用户态rootkit之inline hook

最新推荐文章于 2026-06-28 15:28:39 发布
原创 最新推荐文章于 2026-06-28 15:28:39 发布 · 878 阅读 · 2

前言

Rootkit是我从大一就听说过的技术,不过那个时候几乎是0基础,也完全不懂这是个什么玩意儿,其实到现在我也不懂rootkit是如何修改内核层和隐藏自己的,不过最近在学习用户态的rootkit,倒是了解了一番,做个笔记。

 

用户态Rootkit的种类

首先我了解的用户态的rootkit是分为两种,一种是IAT hook,还有一种就是inline hook。解释一下,rootkit不同于其他恶意代码的地方简单的说,我的理解就是可以非常好的隐藏自己,所以在rootkit中会用到一种常见的技术叫做hook技术。

 

IAT hook

这种方法是比较容易理解的,因为在windows系统中,每一个程序都会有导入表,导出表,而程序调用一些函数也是通过导入表,然后跳转函数的真实地址(DLL中)并执行函数,所以这种方法就是直接修改IAT表,修改某个函数的地址为恶意代码的地址然后在跳转回真实的函数,执行,就完美的运行了恶意代码,而且程序看起来并不会有什么异常

 

原谅我这个垃圾画画水平

Inline hook

Inline hook简单的说就是修改api函数的代码,不过要先将函数的前几个字节改为跳转指令,跳转到恶意代码处,恶意代码的最后一部分是原函数被修改的指令跳转到原函数的指令。


通过一个小程序来看

 

