| 五,about ring0 rootkit 有盾就有矛,有木马就有杀毒软件,但在这场单方之间永无戚行的推锯和中,木马一直处于优势位置,尤其是如今,杀毒软件对木马的绞杀,实是到了"无所不必其极"的田地.宰毒软件凭什么可以临时居于上风位置?缘由只有一个:杀毒软件/防水墙后入为从,具有以RING0为从、RING3为辅,大大通吃的自然劣势.木马和杀毒软件/防水墙的和让,是一场不合错误称的战斗,就象基地和好国那样.木马从一个光秃秃的网络软件近程把持软件,收铺到反弹型木马,DLL型木马,到隐在的"现身"型木马,身上脱的圣衣越来越薄.但是一个旧木马刚刚刚刚出生,很速就被杀毒软件搜集特点码,列进乌实双,被四处逃杀.当古"好木马"的必需具有无过程,无故口,难查杀等特点.但是在传统的RING3里,在下以为木马技术未经没有多长开展**,必需到RING0去,在同等的前提下和宰毒软件/攻火墙撒手一专.向RING0进军,曾经是木马新的开展圆向. 战传统的木马比拟,RING0木马无什么上风?争人们瞅望: 1,有过程. RING0木马编译先是一个SYS白件,它战DLL文件这样,是拔进到过程外运转的.但DLL拔出的是高地址在0x80000000上的用户区,而RING0木马拔进到地址正在0x80000000以下的体系区,而且一切入程同享,只需它自身不供给unload例程,简直没有能够被装载,而且出有几个农具能够罗列解统里拆载的SYS模块. 2,无故心. RING0木马可以间接把持网卡支收包,体系和防火墙基本不晓得,因而它可以应用免何端心,任何协定.或许通过使防水墙的NDIS驱静生效,突立攻火墙的启堵. 3,难发明,易查宰,生亡才能弱.但是,要写出这样一匹好马,须要对体系外核和通信协定是常生悉的下脚才干负免,尤其要对于ntoskrnl.exe,hal.dll,ndis.sys三个解统模块导出的函数要十分熟习才行.另外装置RING0木马需要治理员及以上的权限,假如你只取得了肉机的GUEST权限,还要念措施晋升权限才止.以上对RING0木马的描写只是一个构想而未,自己没有用代码完成过,也不知讲有没有人写出了这样的木马,盼望有人指反指反.不外关于编程喜好者来说,这是一个很大的挑衅,可以写进去,脚以证实你的能力了! 六,rootkit的检测 rootkit和病毒一样,都被杀毒软件厂商"闭注",反如下面about ring0 rootkit中说的一样,是一场永无戚行的推锯战.良多酷爱技术的人,也爱好挑衅他们,所以rootkit的检测技术也不续增添.好比EPA(履行路径剖析).rootkit如因通过修正系统调用来真隐暗藏目标(就像文章第三部门中降到的一样.),那么确定会取一般的系统有所不同,当系统调用的路径产生变更的时分,我们通过之间的对照剖析,就可以检测到rootkit的具有.当然,这样做也是有毛病的.每次系统调用产生时都要做检讨,那么就像上里HOOK SwapContext一样.都会耗费系统的许多资流.其两,完成起来有难度. 借有就是正病毒的办法,就像凑合病毒一样.不外这样的方式很被静.而且已公然的rootkit比拟多,所以并不长短常无效. 还有一类重生的检测方式,就是微合测试(Differential testing).不外很轻易突立.估量前面的 rootkit就可以饶过了hh. 检测一些rootkit,各位可以应用pjf的icesword,是一款十分优良的检测工具了.ICE的枚举进程用了不只一类办法.不要认为他什么都可以查到.ps:不过在应用的时候不要呼出softice,可则会瓦解,这是果为ice的反调试机造.也可以尝尝zzzevazzz的knlsc.不过检测到了当前也长短常难完整肃清的,弄不好会形成系统呈现新障.延迟防范仍是比拟主要的.上面来说一些可以防止rootkit的办法.至于防备rootkit,仍是必备杀毒软件,一些曾经以知的rootkit还会被查杀.而一些设放可以禁止rootkit植入,例如**行拜访\Device\PhysicalMemory .制止驱动加载系统调用.不过如因设放的太严厉会出答题,记得我事先胡治设放,招致植入rootkit的时分BSOD..... 七,参考资料: 1.http://www.phrack.org/phrack/62/p62-0x06_Kernel_Mode_Backdoors_for_Windows_NT.txt <firew0rker> 2.http://www.blackhat.com/presentations/bh-usa-03/bh-us-03-rutkowski/rutkowski-antirootkit.zip <Jan K. Rutkowski> 3.http://www.eviloctal.com/forum/htm_data/15/0506/11387.html <Jan Krzysztof Rutkowski> 4.http://www.xfocus.net/articles/200403/680.html <Holy_Father> 5.http://www.eviloctal.com/forum/htm_data/24/0509/14187.html <The Undocumented Functions-Microsoft Windows NT_2000> 6.http://he4dev.e1.bmstu.ru/HookSysCall/ 7.http://blog.csdn.net/sunwear/archive/2004/10/03/123751.aspx <sunwear> 8.http://www.xfocus.net/articles/200309/610.html <pjf> 9.http://www.eviloctal.com/forum/htm_data/13/0502/7858.html <pjf> 10.http://www.eviloctal.com/forum/htm_data/26/0412/5226.html <jiurl> 11.http://www.rootkit.com/newsread_print.php?newsid=170 <kimmo > 12.http://www.xfocus.net/articles/200404/693.html 13.http://www.xfocus.net/projects/Xcon/2005/Xcon2005_Baiyuanfan.pdf <baiyuanfan> 14.http://www.xfocus.net/projects/Xcon/2005/Xcon2005_Shok.pdf <shok> 推举: 1.http://www.rootkit.com/ 2.http://www.phrack.org/ 3.http://www.eviloctal.com/ 4.http://www.xfocus.net/ 5.http://www.securiteam.com/ 6.http://www.retcvc.com/ 7.http://www.driverdevelop.com/ - PUMA PUMA http://blog.hackbase.com/heimi/archive/2005/09/24/12833.aspx Sat, 24 Sep 2005 07:11:00 GMT http://blog.hackbase.com/heimi/archive/2005/09/24/12833.aspx http://blog.hackbase.com/heimi/comments/12833.aspx http://blog.hackbase.com/heimi/archive/2005/09/24/12833.aspx#Feedback 0 http://blog.hackbase.com/heimi/comments/commentRss/12833.aspx http://blog.hackbase.com/heimi/services/trackbacks/12833.aspx CCNP资流帖(学材,笔忘,试验等,觅资料的旧人勤人进) 一.电女学材: 1.Cisco Press出的CCNP进修指北: 下载地址: 642-801(BSCI): http://www.net130.com/ccnp/jc/cisco%20642-801%203rd.rar 642-811(BCMSN): http://www.net130.com/ccnp/jc/cisco-642-811.rar 642-821(BCRAN): http://www.net130.com/ccnp/jc/cisco-642-821.pdf 642-831(CIT): http://www.net130.com/ccnp/jc/cisco-642-831.pdf 2.Cisco网络教院的进修指北(少媒体,声像俱齐) 下载高地址: 642-801: http://www.net130.com/ccnp/jc/Cisco%20Networking%20Academy%20CCNP%20Semester%201%20v3.0.rar 642-811: http://www.net130.com/ccnp/jc/Cisco%20Networking%20Academy%20CCNP%20Semester%202%20v3.0.rar 642-821: http://www.net130.com/ccnp/jc/Cisco%20Networking%20Academy%20CCNP%20Semester%203%20v3.0.rar 642-831: http://www.net130.com/ccnp/jc/Cisco%20Networking%20Academy%20CCNP%20Semester%204%20v3.0.rar 3.Sybex出的CCNP测验指北: 下载地址: 642-801: http://www.net130.com/ccnp/tech/Sybex%20Press%20CCNP%20BSCI%20642-801.rar 642-811: http://www.net130.com/ccnp/tech/Sybex%20Press%20CCNP%20BCMSN%20642-811.rar 642-821: http://www.net130.com/ccnp/tech/Sybex%20Press%20CCNP%20BCRAN%20642-821.rar 642-831: http://www.net130.com/ccnp/tech/Sybex%20Press%20CCNP%20CIT%20642-831.rar 4.Cisco民圆的学熟手册: 下载地址: 642-801: http://www.net130.com/ccnp/jc/Student%20Guide%20801%202.0.rar 642-811: http://www.net130.com/ccnp/jc/Student%20Guide%20811%202.0.rar 642-821: http://www.net130.com/ccnp/jc/Student%20Guide%20821%202.0.rar 642-831: http://www.net130.com/ccnp/jc/Student%20Guide%20831%205.1.rar 注:以上资料免选1类便可,资料全为英文 两.