Monthly Archives: 十月 2008

绕过主动防御的代码注入方法一点思考


 目前大多数的杀软都是hook NtWriteVirtualMemory和NtUserSetWindowsHookAW、NtUserSetWindowsHookE来防止代码注入。关于代码注入Ring3层的方法主要有:远程线程CreateRemoteThread消息钩子SetWindowsHookExRing3 APC QueueUserApc修改线程上下文SetContextThread

构造无人之境: Exploiting Realtek RTL8139单芯片以太网控制器


优良的rootkit(以下简写为rk)通常应该具备隐蔽稳定的通信功能。正如优秀的程序员一直追求用最简洁的代码完成功能需求一样,优秀的rk coder也一直秉承着绝不在rk中加入过多无用的远程命令,让rk尽量回归其原始定义–获得“root”权限的kit的宗旨。而如何实现隐蔽是rk通信首先要考虑的问题。
    因此,出现了各式各样的隐蔽隐藏技术。几年前的高级手段随着内核技术的公开与普及在时下被理所当然地判定为浅“藏”辄止,而时受深度检测工具干扰的在内核级深藏不露的rk亦不能使rk coder感到一劳永逸。因为构造隐蔽通信中的无人之境才是他们永恒不变的追求。

Vista Bootmgr/Winload使用的大部分选项ID


 

vista bootmgr的选项存储在systemdevice\boot\bcd,这个HIVE文件类似以前的boot,ini

boot.ini的选项在该HIVE中是以guid->option id的形式来体现的

除了保留了原来boot.ini可以使用的大部分选项外,还新增了许多选项,例如test signing, disable integrity checks,hypervisor debug options,cmdcons等等等

[POC]基于IO Packet隐藏文件和注册表,过磁盘解析和总线解析


 

昨天晚上玩过游戏,睡觉前写了一点代码,下午醒来又稍微改了改

只是POC~

文件的貌似有时候能隐藏又时候不行~郁闷的是每次跟过去就可以隐藏了,不跟的话有时候又隐藏不了~最后懒得改了~~~另外 由于没有动CACHE,所以对于用API或者FSD的文件检查反而过不去~

注册表的部分过FILE CACHE的低强度解析(例如狙剑)也是过不了的~由于这方面工具很少,冰刃和DARKSPY又总是在我的虚拟机上蓝屏,所以就没仔细测试了~也许有问题~

About Handling Nmi


   本文基于Windows2003以上32位系统,因为XP处理NMI很弱,我们后面再说。
    最近为硬件写驱动,需要处理关于NMI的一些东西,2003或者Vsita32上如果你不想弄的太复杂,可以调用新增的KeRegisterNmiCallback函数注册一个回调函数等待处理.但是在XP下就很困难,解决的办法有两个:hook或者update.所谓hook,这个不难理解,hook在哪里就仁者见仁了;而update就是仿造2003下的实现方法,在XP下自己实现一些处理例程….

About the SMM rootkit


这几天回上海搬家累坏了,回来北京也没什么好东西放出来,整理点以前的乱东西凑数 :)

其实SMM是早在97年就有的东西,我跟这个东西也算是有点渊源,之前在实验室做过一些关于这个的研究,但是远没有到rootkit的方向.之后在逛网站的时候发现一篇5.12时候的新闻:Researchers dig into x86 chips for stealthier rootkits