Rootkit For Windows:Rookit技术资料

互联网 | 编辑: 杨剑锋 2007-08-20 09:15:00转载一键看全文

文件隐藏 4 文件隐藏。
在WINNT里在某些目录中寻找某个文件的方法是枚举它里面所有的文件和它的子目录下的所有文件。文件的枚举是使用NtQueryDirectoryFile函数。
NTSTATUS NtQueryDirectoryFile(
IN HANDLE FileHandle,
IN HANDLE Event OPTIONAL,
IN PIO_APC_ROUTINE ApcRoutine OPTIONAL,
IN PVOID ApcContext OPTIONAL,
OUT PIO_STATUS_BLOCK IoStatusBlock,
OUT PVOID FileInformation,
IN ULONG FileInformationLength,
IN FILE_INFORMATION_CLASS FileInformationClass,
IN BOOLEAN ReturnSingleEntry,
IN PUNICODE_STRING FileName OPTIONAL,
IN BOOLEAN RestartScan
);

在《The Undocumented Functions-Microsoft Windows NT_2000》中对这些参数的描述
FileHandle
HANDLE to File Object opened with FILE_DIRECTORY_FILE option and FILE_LIST_DIRECTORY access.
Event
Optional HANDLE to Event Object signaled after query complete.
ApcRoutine
Optinal pointer to user's APC routine queued after query complete.
ApcContext
Parameter for ApcRoutine.
IoStatusBlock
IO result of call.
FileInformation
User's allocated buffer for output data.
Length
Length of FileInformation buffer, in bytes.
FileInformationClass
Information class. Can be one of:
FileDirectoryInformation
FileFullDirectoryInformation
FileBothDirectoryInformation
FileNamesInformation
FileOleDirectoryInformation
ReturnSingleEntry
If set, only one entry is returned.
FileMask
If specified, only information about files matches this wildchar mask will be returned.
RestartScan
Used with ReturnSingleEntry parameter. If set, NtQueryDirectoryFile continue enumeration after last enumerated element in previous call. If no, returns the first entry in directory.

与隐藏文件相关的重要参数是FileHandle,FileInformation,FileInformationClass.
FileInformationClass中的相关信息过多，只说其中重要的四个。
FileDirectoryInformation
FileFullDirectoryInformation
FileBothDirectoryInformation
FileNamesInformation

要写入FileInformation的FileDirecoryInformation记录的结构:

typedef struct _FILE_DIRECTORY_INFORMATION {
ULONG NextEntryOffset;
ULONG Unknown;
LARGE_INTEGER CreationTime;
LARGE_INTEGER LastAccessTime;
LARGE_INTEGER LastWriteTime;
LARGE_INTEGER ChangeTime;
LARGE_INTEGER EndOfFile;
LARGE_INTEGER AllocationSize;
ULONG FileAttributes;
ULONG FileNameLength;
WCHAR FileName[1];
} FILE_DIRECTORY_INFORMATION, *PFILE_DIRECTORY_INFORMATION;

FileFullDirectoryInformation:

typedef struct _FILE_FULL_DIRECTORY_INFORMATION {
ULONG NextEntryOffset;
ULONG Unknown;
LARGE_INTEGER CreationTime;
LARGE_INTEGER LastAccessTime;
LARGE_INTEGER LastWriteTime;
LARGE_INTEGER ChangeTime;
LARGE_INTEGER EndOfFile;
LARGE_INTEGER AllocationSize;
ULONG FileAttributes;
ULONG FileNameLength;
ULONG EaInformationLength;
WCHAR FileName[1];
} FILE_FULL_DIRECTORY_INFORMATION, *PFILE_FULL_DIRECTORY_INFORMATION;

FileBothDirectoryInformation:

typedef struct _FILE_BOTH_DIRECTORY_INFORMATION {
ULONG NextEntryOffset;
ULONG Unknown;
LARGE_INTEGER CreationTime;
LARGE_INTEGER LastAccessTime;
LARGE_INTEGER LastWriteTime;
LARGE_INTEGER ChangeTime;
LARGE_INTEGER EndOfFile;
LARGE_INTEGER AllocationSize;
ULONG FileAttributes;
ULONG FileNameLength;
ULONG EaInformationLength;
UCHAR AlternateNameLength;
WCHAR AlternateName[12];
WCHAR FileName[1];
} FILE_BOTH_DIRECTORY_INFORMATION, *PFILE_BOTH_DIRECTORY_INFORMATION;

FileNamesInformation:

typedef struct _FILE_NAMES_INFORMATION {
ULONG NextEntryOffset;
ULONG Unknown;
ULONG FileNameLength;
WCHAR FileName[1];
} FILE_NAMES_INFORMATION, *PFILE_NAMES_INFORMATION;

