打算利用过年时间写一个Anti-Rootkit工具

最新推荐文章于 2022-05-17 16:15:44 发布

原创最新推荐文章于 2022-05-17 16:15:44 发布 · 3.7k 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#hook #image #磁盘 #工具

计划年后发布的新产品将包含多项高级防护功能，如核心级文件访问、进程隐藏检测与终止、文件句柄关闭、注册表访问控制等。此外还支持系统image还原、恶意驱动拦截等功能。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

年后发布，计划功能:

1.核心级文件访问，byPass any api/ifs/fsd hook 或过滤，对付目前的RK流氓该够了，如果真有人变态到做磁盘级在考虑加更强的功能

2.摘各种ROUTINE或Notifiction的功能

3.隐藏进程检测、终止

4.文件句柄关闭

5.注册表HIVE访问

6.各种inline hook非inline hook的检测及修复

7.系统image还原，对抗变态的inline hook

8.强制踢内核模块:D，比较暴力，不过会事先做一些处理

9.恶意驱动拦截仿RSBOOT

10.时间足够的话，考虑把偶的6502变态驱动壳也加上去哈哈哈

11....还在想。。

各位有什么好想法都提出来呀我看能不能实现：D

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

mj0011

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
5
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

一款手工杀毒/Anti-rootkit工具-ixer 0.11开源版

06-15

一款手工杀毒/Anti-rootkit工具-ixer 0.11开源版核心功能： 1. 进程、线程、进程Dll模块的枚举与检测，强杀进程、线程、卸载模块等功能 2. 内核驱动枚举与检测，定位、删除驱动文件等 3. SSDT的检测和恢复 4. Shadow SSDT的检测和恢复 5. 消息钩子的枚举和卸载 6. 注册表枚举和删除 7. 文件枚举和删除 8. 网络端口枚举、终止进程此作品不仅能够用于个人电脑上作为手工查杀的辅助工具，还能作为计算机安全人员研究rootkit的参考工具，本工具为作者学习windows内核驱动安全编程写的工具，内心功能大都是用内核驱动实现的。实现了Anti-rootkit部分功能模块，作为ARK工具尚欠完善，但可作学习参考研究，高手请飘过。为了发扬开源精神，广交好友，作品工程项目面对所有网友开源! 希望能够帮助到像作者一样热衷于windows内核安全的刚起步的晚辈们，在研究参考或开发过程中有遇到技术瓶颈可以联系作者研究学习讨论，作者也很期待能广交各路豪友。开发环境：界面： MFC(C/C++) /Microsoft Visual C++ 6.0 驱动： C、汇编 /Microsoft Visual Studio 2008 + WDK 7600.16385.1

AntiRootkit工具-XueTr 吾爱破解论坛专版2010.11.30更新

12-26

一个强大的手工杀毒工具，支持32位的2000、xp、2003、vista、2008和Win7操作系统。目前实现如下功能： 1.进程、线程、进程模块、进程窗口、进程内存、定时器、热键信息查看，杀进程、杀线程、卸载模块等功能 2.内核驱动模块查看，支持内核驱动模块的内存拷贝 3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看，并能检测和恢复ssdt hook和inline hook 4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看，并支持对这些Notify Routine的删除 5.端口信息查看，目前不支持2000系统 6.查看消息钩子 7.内核模块的iat、eat、inline hook、patches检测和恢复 8.磁盘、卷、键盘、网络层等过滤驱动检测，并支持删除 9.注册表编辑 10.进程iat、eat、inline hook、patches检测和恢复 11.文件系统查看，支持基本的文件操作 12.查看（编辑）IE插件、SPI、启动项、服务、Host文件、映像劫持、文件关联、系统防火墙规则、IME 13.ObjectType Hook检测和恢复 14.DPC定时器检测和删除 15.MBR Rootkit检测和修复 16.内核对象劫持检测 17.WorkerThread枚举

5 条评论您还未登录，请先登录后发表或查看评论

一个Anti Rootkit工具 by 老Y

Linhanshi Blog

01-17

753

http://bbs.pediy.com/showthread.php?t=58445

[源码和文档分享]Anti-Rootkit(ARK)内核级系统防护软件KsBinSword的设计与实现

qq_38474647的博客

12-24

226

KsBinSword是一斩断黑手的利刃，它适用于Windows 2000/XP/2003操作系统，用于查探系统中的幕后黑手(木马后门)并作出处理，当然使用它需要用户有一些操作系统的知识。 KsBinSword内部功能是十分强大的。它有着自己的独创核心态进程管理方案、简洁而不失效率的网络防火墙、强大而稳定的文件过滤驱动、深入磁盘底层甚至穿透还原软件的磁盘微端...

【黑客免杀攻防】读书笔记18-最终章Anti Rootkit

weixin_30363817的博客

08-13

194

1、免杀技巧的遏制 1.1、PE文件入口点不在第一个区段或在最后一个区段入口点处代码附近只有一小段代码入口点在正常范围之外入口点为一个无效的值，实际入口点为TLS的入口点区段名重复或者不属于正常范围拥有可执行属性的区段数量过多 1.2、程序行为加载系统DLL 枚举反病毒软件进程的窗口将自己复制到系统目录安装SPI（控制网络通信或者另类的方法远程注入DLL文件）远...

deianeira.rar_Anti-rootkit_Free!