首先图中有三个函数,第一个函数和第三个函

最低0.47元/天 解锁文章
bj9532
关注
Rootkit端口隐藏技术_rootkithook_hook_rootkit_creature2ka_隐藏驱动
09-11
ROOTKIT 利用hook技术可以隐藏指定的端口 需要以驱动加载的形式把hook加载进内核 这里利用了insdrv工具
WIN64位驱动 InLine_HOOK框架
12-28
Win64 和 Win32 都可用的内核 InLineHook 框架,网上找的感觉都很麻烦, 这个感觉比较清晰明了, 但也有不足之处 就是修改函数头部时 不够完美;但是日常使用感觉足够了.
r77-Rootkit后渗透技战术分析
m0_71746299的博客
02-13 2786
r77-Rootkit是一个Ring3级别的RootkitRootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。Rootkit并不一定是用作获得系统root访问权限的工具。比起攻击,Rootkit更倾向于被使用于隐藏踪迹和保留root访问权限的工具。
rootkit概述
热门推荐
小冰球
12-07 1万+
这个是摘自微信公众号里面的文章; rootkit是一个复合词,由root和kit两个词组成。root是用来描述具有计算机最高权限的用户。另一方面,kit被Merrian-Webster定义为工具和实现的集合。因此,rootkit是一组能获得计算机系统root或者管理员权限对计算机进行访问的工具。但在恶意软件领域,我们将rootkit定义为一组在恶意软件中获得root访问权限、完全控...
分布式计算中的哈密顿分解与All-Reduce优化
weixin_33672400的博客
05-27 549
在分布式计算系统中,图论中的哈密顿分解技术被广泛应用于优化节点间的通信拓扑。通过将完全图分解为多个不重叠的哈密顿环,可以显著提升通信效率。这一原理与All-Reduce算法结合,能够实现高效的梯度聚合,特别是在大规模深度学习训练中。All-Reduce作为分布式计算的核心通信原语,其性能直接影响训练速度。现代系统如RailX架构通过高维异构拓扑和并行映射策略,进一步优化了通信效率。这些技术在GPU集群和超大规模训练场景中展现出显著优势,例如在NVLink和InfiniBand组合的硬件环境下,实测带宽利用率
Rootkit检测技术发展现状
sangfor_edu的博客
04-14 1979
Rootkit 这一概念最早出现于上个世纪九十年代初期,CERT Coordination Center(CERT/CC) 于1994年在 CA-1994-01 这篇安全咨询报告中使用了 Rootkit 这个词汇。在这之后 Rootkit 技术发展迅速,这种快速发展的态势在 2000 年达到了顶峰。2000年后,Rootkit 技术的发展也进入了低潮期,但是对于 Rootkit 技术的研究却并未停滞。在 APT 攻击日益流行的趋势下,Rootkit 攻击和检测技术也同样会迎来新的发展高潮。 在往期的Roo
使用rkhunter检测Linux的rootkit
qq_39045558的博客
10-13 1945
转载来源 :使用rkhunter检测Linux的rootkit :https://blog.csdn.net/qq_40907977/article/details/105364818?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522160248804519724836741748%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fall.%2522%257D&req..
病毒分析教程第六话--高级病毒分析(中)
安全杂货铺
12-10 987
高级病毒分析(中) 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm Lab 11-2 本节实验使用样本Lab11-02.dll和Lab11-02.ini。 这个恶意DLL导出了什么? 使用rundll32.exe安装这个恶意代码后,发生了什么? 为了使这个恶意代码正确安装,Lab11-02.ini必须放置在何处? 这个安装的恶意...
Linux内存取证实战:从原理到工具,系统化检测用户态与内核态Rootkit
weixin_34195546的博客
06-28 310
内存取证是数字取证领域的关键技术,它通过分析系统运行时内存中的易失性数据,来揭示恶意活动的真实痕迹。其核心原理在于,操作系统和所有进程的代码、数据、网络连接及内核结构都必须在内存中加载和执行,这为检测高级威胁提供了不可篡改的“现场快照”。这项技术的核心价值在于对抗那些能够逃避传统基于文件和日志检测的深度隐藏威胁,例如Rootkit。在应用场景上,它尤其适用于应急响应、恶意软件分析和系统安全审计。本文将聚焦于Linux环境,深入探讨如何利用内存取证技术,系统性地检测和分析用户态与内核态的Rootkit,涵盖从
Linux系统Rootkit检测与应急响应实战指南
weixin_33711647的博客
06-28 379
系统安全是运维工作的基石,而Rootkit作为一种高级威胁,通过篡改内核或系统调用来隐藏自身活动,对系统完整性构成严重挑战。其工作原理通常涉及挂钩关键系统调用、过滤进程与文件信息,从而绕过常规监控工具。从技术价值看,掌握Rootkit检测方法不仅能有效应对安全事件,更是提升系统纵深防御能力的关键。在实际应用场景中,运维人员常面临进程、网络连接或文件异常却无法通过ps、netstat等命令定位的困境,这正是Rootkit隐藏机制的典型表现。本文聚焦于应急响应,系统性地介绍了从建立可信检查基准、分层排查到内存取