这个函数在FileInformation中写入这些结构的一个列表。对我们来说在这些结构类型中只有3个变量是重要的。
NextEntryOffset是这个列表中项的偏移地址。第一个项在地址FileInformation+0处，所以第二个项在地址是FileInformation+第一个项的NextEntryOffset。最后一个项的NextEntryOffset是0。
FileName是文件全名。
FileNameLength是文件名长度。
如果我们想要隐藏一个文件，我们需要分别通知这4种类型，对每种类型的返回记录我们需要和我们打算隐藏的文件比较名字。如果我们打算隐藏第一个记录，我们可以把后面的结构向前移动，移动长度为第一个结构的长度，这样会导致第一个记录被改写。如果我们想要隐藏其它任何一个，只需要很容易的改变上一个记录的NextEntryOffset的值就行。如果我们要隐藏最后一个记录就把它的NextEntryOffset改为0，否则NextEntryOffset的值应为我们想要隐藏的那个记录和前一个的NextEntryOffset值的和。然后修改前一个记录的Unknown变量的值，它是下一次搜索的索引。把要隐藏的记录之前一个记录的Unknown变量的值改为我们要隐藏的那个记录的Unkown变量的值即可。
如果没有原本应该可见的记录被找到，我们就返回STATUS_NO_SUCH_FILE。
#define STATUS_NO_SUCH_FILE 0xC000000F
同隐藏端口一样。具体请看《在NT系列操作系统里让自己“消失”》。 5，在说一下baiyuanfan在xcon上提出的ring3 rootkit思路。就是通过挂接本机API实现同步与异步端口复用。利用自删除和复活来隐藏痕迹，不被检测到。（下一页）

提示：试试键盘 “← →” 可以实现快速翻页

总共 5 页< 上一页 1 2 3 4 5 下一页 >

一键看全文

本文导航

每日精选

vivo S50系列新品发布会

长焦Live神器

标签： vivoS50| vivo| S50| 发布会| 2025-12-15
京东携手奔图以“超级供应链”打造国民打印爆品

京东与奔图通过C2M反向定制联合推出D1 Pro打印机，以严苛品控和低成本耗材解决用户痛点，并依托京东超级供应链实现高效产销闭环，成为国产打印机创新标杆。

标签：京东| 奔图| 供应链| 2025-12-11
苹果Studio Display 2重大升级：120Hz高刷+Mini-LED+A19 Pro

据MacWorld报道，iOS 26系统代码中出现了一款代号为J527的未发布外接显示器，外界普遍推测这正是苹果计划2026年推出的新一代高端显示器 ——Apple Studio Display 2。

标签：苹果| StudioDisplay2| 高刷| Mini-LED| 2025-12-11
年销百万台提前达成，锐龙9游戏本在京东平台创销售奇迹

京东与AMD深度协同，推动锐龙9系列游戏本提前一季度实现年销百万台目标。通过包销主导、会员精准营销及线下电竞场景联动，彰显京东以供应链优势赋能高端PC市场增长的强劲动能。

标签：京东| AMD| 锐龙| 2025-12-11
Tiiny AI打造世界上最小的“AI超级计算机”Tiiny AI Pocket Lab

而最近新兴的一家初创公司Tiiny AI突破技术壁垒，推出了号称全球最小的AI超级计算机Tiiny AI Pocket Lab。这款设备的尺寸仅为14.2×8×2.53厘米，重量仅300克，内置最新ARM v9.2内核，赋能1200亿参数大模型本地部署。

标签： TiinyAI| AI| 超级计算机| TiinyAIPocketLab| 2025-12-11
2025年度投影品鉴大会圆满落幕年度推荐产品揭晓

2025年度投影品鉴大会通过影院的沉浸式体验，让消费者直观感受了投影行业的技术进步与产品升级，也为品牌提供了洞察消费需求的窗口。

标签：投影| 智能投影| 投影仪| 2025-12-11
问界M9销量领先的背后：安全是永远的必杀技

真正的豪华不仅是冰箱彩电，而是当危险来临时，问界M9能成为你最后的堡垒。

标签：问界| M9| 鸿蒙智行| 安全| 2025-12-11
快充升级60W！三星Galaxy S26 Ultra通过3C认证

根据中国质量认证中心的数据显示，型号为SM-S9480的设备已经通过了3C认证，这款手机大概率就是三星Galaxy S26 Ultra了。根据认证信息显示，该机提供了最高60W的充电功率。

标签：三星| GalaxyS26Ultra| 60W| 快充| 2025-12-12
华为Mate X7海外市场发布 2099欧比国内贵两千

华为方面在迪拜举办了新品发布会，华为Mate X7折叠屏手机正式进军海外市场。提供了白、黑和星云红三种配色，仅提供16GB+512GB存储版本，售价2099欧元，比国内版本贵了2400元。

标签：华为| 华为MateX7| 迪拜| 2025-12-12
为iPhone 17 Pro增加背屏一个手机壳就能搞定

想要为手机增加背屏，其实通过配件就能搞定，Selfix新推出的手机壳，就能让iPhone 17 Pro实现背屏功能。

标签：苹果| iPhone17Pro| selfix| 背屏| 2025-12-12