MBR Rootkits：一种新型Rootkits恶意软件带来的挑战

1

作者 小小杉 《黑客防线》 2009年第8期57-66,共10页

隐形恶意软件与安全软件之间的战争进入白热化状态，当前的恶意软件已进入了一个崭新的阶段．深入到了当前的最底层．即主引导扇区MBR层次。基于MBR的Rootkit又名Mebroot，早期测试版最早出现在2007年12月，随后迅速演化成一款具有完整... 隐形恶意软件与安全软件之间的战争进入白热化状态，当前的恶意软件已进入了一个崭新的阶段．深入到了当前的最底层．即主引导扇区MBR层次。基于MBR的Rootkit又名Mebroot，早期测试版最早出现在2007年12月，随后迅速演化成一款具有完整功能的恶意软件产品。 展开更多

关键词 恶意软件 MBR ROOTKIT 主引导扇区 安全软件 软件产品 测试版

原文传递

菜乌版Exploit编写指南之五十三：Linux下巧妙构造shellCode实现远程控制

2

作者 小小杉 《黑客防线》 2009年第7期50-55,共6页

本文将首先讲述Linux下缓冲区溢出攻击的原理及实现技术，然后再过渡到如何巧妙构造精细的ShellCoe，并通过套接字绑定的ShellCoe展现它的魅力。虽然黑防有菜乌版来讲述缓冲区溢出，可能仍然有大部份读者不理解它的原理，甚至其基本的... 本文将首先讲述Linux下缓冲区溢出攻击的原理及实现技术，然后再过渡到如何巧妙构造精细的ShellCoe，并通过套接字绑定的ShellCoe展现它的魅力。虽然黑防有菜乌版来讲述缓冲区溢出，可能仍然有大部份读者不理解它的原理，甚至其基本的概念如ESP、EBP、E1P等都有可能误解了， 展开更多

关键词 编程 ShellConde 远控

原文传递

Kerberos安全协议解析与编程实现

3

作者 小小杉 《黑客防线》 2009年第7期58-63,共6页

看了近期的黑防，发现谈论安全协议的文章很少，基本上都是一些Hook各种API或者底层驱动方面的技术文章。本文将向大家介绍一种安全认证协议——Kerberos安全协议的基本原理，并通过编程实现向大家展示如何借助编码设计，简单实现此协... 看了近期的黑防，发现谈论安全协议的文章很少，基本上都是一些Hook各种API或者底层驱动方面的技术文章。本文将向大家介绍一种安全认证协议——Kerberos安全协议的基本原理，并通过编程实现向大家展示如何借助编码设计，简单实现此协议。本文的读者可以是信息安全科班出身的学生但又未涉及到Kerberos或者对安全协议感兴趣的任何读者，只要具有一定的安全编程知识即可。 展开更多

关键词 编程 协议 KERBEROS

原文传递

Windows注册表的电子取证分析技术

4

作者 小小杉 《黑客防线》 2009年第7期69-75,共7页

Windows系统的注册表是一个统一集中管理系统硬件设施、软件配置等信息的庞大数据库，其中存放着各种参数，直接控制着系统的启动、硬件驱动程序的加载以及一些Windows应用程序的运行。它容纳了应用程序和计算机系统的全部配置信息、系... Windows系统的注册表是一个统一集中管理系统硬件设施、软件配置等信息的庞大数据库，其中存放着各种参数，直接控制着系统的启动、硬件驱动程序的加载以及一些Windows应用程序的运行。它容纳了应用程序和计算机系统的全部配置信息、系统和应用程序的初始化信息、应用程序和文档文件的关联关系、硬件设备的说明、状态和属性以及各种状态信息和数据。对于计算机取证分析员而言，注册表提供了大量丰富的信息来源，包括各种计算机设置，以及识别安装软件到寻找网站密码等行动的信息。 展开更多

