标签 ‘Rootkit’ 下的日志

Linux rootkit adore-ng-0.56-wztfix 发布

2009/05/07 12:28 | 鬼仔 | 工具收集 | 1 个回复

作者:wzt

adore-ng老牌的linux rootkit在高版本内核编译不过去了, 简单的fix了下, 可以在高版本内核编译和运行。有需求的同学可以试试。

下载地址:adore-ng-056-wztfix.rar

Tags: , ,

web应用程序中的rootkit

2009/03/31 15:14 | 鬼仔 | 技术文章 | 消灭0回复

Author: jianxin [80sec]
EMail: jianxin#80sec.com
Site: http://www.80sec.com
Date: 2009-3-28
From: http://www.80sec.com/release/webapp-rootkit.txt

[ 目录 ]

0×00 为什么我们会有这个想法
0×01 web应用程序中后门的基本思想
0×02 实际应用中的一些例子
阅读全文 »

Tags: ,

英特尔遭遇CPU级RootKit,目前无药可医

2009/03/18 17:47 | 鬼仔 | 业界资讯 | 6 个回复

感谢Ben的翻译投递:
Intel CPU 缓存被暴漏洞,研究报告与 RootKit利用代码即将出炉。
“3月19日,我们将就Intel CPU 的缓存机制漏洞,公布一份报告及漏洞利用。相关攻击可以在目前大部分IntelCPU的主板上从Ring0提权至SMM。Rafal在几个小时内就做出了一份漏洞利用代码。” Joanna女强人在博客中写道。

本 次漏洞利用的致命之处,在于它能将自身隐藏在SMM空间中,SMM权限高于VMM,设计上不受任何操作系统控制、关闭或禁用。实际应用中唯一能确认SMM 空间中运行代码的方法只有物理性的分离计算机固件。由于SMI优先于任何系统调用,任何操作系统都无法控制或读取SMM,使得SMM RootKit有超强的隐匿性。
阅读全文 »

Tags: , , ,

迎新年放TOPHET DOC

2009/01/26 1:25 | 鬼仔 | 技术文章 | 4 个回复

作者:mj0011

Tophet是一类Bootkit/Rootkit技术的统称,Tophet.a是其第一代的范本

在XCON2008上我RELEASE了这一样本的相关技术:

(http://xcon.xfocus.net/)

其中涉及的隐蔽BOOT启动、对象劫持技术、磁盘保护穿透技术均是过去我在内核研究和对抗中处于兴趣编写和探究的。
阅读全文 »

Tags: , ,

构造无人之境: Exploiting Realtek RTL8139单芯片以太网控制器

2009/01/20 13:21 | 鬼仔 | 技术文章 | 2 个回复

作者:Azy
完成:2008-10-22

优良的rootkit(以下简写为rk)通常应该具备隐蔽稳定的通信功能。正如优秀的程序员一直追求用最简洁的代码完成功能需求一样,优秀的rk coder也一直秉承着绝不在rk中加入过多无用的远程命令,让rk尽量回归其原始定义–获得“root”权限的kit的宗旨。而如何实现隐蔽是rk通 信首先要考虑的问题。
因此,出现了各式各样的隐蔽隐藏技术。几年前的高级手段随着内核技术的公开与普及在时下被理所当然地判定为浅“藏”辄止,而时受深度检测工具干扰 的在内核级深藏不露的rk亦不能使rk coder感到一劳永逸。因为构造隐蔽通信中的无人之境才是他们永恒不变的追求。
阅读全文 »

Tags: ,

.NET Framework Rootkits

2008/11/14 22:18 | 鬼仔 | 工具收集 | 1 个回复

原文:.NET Framework Rootkits

This page covers a new method that enables an attacker to change the .NET language, and to hide malicious code inside its core.

The whitepaper .NET Framework rootkits – backdoors inside your frameworkcovers various ways to develop rootkits for the .NET framework, so that every EXE/DLL that runs on a modified Framework will behave differently than what it’s supposed to do. Code reviews will not detect backdoors installed inside the Framework since the payload is not in the code itself, but rather it is inside the Framework implementation. Writing Framework rootkits will enable the attacker to install a reverse shell inside the framework, to steal valuable information, to fixate encryption keys, disable security checks and to perform other nasty things as described in this paper.
阅读全文 »

Tags: ,

About the SMM rootkit

2008/10/14 0:48 | 鬼仔 | 技术文章 | 消灭0回复

来源:SoftRCE.net

其实SMM是早在97年就有的东西,我跟这个东西也算是有点渊源,之前在实验室做过一些关于这个的研究,但是远没有到rootkit的方向.之后在逛网站的时候发现一篇5.12时候的新闻:Researchers dig into x86 chips for stealthier rootkits,然后才重新回头去看了这个东西,也隔天就写了篇分析.不过功力尚浅,很多东西在Win32平台到现在我实验着还是有问题的.
阅读全文 »

Tags: ,

Win32平台下的Rootkit习作–Zion

2008/06/19 18:42 | 鬼仔 | 工具收集 | 1 个回复

Codename: Zion by Liang

Zion是一套Rootkit攻防函数库,我(Liang)负责全部的攻击部分,检测部 分由另一实习生同学完成,能够躲避常见的安全检测工具这是本次练习中的关键任务,针对这些流行的内核级Rootkit隐藏技术,我一一对它们进行了实现。 用户可通过命令行输入特定命令,达到特定的隐藏目的,效果图如下:

目前的实现包括:
阅读全文 »

Tags: