问题标签 [rootkit]

我想用一个干净的堆栈调用一个函数，它可以切断调用堆栈。

====================伪代码开始============================ =====

stackBaseAddress = 通过 NtCurrentTeb 查找堆栈基地址

stackCurrentSize = stackBaseAddress - esp

备份堆栈

memset(esp, 0, stackCurrentSize)

MessageBoxA(0, "1", 0, 0) <== 这里有问题，MessageBoxA 失败，GetLastError == 0

恢复堆栈

==============================伪代码结束=================== ===================

如果没有 memset(esp, 0, stackCurrentSize)，一切顺利。

所以我认为堆栈中一定有一些不能擦除的东西，但是什么？

目前参与了一个大学项目，并且可以从成员那里获得有关为 Android 设计的 rootkit 的任何帮助。

我对 Android 恶意软件知之甚少，到目前为止，该项目已经让我们反编译 apk 以查看 java 类文件（如果可读）和 AndroidManfiest.xml 文件。我还设法在 uni lab 中使用各种 adb 命令将手机植根，并将文件推送到手机上。

我想知道的是，在类文件中发现恶意 rootkit 代码是否相对容易？有什么我可以注意的吗？是获得 su 状态还是涉及添加用户？假设下一阶段是联系服务器，以便开发人员可以远程访问..

此外，是否有系统或服务可以处理 apk 以发现它是否包含 rootkit（不仅仅是恶意）？

回复：

嗨，很抱歉回复晚了 - 尝试立即回复，但由于我是新手，所以不被允许，但后来忘记了！

谢谢（你的）信息！我很欣赏我可能听起来很天真，但我想我必须看到，因为我对 rootkit 或它们的工作方式一无所知..

你是对的，他们不是在询问第 3 方扫描仪，这只是我的兴趣。那么关于那个话题，你是说那里有专门在样本中寻找 rootkit 的扫描仪吗？或者这种检测是他们提供的整体 AV 服务的所有部分。如果仅针对 rootkit，那么我真的很想知道哪些，所以我可以研究它们。

另外，关于漏洞利用 - 我假设您的意思是 Android 操作系统中的漏洞？这是否意味着当从 Google 推出补丁更新时，rootkit 将无法运行？

谢谢

向用户隐藏进程的一种流行方法是劫持 /proc 目录的迭代函数。这可以按如下方式完成：

我正在研究一种检测方法，我想恢复原来的迭代函数（假设它已经被劫持了）。有没有办法找到用于 /proc 目录的原始迭代函数？

我在终端中找到了一个名为 ~$E THINKERS.docx 的文件，我尝试使用 rm 命令将其删除，但它一直告诉我找不到这样的文件。我认为它是一个 rootkit，因为我的防病毒软件没有检测到它。任何人都可以帮我删除它吗？

我已经了解了rootkit 然后，我尝试练习示例代码，但是，我无法构建wdm驱动程序（只能KMDF）所以，我搜索了很多网站，但文档已经过时了

你能告诉我用VS 2013学习的方式或一些好地方吗？

（或者，使用 KMDF 的 rootkit 教程的好例子）

代替找到任何解决方法来将我的主要标准 Fedora 23 安装（如果有帮助，默认 SELinux）与 BitBucket 的 SSH 身份验证墙进行密钥配对，我一直在努力安装 Smartgit，但目前的修订版似乎无论如何都不能适用于 JRE我导出到 $PATH 的副本数。我的希望是，如果我弄清楚 Smartgit，我可以让他们的 Oauth 实现完成繁重的工作。我一直在为此争论很久，我什至提议免费构建 Syntevo 一些 RPM。

那么有没有人为在 F23 中获取 Smartgit 定义了一个可靠的工作流程？尽管我对 VM 或代码球相关的解决方案持开放态度，但我还没有准备好或愿意做发行版更新的回溯。

