rootkit
rootkit检测之检测hook——iat hook、inline hook、eat hook、idt hook、irp hook、ssdt
可以看到识别inline hook的关键。 好了,我自己机器上实验下:先看下手册里介绍用法 https://downloads.volatilityfoundation.org/releases/2.4/CheatSheet_v2.4.pdf 实际使用发现确实加上-R 和 -Q会快很多!输出的结果如 ......
使用psscan检测dkom攻击——对于那些直接修改内存对象的rootkit,例如通过dkom实现进程隐藏,这个命令就非常好用了
pslist 和 psscan 的区别 列表: “ pslist ” 模块使用与将在实时计算机上执行的任务列表命令相同的算法。 而且,Windows 任务管理器也使用相同的方法。 上面提到的命令“pslist”遍历 Windows 内核维护的活动进程结构列表。 windows内核使用EPROCESS ......
rootkit隐藏端口
1. 基本原理 rootkit隐藏的基本步骤是: hook掉某一个系统函数,用自己的函数代替 自己的函数调用原函数,然后对于原函数的结果进行处理 返回处理结果 2. 实现 2.1 应该hook哪一个函数呢? 可以hook的函数有很多,如果我们使用strace命令来查看cat /proc/net/tc ......