关键词 编程 电子取证 注册表

原文传递

基于NTFS文件系统的数据恢复程序设计

5

作者 小小杉 《黑客防线》 2009年第5期67-73,共7页

系统与数据恢复技术已经开始在一些高校的信息安全专业中开设．相信这将使得更多的学生不再畏惧数据恢复．因为笔者每次和同学谈论数据恢复技术程序设计与实现．大多数人都觉得很高深．其实这主要是因为没有真正的理解文件系统的内部结... 系统与数据恢复技术已经开始在一些高校的信息安全专业中开设．相信这将使得更多的学生不再畏惧数据恢复．因为笔者每次和同学谈论数据恢复技术程序设计与实现．大多数人都觉得很高深．其实这主要是因为没有真正的理解文件系统的内部结构原理．而只是在上操作系统课程时，略微学习了一些文件系统的组织结构、功能等．因而，就无从谈起数据恢复程序设计了。 展开更多

关键词 编程 NTFS文件系统 数据恢复

原文传递

内核级驱动对抗Hook ZwSetlnformationFile反删除技术

6

作者 小小杉 《黑客防线》 2009年第5期73-78,共6页

文件删除与保护一直都是大家谈论的焦点问题．针对如何保护磁盘上属于自己的专有文件，已经存在一些现成技术，比如信息隐藏技术。在2009年第3期上，笔者详细的谈论过有关基于有序规则的信息隐藏与加密技术，利用一些常见图片、视频等... 文件删除与保护一直都是大家谈论的焦点问题．针对如何保护磁盘上属于自己的专有文件，已经存在一些现成技术，比如信息隐藏技术。在2009年第3期上，笔者详细的谈论过有关基于有序规则的信息隐藏与加密技术，利用一些常见图片、视频等作为载体将文件嵌入其中，达到掩人耳目的目的。 展开更多

关键词 编程 驱动 文件反删除

原文传递

Detour补丁技术攻击Windows组策略

7

作者 小小杉 《黑客防线》 2010年第1期8-13,共6页

Detour补丁技术是在Hooking技术发展受限后（即通过比对系统调用表的散列值等方式，即可轻易被安全软件检测到）提出的一种新技术。Detour技术不再是对系统调用函数的简单替换，而是对系统内核中感兴趣的函数或内核模块进行Patching，... Detour补丁技术是在Hooking技术发展受限后（即通过比对系统调用表的散列值等方式，即可轻易被安全软件检测到）提出的一种新技术。Detour技术不再是对系统调用函数的简单替换，而是对系统内核中感兴趣的函数或内核模块进行Patching，在函数实现的内部加载部分精简指令，以获取程序执行流的控制权，转而执行我们的函数，在任务完成后再将控制权交回给原函数或内核模块，继续执行未完成的指令。 展开更多

关键词 WINDOWS 技术 补丁 组策略 PATCHING 调用函数 攻击 系统调用

原文传递

Ring3下实现恶意代码注入Linux内核

8

作者 小小杉 《黑客防线》 2009年第9期55-59,共5页

当前．Linux中已经存在的各种Rootkits,大都是借助可加载内核模块（LKM）来实现的．包括利用IDT实现系统调用的劫持技术来实现文件隐藏、进程隐藏、网络连接的隐藏及模块本身的隐藏等。但这种借助LKM实现的Rootkits,需要依赖操作系统内... 当前．Linux中已经存在的各种Rootkits,大都是借助可加载内核模块（LKM）来实现的．包括利用IDT实现系统调用的劫持技术来实现文件隐藏、进程隐藏、网络连接的隐藏及模块本身的隐藏等。但这种借助LKM实现的Rootkits,需要依赖操作系统内核模块的支持,若在目标机内核中并没有实现模块支持,那么这种Rootkits是无法加载到目标机中的。大家应该知道,在一台Linux计算机在编辑定制内核时,用户是可以选择是否添加可加载内核模块的支持的,当不选择此支持时,LKM是无效的。而且当前针对LKM实现的Rootkits已经很容易的被各种Rootkits检测工具检测出来,如完整性检测技术、针对攻击系统调用的检测技术等。 展开更多