我强烈怀疑我最初的需求与 Ebury Windigo SSH 漏洞有关的一件事；我认为某些东西构成了一些新僵尸网络的路由后端。我发现我的 F23 安装受到 chkrootkit 的影响，我现在知道的是，通过 GKSU 权限禁用远程 SSH 登录权限修复了它造成的网络瓶颈。如果可以，我将发布 SSH 蠕虫本身的解决方案。如果有人有一个干净的 gpg-checksum'd lib-keyutils 副本，我应该能够发布一个答案，让每个人都舒适地呆在他们的终端中，而不是这些松散的客户。

我通过 SSH 联系过的唯一 2 台主机是 Bitbucket 和 Github：如果有任何 *Nix 或 OSX 用户可以这样做，我强烈建议在补丁发布之前或至少在 SSH 可以解决这些漏洞之前避免使用这些主机。或者直到可以验证他们至少不允许这样的注射。我们还不知道这是从哪里来的。这个蠕虫已经被版本化并通过大量上游存储库递归地传播，我可以肯定地说。

我应该补充一点，我仍在等待 Syntevo 支持人员对此的回复。从规范的角度来看，Fedora 社区似乎存在某种程度的普遍讨厌。

我尝试在 Android 4.4.4 中挂钩 sys_call，内核版本为 3.4。我使用 LKM 来完成。首先，我尝试挂钩 sys_write 以获取发送短信或拨号行为。这是我的挂钩 sys_write 代码。

实际上，我可以在发送短信或拨打号码时捕获信息，但无法获取有关短信内容的详细信息。（有趣的是，当我拨号时，printk 是 ADT=Tel 号码，为什么...？） urm.. .然后我尝试在收到短信或电话时挂钩 sys_read 以捕获信息，但结果为空。这是我的挂钩 sys_read 代码：

无法捕获关键字“AT+CLCC”或“AT+CMGR”，结果什么都没有。所以，为什么我无法获取信息以及如何解决？请帮助我，谢谢。

我使用以下代码创建了一个挂钩 Win7-32​​bit SSDT 表的驱动程序。它直接取自 Greg & Jamie 的书。请注意，我什至不从 main 调用挂钩代码：

main.c http://pastebin.com/Ck8FSVbv

SSDT_Hook.h http://pastebin.com/y1ssD1ni

当我尝试加载它时，sc.exe 返回错误 2。

但我不知道为什么。找不到答案是类似的问题。

我变得偏执，运行 chkrootkit 和 rkhunter 来扫描 rootkit。看起来 chkrootkit 没有发现任何东西，但 rkhunter 返回了一些警告。我认为很多可能是误报，但我最担心的是“可能的 rootkit 字符串”和三个可疑文件。任何解释将不胜感激！谢谢！

日志文件中的警告：

这是一个很难在网上解释的问题，但我不知道发生了什么，我真的需要帮助，所以就这样吧！

基本上，我已经编写了一个安全软件（作为内核驱动程序），它最终将挂钩 Windows XP - 32 位的 SSDT（系统服务描述符表）中的每个方法。每次进行系统调用时，我都会将其记录在一个文件中。

当我挂钩 ZwOpenFile 时出现了我的问题，因为这是我的代码也用来打开日志文件以写入它的系统调用。所以我得到了一个内核堆栈溢出错误，因为有些东西会调用 ZwOpenFile，然后我会尝试记录它，我的记录器（它是我的驱动程序的一部分）然后会调用 ZwOpenFile，然后它会调用 ZwOpenFile 等等，直到我填满堆栈足够导致蓝屏死机。

为了解决这个问题，我决定，每次调用 logger 函数时，它还将提供一个指向旧的、未挂钩的 ZwOpenFile 函数的指针，以便它可以直接调用它，而不是通过我的挂钩函数并创建一个递归混乱。但是，当记录器调用作为参数提供的 ZwOpenFile 函数指针时，它会收到 STATUS_INVALID_PARAMETER 错误。如果直接调用 ZwOpenFile（而不是通过指针），它就可以完美地工作！但是，当调用指向具有相同参数的函数的指针时，它会抛出 STATUS_INVALID_PARAMETER 错误代码！但是，指针必须指向正确的函数，否则它不会抛出此 Windows 错误消息。这里'

更重要的是，所有的钩子函数都在喷出 c000000d 错误（使用 DbgPrint），但是一两次，它确实成功了......任何帮助或建议将不胜感激！