真人百家乐

【技术分享】常见内核后门分析

作者:真人百家乐  来源:ag8真人  时间:2020-07-10 07:10  点击:

  最近哥们给我秀起了内核文件隐藏、32位下给力的Hacker Defender,号称网站管理员无法解决,在t00ls上也看见有童鞋在问相关的问题说用户被隐藏怎么找都找不到等等,经过实战发现确实很多管理员都不知道,在这里科普下希望借助安全客让更多的人知道这一利用手法从而提升安全防护能力和安全意识。

  客户端可连接服务器上任意开放的端口并且反弹一个shell,该shell拥有最高权限

  不要惊慌!上图不是dir溢出!!确实没了,问题是这是一个软件,管理员也会打开这个软件,那怎么办呢。其实很简单。把自身的驱动和ini配置文件也添加成隐藏文件并且不可删除后把程序目录

  通过webshell.pub 或者D盾扫描或者那只什么狗来着的软件,基本都是扫不出来的。如果你遇到过类似的问题.那好吧,下面我带你一起来分析分析这件事情。

  实现原理分析: 在网上看到有童鞋发帖说删除什么ini什么的,这些都是治标不治本的办法万一人家自己写一个驱动隐藏呢,这时候又咋处理?所以原理非常重要。我推荐求其道而弃其术。

  为了证明我不是娱乐圈。咳咳,今天也不是给大家展示怎么利用工具的,下面来分析下这件事情的实现原理。

  src=这张图呢描述的是CPU的分级情况,我们的操作系统(kernel)运行在Ring0级别,我们看到的和使用的实际上是在ring3

  在x64下面各种HOOK变得不是那么现实,但是可以通过微软提供的各种回调达到对文件的访问控制需求。

  其实也就是IRP发下来后经过一些分层过滤驱动,在这个地方有一大堆回调会挨个执行.

  src=通过PChunter的移除过滤器貌似好像大概可以达到效果,然而现实会给你一记响亮的耳光.因为程序自开线程检测该回调是否被移除如果被移除会再次添加,而且这小婊砸还回调了filterUnload.

  这怎么破呢,其实方法很多,大牛告诉过我无数个方法,我觉得最实用的就是直接retn掉函数的第一句。

  上面有一个神奇的现象代码中通过FltEnumerateFilters枚举minifilter的函数地址拿到这块内存后修改pNode指针的值或者删除,惊奇的发现PChunter列表的值也发生变化了,那讲道理的说我删除这个值,PChunter

  开始分析时各种看R0的东西,发现一点都没对R0做修改和处理,心想这尼玛,05年的东西这么强大? 最后…..src=

  在这个界面检测出了700多钩子直接右键全部恢复,hacker defender所有功能消失,又是一把梭解决问题!

  想法是美好的,然而工作太忙要写大量的Javascript、HTML5哎,无奈.加班什么的。希望看了本文的小伙伴能写出这样的小工具造福一小部分人,为网络安全添砖加瓦!

真人百家乐

上一篇:后面左侧车门为什么从里面打不开?


下一篇:五款畅销AO级两厢车 安全性能大比拼