关键词 编程 RING3 设备文件

原文传递

拦截Linux内核缺页异常实现System权限

9

作者 小小杉 《黑客防线》 2009年第9期59-64,共6页

近些年．Linux下出现了大量借助LKM技术实现的各种Rootkit，LKM技术也因其强大的内核修改及加载功能，得到了Hacker们的推崇。利用LKM可有效地实现文件隐藏、进程隐藏、网络连接隐藏等，但这种Rootkits极易检测，安全人员只需使用Ismod... 近些年．Linux下出现了大量借助LKM技术实现的各种Rootkit，LKM技术也因其强大的内核修改及加载功能，得到了Hacker们的推崇。利用LKM可有效地实现文件隐藏、进程隐藏、网络连接隐藏等，但这种Rootkits极易检测，安全人员只需使用Ismod或通过／proc／modules命令即可枚举出内核下已加载模块信息。之后，针对LKM被检测的问题，出现了各种对抗技术，如模块隐藏技术，在内核态下劫持sys_query_modules系统调用，有效隐藏已加载的恶意模块Ricardo Ouesada提出的修改特定系统调用前7个字节， 展开更多

关键词 编程 内核 权限

原文传递

系统取证中的网络事件行为调查分析技术

10

作者 小小杉 《黑客防线》 2009年第4期82-89,共8页

在大多数公司环境下，最常见的调查取证都是针对不恰当使用进行的，其中不恰当的网络；中浪行为调查最为普遍。目前，大多数企业及个人的网络活动都是采用微软的IE浏览器来实现的，它几乎占有了整个浏览器市场近92％的份额。IE浏览器存... 在大多数公司环境下，最常见的调查取证都是针对不恰当使用进行的，其中不恰当的网络；中浪行为调查最为普遍。目前，大多数企业及个人的网络活动都是采用微软的IE浏览器来实现的，它几乎占有了整个浏览器市场近92％的份额。IE浏览器存储了大量浏览活动记录，包括浏览过的历史网页、最近输入的URL链接，若开启了自动填表功能， 展开更多

关键词 编程 系统取证 index.dat

原文传递

自主研发基于文件系统的计算机反取证软件

11

作者 小小杉 《黑客防线》 2009年第8期88-95,共8页

计算机网络犯罪演化的各种技术与网络安全实施的各种防御技术之间的对抗，从来就没有停止过，相反，其对抗形势在不断的升级，每种安全技术的背后总会引起Cracker们更多的思索，即如何躲避各种安全技术的防御。

关键词 计算机网络犯罪 文件系统 自主研发 CRACKER 软件 防御技术 安全技术 网络安全

原文传递

基于有序规则的加密与信息隐藏技术

12

作者 小小杉 《黑客防线》 2009年第3期68-73,共6页

信息隐藏技术是将特定信息隐藏在数字化宿主信息如数字图像、音频及视频中的方法。在Internet上的信息通信非常容易被网络上的黑客窃取，导致泄密的可能，而且作为一般的用户通信，又不可能使用昂贵的专网进行通信，况且通信的双方通常... 信息隐藏技术是将特定信息隐藏在数字化宿主信息如数字图像、音频及视频中的方法。在Internet上的信息通信非常容易被网络上的黑客窃取，导致泄密的可能，而且作为一般的用户通信，又不可能使用昂贵的专网进行通信，况且通信的双方通常也是不定的。故很多用户为了使自己发送给接收方的信息不被恶意窃取与篡改，常常将机密信息经过一定的加工处理，如对原始信息加密、隐藏等技术处理，然后再将处理后的信息发送给接收方。 展开更多