3步掌握OpenArk:Windows内核级Rootkit检测实战指南
gitblog_07981的博客
06-06 415
你是否曾怀疑自己的Windows系统被Rootkit(内核级恶意软件)入侵,却苦于没有合适的检测工具?OpenArk作为新一代开源反Rootkit工具,为你提供了从进程管理到内核监控的完整解决方案。本文将带你深入了解OpenArk的核心功能,掌握Windows系统底层安全分析的实战技巧。 ## 为什么Windows系统需要专业级Rootkit检测工具? Rootkit是安全威胁中最难检测的类型
Linux内核Rootkit检测:从系统调用挂钩到DKOM与eBPF的对抗实践
最新发布
转些好文章,促进分享。
06-28 539
系统调用是操作系统内核为用户空间程序提供服务的核心接口,其安全直接关系到整个系统的完整性。通过挂钩系统调用表或内核函数指针,恶意代码可以篡改内核执行流,实现进程、文件或网络连接的隐藏,这种技术被称为内核Rootkit。其技术价值在于能够以最高权限实现持久化、隐蔽的入侵,对服务器安全构成严重威胁。在云计算和容器化等应用场景中,内核安全尤为重要。本文聚焦于检测此类威胁,深入分析了系统调用表挂钩、DKOM(直接内核对象操作)以及滥用eBPF等现代Rootkit技术,并提供了基于完整性校验、行为分析和跨视图比对的实
内核三步走实现Inline Hook
06-18
内核三步走实现Inline Hook,介绍如何挂钩内核函数的模版
Windows软件逆向工程实战:从API Hook到内存补丁的对抗技术解析
aobu0171的博客
06-23 317
软件逆向工程是分析程序内部逻辑、理解其工作原理的核心技术,广泛应用于安全研究、漏洞分析和软件兼容性开发。其基本原理是通过静态分析与动态调试相结合,解析程序的二进制代码、数据结构与执行流程,定位关键控制点。在Windows平台下,这项技术的核心价值在于深入理解用户态与内核态的交互机制,如API挂钩、进程注入和内存保护等系统底层原理。典型的应用场景包括恶意软件分析、软件兼容性修复、以及教育环境下的技术研究。本文以特定教学管理软件的控制机制为案例,深入探讨如何通过逆向工程定位内存状态标志、恢复被修改的API函数(
整理Windows 全架构 Hook 技术图谱:从 Ring3 到固件层 34 种实现
2503_90751938的博客
06-02 207
/ 在恶意 PCIe 设备的固件中:// 扫描物理内存,定位 Windows 内核// 定位目标函数(通过特征码匹配)// 通过 DMA 直接写入物理内存// 绕过 CPU 的 MMU/EPT,没有任何权限检查// 或者更隐蔽:修改页表来实现类似 PTE Hook 的效果Windows Hook 技术经过 20+ 年的进化,已经从简单粗暴的 IAT 修改,发展到需要理解 Intel VT-x 手册才能实现的 EPT 量子级技术。用户态被拦 → 进内核。
内核攻防:深入解析进程隐藏技术与检测之道
专注于网络安全攻防技术与安全运营(SecOps)实践。
09-24 907
本文深入剖析了进程隐藏技术的内核攻防对抗,聚焦API Hooking和DKOM两大核心技术。在API Hooking部分,详细解构了SSDT HookInline Hook的实现原理,并揭示现代PatchGuard机制的防御策略;在DKOM部分,系统阐述了EPROCESS断链、线程隐藏等高级技术,提出交叉视图验证的反制方法。文章还探讨了虚拟化Rootkit等前沿威胁,强调多层次行为分析在端点安全中的重要性。通过内核级技术细节的深度解析,展现了进程隐藏与反隐藏的尖端攻防博弈,为构建纵深防御体系提供专业指导。
KiFastCallEntry系统调用拦截与内核重载技术深度分析
2401_86176947的博客
12-06 661
基于内核重载和内联挂钩的高级拦截技术。该技术通过在内存中手动加载一份纯净的内核镜像,构建伪造的系统服务描述符表并修改 KiFastCallEntry 的执行流,实现了对系统调用的隐蔽监控与过滤
OpenArk:Windows内核级系统安全与深度分析工具实战指南
06-19 389
系统安全与内核分析是理解操作系统底层运行机制、排查恶意软件和进行逆向工程的核心领域。其原理在于通过直接访问系统内核数据结构与API,绕过用户态抽象层,实现对进程、线程、模块、句柄及内核对象的深度洞察。这项技术的价值在于能够有效对抗高级威胁,如Rootkit和无文件攻击,为安全分析、应急响应和系统调试提供不可替代的视角。应用场景广泛覆盖恶意软件分析、系统异常排查、漏洞研究以及软件行为监控。本文聚焦于OpenArk这一开源工具,它凭借其无驱化架构实现了内核级深度检测,并通过一体化关联视图整合了进程管理、句柄分析
计算机扫盲(下篇)
2504_94717629的博客
06-01 272
由于篇幅问题这篇文章被迫分成上下两篇建议反复上下对比着看,能应付生活中的使用就行。不是学操作系统的不用了解太深。实在不会就喂给ai帮你理解。逆向工程 = 通过分析程序的二进制文件,理解它的行为和逻辑。正常开发:源代码 → 编译 → 可执行文件 逆向工程:可执行文件 → 反汇编/反编译 → 理解逻辑5.2.1 指令与机器码1. 指令的组成 机器码格式(x86/x64):必会的汇编指令2. 常见寄存器3. 汇编代码中的栈重要观念:函数调用时生成的栈帧,在汇编层面根本不是一个必须存在的“结构”。, , , 等指
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值