|
想要查看内容赶紧注册登陆吧!
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
本书的所讲的主要内容请看介绍部分,个人对本书的评价是适合有C语言基础而且有对驱动开发有一定的了解的人阅读,因为本书是介绍rootkit而不是介绍驱动开发的,所以对于什么是DriverEntry,什么是卸载例程这些不会详细的讲解。本书适合于rootkit的入门,讲的都是比较基础的东西,里面所讲的技术不会太高深,而且这些技术都是比较老比较落后了的,但是要知道万丈高楼平地起,不打好基础又如何去学习高深的技术,所以对于要了解什么是rootkit、rootkit是如何工作的、它们都的什么功能、如何编写一个rootkit以及rootkit的基本检测与防护技术等等,本书还是足够了的。本书翻译版首发于看雪论坛,论坛上有每一章的word版,需要的到论坛上找找。最后,祝大家有一个愉快的旅程。第二章 一个基本的Rootkit
概述
本章将指导大家编写一个基础的Rootkit。本章将是一个新手练习Rootkit开发工具包的好机会,同时也将是一个感受如何加载和卸载Rootkit的好机会。
本章包括如下内容:
一个基本的Rootkit
一个基本的Rootkit隐藏技术
一个基本的文件隐藏技术
一个基本的Rootkit安装技术
一个基本的Rootkit卸载技术
第三章: 内核钩子
概述
本章将带领大家创建一个内核钩子。内核函数为操作系统高级应用程序提供了运行系统操作所必须的低级函数。通过挂钩内核,一个rootkit可以使用高级应用程序来改变低级操作。这样就提供了一个便于控制、监视、过滤和提供一些隐藏可能的机制。
本章包括如下内容:
系统调用表
内存保护机制
内核挂钩指令
内核挂钩函数
一个基本内核钩子的例子
关于内核函数的描述
系统调用表
第四章:用户层挂钩
概述
本章将指导你创建一个用户层进程钩子。通过挂钩一个进程中的函数,使得rootkit可以改变这个进程的操作。这样就提供了一个方便的监视,过滤和隐藏等控制机制。
本章包括如下内容:
基本的进程注入
关于ZwMapViewOfSection
用户层函数声明
跳转挂钩技术
一个基本的进程注入实例
进程注入
第五章:I/O处理
概述
本章想你介绍I/O处理系统。I/O处理,命名管道,和共享内存这些可以用来有效的实现内核模式和用户模式进程间的通信。在这三种方式中,I/O处理可能是最容易理解和实现的了。因为我们的rootkit 是作为一个设备驱动程序加载到内核内存中执行,控制应用程序通常被加载到用户内存,因此就需要这种通信方式。除了各自的内存区域外,内核和用户模式进程通常使用各自的堆栈。这就有效的阻止了利用函数传递参数即使你可以从一个交替内存区域标识一个函数的位置。
本章包括如下内容:
DeviceIoControl函数
一个基本的rootkit控制应用程序
基本的I/O处理在rootkit中的应用
一个基本的rootkit命令
测试一个基本的rootkit命令
使用DeviceIoControl
第六章:通讯
概述
本章介绍底层网络通讯。底层通讯是许多rootkit众多功能中的一个必须的。最基本的原因是底层通讯不会被高层通讯发现,例如socket-level通讯可以被个人防火墙监控。这样可以使得rootkit不被个人防火墙和端口监视器发现,例如Sysinternal的portMon(端口监视软件)。选择底层通讯的另外一个原因是需要区分rootkit通讯和普通网络通讯,作为rootkit和它远程控制端的连接是不需要被其他rootkit监视的。
本章包括如下内容:
传输驱动接口(TDI)
连接启动
一个远程控制通讯实例
下载地址(回复可见):
|
|