关键词 编程 信息隐藏 水印

原文传递

Hook全局描述符表GDT实现进程隐藏

13

作者 小小杉 《黑客防线》 2009年第11期81-85,共5页

涉及内核的所有操作都需要Ring0级权限．因此．如何将Ring3级提升NRing0级一直是Hacker们关心的焦点。Windows将内核模式运行在CPU的Ring0级别，而将用户模式运行在CPU的Ring3级别。CPU除了负责跟踪为软件代码和内存分配Ring的情况，并... 涉及内核的所有操作都需要Ring0级权限．因此．如何将Ring3级提升NRing0级一直是Hacker们关心的焦点。Windows将内核模式运行在CPU的Ring0级别，而将用户模式运行在CPU的Ring3级别。CPU除了负责跟踪为软件代码和内存分配Ring的情况，并在各个Ring之间实施访问限制之外，还需要负责指定许多决策，如CPU必须决定当中断发生、软件程序崩溃、硬件发生错误、多线程程序切换等诸多异常情况。 展开更多

关键词 编程 GDT 进程

原文传递

Linux下基于日志文件的Ext3数据恢复程序设计

14

作者 小小杉 《黑客防线》 2010年第1期117-121,共5页

如何从目标主机中获取更多的有效电子证据．直接关系到是否能够对犯罪分子进行有效地打击。在静态的系统取证中（Power—offforensics）．数据恢复技术是一个核心的技术分支。犯罪分子在运用计算机实施犯罪时，总会在主机中留下或多或... 如何从目标主机中获取更多的有效电子证据．直接关系到是否能够对犯罪分子进行有效地打击。在静态的系统取证中（Power—offforensics）．数据恢复技术是一个核心的技术分支。犯罪分子在运用计算机实施犯罪时，总会在主机中留下或多或少的痕迹，如从网站上下载的攻击程序、访问过的恶意网页以及各种经济犯罪中双方往来的电子邮件、聊天记录等等。 展开更多

关键词 LINUX 程序设计 数据恢复 EXT3 日志文件 犯罪分子 恢复技术 电子证据

原文传递

Linux下利用调试寄存器Hook系统调用

15

作者 小小杉 《黑客防线》 2010年第2期117-120,共4页

Rootkit技术的演化，从应用级到内核级再发展为硬件级．每次演化都是一种技术的提升。应用级Rootkit主要通过替换Iogin、Is、ps、netstat等shell命令或者修改一些系统配置文件实现隐藏内核级Rootkit则主要是通过修改内核中的系统调用或... Rootkit技术的演化，从应用级到内核级再发展为硬件级．每次演化都是一种技术的提升。应用级Rootkit主要通过替换Iogin、Is、ps、netstat等shell命令或者修改一些系统配置文件实现隐藏内核级Rootkit则主要是通过修改内核中的系统调用或者系统调用函数中嵌套的更为底层的函数以实现有效拦截． 展开更多

关键词 编程 HOOK ROOTKIT 寄存器

原文传递

自主开发专业 数据恢复软件

16

作者 小小杉 《黑客防线》 2009年第1期130-134,共5页

计算机取证技术在国内逐渐引起重视．取证技术主要涉及到：从目标机中提取证据、存储证据、分析证据、归档并呈堂的过程。当前国内外主要的取证技术涉及到三个方面的研究与开发磁盘研究与分析．如通过磁盘映像拷贝、分析被删除数据的恢... 计算机取证技术在国内逐渐引起重视．取证技术主要涉及到：从目标机中提取证据、存储证据、分析证据、归档并呈堂的过程。当前国内外主要的取证技术涉及到三个方面的研究与开发磁盘研究与分析．如通过磁盘映像拷贝、分析被删除数据的恢复和查找、分析网络事件行为等工具软件的开发研制.动态取证技术研究．结合入侵检测、防火墙、网络侦听等网络安全产品获取相关网络事件作为辅助分析手段：密码分析、邮件监控、数字水印（信息隐藏技术）等安全热点的研究。 展开更多