09-14

总的来说，Deianeira Anti-rootkit是一个值得信赖的防御工具，对于任何Windows用户来说，它都是保护系统免受Rootkit侵害的重要武器。通过深入了解并正确使用这款工具，用户可以提高自己对网络安全的把控，降低遭受...

RootRepeal：强力检测隐藏文件和内核模块的Anti-Rootkit工具

总结而言，RootRepeal作为一个专业级的anti-rootkit工具，在检测和清除rootkit方面有着明显的优势。对于系统安全来说，RootRepeal不仅仅是一个工具，更是网络安全防御体系中不可或缺的一部分。通过不断地更新和改进...

wdbgark：WinDBG Anti-RootKit扩展

02-06

WinDBG Anti-RootKit扩展前言是的扩展（动态库）。它的主要目的是使用内核调试器查看和分析Windows内核中的异常。可以查看各种系统回调，系统表，对象类型等。对于更用户友好的视图扩展，请使用DML。对于...

Anti MBR-Rootkit技术研究

01-20

摘要：本文主要对磁盘主引导记录MBR和Windows操作系统的启动过程进行了阐述，对Rootkit和MBR-Rootkit技术特点进行了总结，对MBR-Rootkit结构和实例的行为特点进行了深入研究和剖析，针对WinXP操作系统的MBR-Rootkit...

eBPF-AntiRootkit

SenberHu的博客

05-17

515

背景：针对最近几年频繁出现的通过eBPF进行容器逃逸、rootkit等攻击，需要考虑如何收敛服务器ebpf相关权限，防止被黑客利用。静态方案：宿主机层面：非root用户不赋予CAP_BPF及CAP_SYS_ADMIN 注：3.15 - 5.7 内核不赋予CAP_SYS_ADMIN即可 5.8及以后内核需要同时不存在CAP_BPF及CAP_SYS_ADMIN权限非root用户禁止调用ebpf功能 /proc/sys/kernel/unprivileged_bpf_disabled 设置为1

Griffin-Hypervisor:使用Intel VT-x实现的Anti-Rootkit

03-18

Girffin系统管理程序使用Intel VT-x功能实现的Anti-Rootkit。 Griffin项目包含许多模块，其中之一就是Griffin Hypervisor。 Griffin Hypervisor是带有我们自定义安全模块的VT-x虚拟机管理程序，可在内核级别观察恶意行为。

RootKit检测工具-RKUnHooker

12-17

RootKit检测工具，比IceSword功能更强劲！

Rootkit技术基础(5) anti-rootkit

wodamazi

11-05

183

现在RK（rootkit）和ARK(anti-rootkit)的斗争已经进行了很久，在印象中最早出来的ARK工具是冰刃(IceSword)，从冰刃开始出来到现在RK和ARK的斗争一直在继续，目前冰刃还是在流行当中，自己感觉也正是冰刃的出来才带动了当前流行的RK和ARK的斗争呵呵，现在很多病毒木马已经广泛的带有驱动,使用一些RK的技术和方法使自己更底层些更强大些，当前流行的ARK工具主要包括：隐...

简单认识Anti-RootKit

jingzu的专栏

11-27

884

创建时间：2007-10-23文章属性：原创文章提交：single (single_1018_at_hotmail.com)简单认识Anti-RootKit 作者：single 现在RK（rootkit）和ARK(anti-rootkit)的斗争已经进行了很久，在印象中最早出来的ARK工具是冰刃(IceSword)，从冰刃开始出来到现在RK和ARK的斗争一直在继续，目前冰刃还是在流行当中，

关于rootkit和anti－rootkit的一些思考（一）

MTrickster的专栏

01-01

1171

作了进两个月的rootkit和anti－rootkit，不免有很多思考。你一直在想握着篇文章算是什么类型的呢，心得，算不上，讲技术的，更不说，就叫日志吧。如果你不幸看到这篇文章，发现几乎没有叫的是对的，请不要大惊小怪。当然我更欢迎你指出。说道rootkit和anti－rootkit，我想有一个不能不说的是hook。很多rootkit和anti－rootkit产品都在

关于rootkit和anti－rootkit的一些思考（2）

MTrickster的专栏

03-24

665

过去近两个月，终于写了第二篇思考。相信做rootkit等一些反安全的朋友都对杀毒软件是仇视万分。看看bbs的帖子不少是朋友问的关于如何关闭卡巴、瑞新，如何过杀毒软件的主动防御。当然最近给不用说的就是kv2008，居然icesword也搞不定。下面我就对这些说说我做的工作。首先说说过杀软的主动防御，相信很多朋友用的是ssdt 恢复，这种方法好不好先不说。来说说我的方法

rootkit、ark（anti-root-kit）和apt以及anit-apt和hips

lengye7的博客

10-01

1411

rookit是一种特殊的恶意软件，它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息，比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。 ark，全称是anti-root-kit，就是反rookit的意思。ark往往是一个工具集成包 ARK工具 (Anti Rootkit) ，又叫反内核工具，运行时具有最高的系统权限。主要功能： 1、进程管理 2...