分享比较完整的ROOTKIT DEMO!原来Shadow Hook和SSDT Hook一样容易!
标 题: 分享比较完整的ROOTKIT DEMO!原来Shadow Hook和SSDT Hook一样容易!
作 者: embedlinux(E-mail:hqulyc@126.com QQ:5054-3533)
时 间: 2008-08-05
链 接:
这里写的ROOTKIT比较简单(有些代码是消化别人的代码后改写过来的),高手跳过.......
包含以下内容:(详细请看源代码)
SSDT Hook
//hook system call
#define HOOK_SYSCALL(FuncName, pHookFunc, pOrigFunc ) \
pOrigFunc = (PVOID)InterlockedExchange( \
(PLONG)&MappedSystemCallTable[ SYSCALL_INDEX(FuncName) ], \
(LONG)pHookFunc)
//unhook system call
#define UNHOOK_SYSCALL(FuncName, pHookFunc, pOrigFunc ) \
InterlockedExchange( \
(PLONG)&MappedSystemCallTable[ SYSCALL_INDEX(FuncName) ],\
(LONG)pOrigFunc)
SSDT HOOK了如下函数:
ZwQueryValueKey
ZwEnumerateValueKey
ZwQueryDirectoryFile
ZwOpenProcess
ZwDeleteKey
ZwDeleteValueKey
ZwSaveKey
ZwLoadDriver
ZwSetSystemInformation
ZwTerminateProcess
Shadow Hook
仿照SSDT HOOK,下面定义两个宏,让Shadow Hook和SSDT Hook一样简单!
//hook shadow system call
#define HOOK_SHADOW_SYSCALL(SysCallIndex, pHookFunc, pOrigFunc ) \
pOrigFunc = (PVOID)InterlockedExchange( \
(PLONG)&MappedSystemCallTable[ (SysCallIndex) ], \
(LONG)pHookFunc)
//unhook shadow system call
#define UNHOOK_SHADOW_SYSCALL(SysCallIndex, pHookFunc, pOrigFunc ) \
InterlockedExchange( \
(PLONG)&MappedSystemCallTable[ (SysCallIndex) ],\
(LONG)pOrigFunc)
上周一接到腾讯的电话面试,由于有一段时间没研究HOOK了,问到Shadow Hook时没回答好!汗!
现在把Shadow Hook重新整理了一下!
Shadow Hook了如下函数,程序框架比较好,容易加入新挂钩函数
NtUserFindWindowEx
NtUserGetForegroundWindow
NtUserQueryWindow
NtUserBuildHwndList
NtUserWindowFromPoint
NtUserSetWindowsHookEx
NtUserGetDC
NtUserGetDCEx
NtUserSendInput
为了保护进程,研究了终止进程的方法
WINDOWS内核定时器
老土的文件/目录隐藏
注册表键值隐藏
驱动隐藏
系统线程
IRP文件操作
多种加载内核级ROOTKIT方法
Ring3中恢复SSDT(ZwSystemDebugControl)
从资源释放文件
远程进程注入
消息钩子注入DLL
查找窗口
查找进程
注意:不要随便运行程序,最好在虚拟机下运行!此程序仅供学习WINDOWS内核驱动编程用!
在自己的ntddk.h中的结构IO_STACK_LOCATION添加如下代码才能顺利通过编译:
//Parameters for IRP_MJ_DIRECTORY_CONTROL
struct {
ULONG Length;
PUNICODE_STRING FileName;
FILE_INFORMATION_CLASS POINTER_ALIGNMENT \
FileInformationClass;
} QueryDirectory;
没有合适的资源?快使用搜索试试~ 我知道了~
分享比较完整的ROOTKIT DEMO
共85个文件
obj:23个
h:17个
c:10个
需积分: 6 3 下载量 24 浏览量
2012-06-26
23:23:52
上传
评论 1
收藏 503KB RAR 举报
温馨提示
这是看雪论坛一个用户的源码,特在此收藏供以后使用。
资源推荐
资源详情
资源评论
收起资源包目录
CCRootkit-V0.1.rar (85个子文件)
CCRootkit
RootkitDll
Release
RootkitDll.cpp 5KB
RootkitDll.dsp 3KB
RootkitDll.plg 1KB
Release
RootkitLoader
RootkitLoader.dsp 5KB
LoadDriver.cpp 10KB
Release
Rootkit.sys 22KB
ReSSDT.cpp 10KB
Rootkit.dll 44KB
LoadDriver.h 828B
FindWindow.cpp 8KB
RootkitLoader.opt 48KB
ReleaseFile.h 772B
FindWindow.h 521B
RemoteInject.cpp 6KB
RootkitLoader.cpp 7KB
ReSSDT.h 2KB
Rootkit.rc 240B
FindProcess.h 729B
ReleaseFile.cpp 5KB
RemoteInject.h 714B
RootkitLoader.ncb 105KB
RootkitLoader.dsw 551B
RootkitLoader.plg 2KB
FindProcess.cpp 6KB
Rootkit.bbs 137B
RootkitSys
HookSysCall.h 7KB
HookSSDT.h 6KB
SOURCES 323B
objfre_wxp_x86
_objects.mac 1KB
i386
killprocess.obj 23KB
hooksyscall.obj 55KB
notifyroutine.obj 40KB
irpfile.obj 64KB
hideregkey.obj 14KB
loadimagenotify.obj 40KB
systhread.obj 9KB
rootkitdriver.obj 46KB
HideRegKey.h 2KB
HookShadowSSDT.h 6KB
objchk_wxp_x86
_objects.mac 2KB
i386
killprocess.obj 23KB
hooksyscall.obj 12KB
rootkit.obj 39KB
notifyroutine.obj 11KB
ccrootkit.obj 52KB
irpfile.obj 71KB
restoressdt.obj 22KB
hideregkey.obj 14KB
loadimagenotify.obj 40KB
SysThread.pdb 83KB
hookshadowssdt.obj 38KB
dkomhidedriver.obj 34KB
systhread.obj 11KB
hookssdt.obj 40KB
SysThread.sys 4KB
rootkitdriver.obj 46KB
hidedriver.obj 34KB
CCRootkit.h 963B
MAKEFILE 267B
CCRootkit.c 6KB
RestoreSSDT.h 550B
HookSSDT.c 24KB
buildchk_wxp_x86.log 3KB
NotifyRoutine.h 1KB
HideRegKey.c 6KB
HookShadowSSDT.c 20KB
IrpFile.c 43KB
KillProcess.h 6KB
HideDriver.h 872B
KillProcess.c 14KB
buildfre_wxp_x86.log 3KB
SysThread.h 825B
HideDriver.c 1KB
RestoreSSDT.c 10KB
NotifyRoutine.c 6KB
IrpFile.h 12KB
SysThread.c 2KB
CCROOTKIT-README.txt 2KB
buildchk_wxp_x86.log 45B
Rootkit.opt 57KB
BIN
RootkitLoader.exe 113KB
Rootkit.ncb 193KB
i386
Rootkit.sys 22KB
Rootkit.pdb 187KB
Rootkit.dsw 773B
共 85 条
- 1
资源评论
myvs01
- 粉丝: 2
- 资源: 15
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功