关键词 编程 文件系统 数据恢复

原文传递

Linux下劫持系统调用的几种方式

17

作者 小小杉 《黑客防线》 2009年第6期94-98,共5页

在黑防上看到大量的文章都是在windows下针对Hook SSDT、Shadow SSDT表来劫持Native API等做文章，那么在Linux系统下，又是怎样的情形呢7实际上，我们同样可以通过一些手段来劫持系统调用，从而获得内核级特权。Linux操作系统为了内核... 在黑防上看到大量的文章都是在windows下针对Hook SSDT、Shadow SSDT表来劫持Native API等做文章，那么在Linux系统下，又是怎样的情形呢7实际上，我们同样可以通过一些手段来劫持系统调用，从而获得内核级特权。Linux操作系统为了内核安全性考虑，在用户态和内核态之间增加了所谓的系统调用层，即每次用户需要操作内核下的资源时，必须借助系统提供的系统调用才能获取。显然，只要我们能够去截获这些系统调用，必然能很好地进入内核态，即获得内核级特权。 展开更多

关键词 编程 系统劫持 系统调用

原文传递

键盘过滤驱动实现击键消息的神秘捕获

18

作者 小小杉 《黑客防线》 2009年第6期99-106,共8页

最近笔者在研究文件系统过滤驱动时，在www．rootkit．com网站上看到一篇有关键盘过滤驱动的文章．是Clandestiny的杰作，题目为《Designing A Kernel Key Logger》。仔细地品味了一番．觉得写得很不错，可以说是驱动初学者们用来理解... 最近笔者在研究文件系统过滤驱动时，在www．rootkit．com网站上看到一篇有关键盘过滤驱动的文章．是Clandestiny的杰作，题目为《Designing A Kernel Key Logger》。仔细地品味了一番．觉得写得很不错，可以说是驱动初学者们用来理解驱动中很多关键因素的极好例子。其中，涉及到内核级系统线程的创建、内核级的双端链表结构的使用、互斥锁机制、内核级信号量机制、中断IRQL级别的使用、分层过滤驱动的理解等等。 展开更多

关键词 编程 键盘过滤 分层驱动

原文传递

利用LKM加载内核级线程实现特权级通信

19

作者 小小杉 《黑客防线》 2009年第6期106-112,共7页

对Linux有所接触的读者应该知道,Linux采用的是整体、单一式的内核结构，这种结构的特点是内核一般不能动态的增加新功能，其扩展性能差。为此，Linux提供了一种全新的机制，即可加载内核模块LKM，此机制可以根据需要，在不必对内核重... 对Linux有所接触的读者应该知道,Linux采用的是整体、单一式的内核结构，这种结构的特点是内核一般不能动态的增加新功能，其扩展性能差。为此，Linux提供了一种全新的机制，即可加载内核模块LKM，此机制可以根据需要，在不必对内核重新编译的情况下，将LKM插入到运行中的内核。此机制虽然有效解决了LinuX内核可扩展性的问题， 展开更多

关键词 编程 LINUX内核 线程

原文传递

Linux下拦截系统调用实现Root权限的新思路

20

作者 小小杉 《黑客防线》 2009年第10期89-92,共4页

对操作系统有所了解的读者应该知道，Ring3下的用户程序若要访问内核数据结构，需要调用操作系统为其提供的系统调用函数来实现Ring3至Ring0级别的切换。在Linux2．4内核中，用户态程序在请求内核态资源完成特定功能时，CPU首先需要从... 对操作系统有所了解的读者应该知道，Ring3下的用户程序若要访问内核数据结构，需要调用操作系统为其提供的系统调用函数来实现Ring3至Ring0级别的切换。在Linux2．4内核中，用户态程序在请求内核态资源完成特定功能时，CPU首先需要从中断描述表IDT中取出对应的门描述符，判断门描述符种类（中断门、 展开更多

关键词 编程 ROOT权限 系统调用

原文传递