zoukankan      html  css  js  c++  java
  • 为GHOST远控添加ROOTKIT功能

    原版的ghost远控似乎有一个SSDT HOOK功能的模块,当然已经没有什么用处了。这里在GHOST的基础上添加一些ROOTKIT功能。而且随着x64下主动防御技术的发展,这里不打算使用传统的HOOK技术。

    主要的想法是

    1.设置进程创建事件通知,检测安全软件进程启动

    2.设置注册表修改事件通知,保护我的注册表项不被修改

    3.设置关机回调,在关机检测自启动项是否存在

    4.注册进程对象回调,检查任何对本进程对象的操作

    5.枚举SSDT,检测是否存在HOOK,如果存在,远控程序自毁

    6.枚举敏感的设备栈,检测是否存在IRP过滤驱动,如果存在,远控程序自毁

    程序还没改完

  • 相关阅读:
    开放式最短路径优先OSPF
    第一课:docker基本知识
    docker 基础
    mycat
    nginx
    keepalived
    mariadb 读写分离
    ansible
    转载 树莓派vnc 教程
    基础命令2
  • 原文地址:https://www.cnblogs.com/Ox9A82/p/5233449.html
Copyright © 2011-2022 走看看