心文件被破坏(如更新中断、病毒破坏) - **注册表损坏**:系统配置单元损坏影响内核初始化 - **修复命令**: ```cmd sfc /scannow # 系统文件检查 DISM /Online /Cleanup-Image /RestoreHealth # 修复系统映像 ``` #### 3. **资源管理异常** - **内存耗尽**:当系统无法回收备用页(如堆栈中的`nt!MiRemoveLowestPriorityStandbyPage`),会触发`SYSTEM_THREAD_EXCEPTION_NOT_HANDLED`错误 - **内存泄漏**:系统进程(如`smss.exe`)泄漏非分页池内存,导致`nt!MiRebalanceZeroFreeLists`失败[^1] - **诊断工具**: ```powershell poolmon.exe # 监控内存池使用 perfmon /report # 生成资源使用报告 ``` #### 4. **Windows更新冲突** - **补丁不兼容**:MS更新可能引入与硬件/固件的兼容性问题 - **更新回滚方法**: ```powershell Get-WindowsUpdateLog # 查看更新日志 wusa /uninstall /kb:XXXXXX # 卸载指定补丁 ``` #### 5. **电源/散热问题** - **意外断电**:导致系统文件写入中断(引用[1]提到的0x000000ef错误) - **过热保护**:CPU降频导致内核调度异常,堆栈常显示`nt!KeBugCheckEx`和`nt!KiPageFault` - **检测工具**: ```powershell powercfg /energy # 生成电源报告 OpenHardwareMonitor # 监控温度 ``` #### 6. **恶意软件感染** - **Rootkit技术**:高级恶意软件会隐藏驱动模块,通过Hook系统调用破坏内核 - **检测步骤**: ```powershell msert.exe # 微软恶意软件扫描 autoruns.exe # 检查隐藏驱动 ``` #### 诊断流程图 ```mermaid graph TD A[崩溃日志分析] --> B{堆栈含ntoskrnl.exe?} B -->|是| C[检查硬件故障] B -->|否| D[检查三方驱动] C --> E[运行内存诊断] C --> F[磁盘健康检测] C --> G[温度/电源测试] E --> H{问题依旧?} H -->|是| I[系统文件修复] H -->|否| J[更换故障硬件] I --> K{问题解决?} K -->|否| L[干净启动排查] ``` > **关键提示**:根据引用[3],此类崩溃往往重复发生,建议在首次出现时就进行完整诊断[^3]。若堆栈显示`nt!MiRestoreTransitionPte`或`nt!ExpWorkerThread`等核心函数,优先排除硬件和系统文件问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值