稳定盈利的期货交易方法-量化趋势交易

alantop -专业量化投资者

爱好:量化投资,逆向工程,渗透
随笔 - 595, 文章 - 0, 评论 - 921, 引用 - 0
数据加载中……

要开发的内核级后门程序

rootkit内核级后门 利用线程注射DLL到系统进程,解除DLL映射,并删除自身DLL和EXE文件,删除自身创建的服务,仅仅存在于内存中。于是在寄主机器上无法找到任何新增服务项,磁盘文件或者是进程空间里的不明DLL。关机时,该程序会截获关机的调用,在系统关闭之前恢复自己。 无文件无进程无服务无DLL不开任何端口,可以直连系统135,445,80等端口。运行后将躲开所有杀毒软件的查杀,中招后只能用GHOST还原或重装系统!是个定级货危害很大

先用WebCrazy的文章,再看看《Windows Internals》、《Undocumented Windows 2000 Secrets》等,备一本《Windows NT Native API》参考参考。

posted on 2006-04-13 02:21 AlanTop 阅读(336) 评论(4)  编辑 收藏 引用

评论

# re: 目前要开发的东西  回复  更多评论   

既然运行后仅存在于内存中,似乎简单按一下Reset键就可以干掉了。。。我一般查询到自己中木马以后,清理掉启动项以后都是直接按Reset,还挺有效。
2006-04-13 13:12 | 芋头

# re: 目前要开发的东西  回复  更多评论   

万一用户系统突然崩溃,好不容易安装的后门岂不是自动清除了?呵呵
2006-04-13 13:49 | cf

# re: 目前要开发的东西  回复  更多评论   

谢谢提醒,你的建议,我将考虑
2006-04-13 15:49 | alantop0

# re: 要开发的内核级后门程序  回复  更多评论   

真是戏剧 你的思路在2004年就有人实现过了 还开发呢 源码网上都能找到 非常规重启就能简单的清楚掉了
多学点PE结构 这方面动点手脚小伙子 这才是主流思路
2006-10-18 10:00 | beek

只有注册用户登录后才能发表评论。
网站导航: 博客园   IT新闻   BlogJava   博问   Chat2DB   管理