内存欺骗rootkit的思路
来源:互联网 发布:星星知多少疯狂动物园 编辑:程序博客网 时间:2024/05/16 17:45
无聊翻翻4年前的黑防,发现个蛋疼#rootkit#:
给ethread的内存设置present bit,读取这块内存会引起page fault;
dr0置为KiTrap0e; dr1置为KiTrap01; 硬件读断点;
inline hook KiTrap0e; 对ethreat做内存欺骗;
inline hook KiTrap01; 处理读的断点,
用dr0和dr1来做inline hook code的内存欺骗,dr0~1断下来就恢复钩子;
给ethread的内存设置present bit,读取这块内存会引起page fault;
dr0置为KiTrap0e; dr1置为KiTrap01; 硬件读断点;
inline hook KiTrap0e; 对ethreat做内存欺骗;
inline hook KiTrap01; 处理读的断点,
用dr0和dr1来做inline hook code的内存欺骗,dr0~1断下来就恢复钩子;
然后dr3设置为eip的下一句;dr3断下来在挂上钩子= =
这样确实绕过rootkit检测了
详见黑防08年第五期 p56
- 内存欺骗rootkit的思路
- 基于CallStack的Anti-Rootkit HOOK检测思路
- 古老的隐藏rootkit思路,XT还没检测
- Rootkit——内存是如何被伪造出来的
- Rootkit——内存是如何被伪造出来的
- 内存溢出的解决思路
- 内存溢出的解决思路
- Web欺骗的欺骗手段
- RootKit的隐藏文件
- Rootkit的技术发展史
- MS的RootKit ?
- unix下的rootkit
- rootkit
- RootKit
- rootkit
- Rootkit
- rootkit
- Rootkit
- 关于“cannot find a valid peer process to connect to”错误的解决方法
- OCMJ8X15B金鹏液晶屏驱动程序+字库规律
- Erlang ETop输出结果格式说明
- 天龙八部服务器端Lua脚本系统
- 加入 CSDN大家庭
- 内存欺骗rootkit的思路
- 守护进程(daemon)
- 定义区间DP
- android屏幕截图
- 打开vc设置中release下的调试信息生成选项
- Play!项目转成Eclipse的项目:eclipsify
- 天龙八部服务器端共享内存的设计(1/3)
- 天龙八部服务器端共享内存的设计(2/3)
- 内存管理(2)系统空间的内存管理算法