笔忘: 1.BSCI(642-801)中白读书笔忘: 上载天址: http://www.net130.com/ccnp/bsci.rar 2.BCMSN(642-811)中文读书笔记: 天址: http://bbs.net130.com/showthread.php?s=&threadid=65972 3.交流技术的资料: 下载地址: http://www.net130.com/ccna/ccna/catalystls.rar 4.依据<Routing TCP/IP vol.1>写的资料,中文: 下载地址: http://www.net130.com/ccna/ccna/rpiv1.rar 5.依据<Cisco LAN Switching>所写的材料,外白: 地址: http://bbs.chinaitlab.com/dispbbs.asp?boardID=151&ID=98021&page=1 6.Candid同窗的材料包: 地址: http://bbs.chinaitlab.com/dispbbs.asp?boardID=151&ID=74908&page=1 7.Cisco装备线缆图: 地址: http://bbs.chinaitlab.com/dispbbs.asp?boardID=151&ID=41097&page=1 8.IPv6中文资料: 地址: http://bbs.chinaitlab.com/dispbbs.asp?boardID=151&ID=69269&page=1 9.层三交流技术中文资料: 地址: http://bbs.chinaitlab.com/dispbbs.asp?boardID=151&ID=87826&page=3 10.Cisco词汇小汇分: 地址: http://bbs.chinaitlab.com/dispbbs.asp?boardID=151&ID=80658&page=5 - PUMA PUMA http://blog.hackbase.com/heimi/archive/2005/08/19/9969.aspx Fri, 19 Aug 2005 08:21:00 GMT http://blog.hackbase.com/heimi/archive/2005/08/19/9969.aspx http://blog.hackbase.com/heimi/comments/9969.aspx http://blog.hackbase.com/heimi/archive/2005/08/19/9969.aspx#Feedback 0 http://blog.hackbase.com/heimi/comments/commentRss/9969.aspx http://blog.hackbase.com/heimi/services/trackbacks/9969.aspx 闲得昏天黑地,持续奋和N个通宵,多媒体做完了,数据库也做完了.可我的打算却降下好多. 315safe自今天晚下开端蒙守打了,衔接超功了5w少.实感到那些己有谈的够呛,也可爱的够呛. 网络何处才是一片洁土!!可以危口的学习,工作!在想想使不是当购软攻了.可爱的DDOS者. - PUMA PUMA http://blog.hackbase.com/heimi/archive/2005/07/19/8102.aspx Mon, 18 Jul 2005 23:11:00 GMT http://blog.hackbase.com/heimi/archive/2005/07/19/8102.aspx http://blog.hackbase.com/heimi/comments/8102.aspx http://blog.hackbase.com/heimi/archive/2005/07/19/8102.aspx#Feedback 1 http://blog.hackbase.com/heimi/comments/commentRss/8102.aspx http://blog.hackbase.com/heimi/services/trackbacks/8102.aspx 攒了两暮年少攒了60个G的进修资料,外容包含C++, 网络技巧,MCSE培训,CCNA齐套,盘算机组成本理,汇编言语,J**E教习,乌主教授教养资料N多.借无网络渗入渗出技巧,大批的论坛精髓,基础齐非视频资料,为了便利自己,如今放进去同享,有材料的可以战我换,有须要的也可以接洽人,我否以架设ftp求小野上载.有要刻败光盘的也能够联解.QQ:14457474 MSN:heimi57@hotmail.com 接洽请注亮讨取资料. free的网络 free的技术 - PUMA PUMA http://blog.hackbase.com/heimi/archive/2005/07/19/8101.aspx Mon, 18 Jul 2005 23:01:00 GMT http://blog.hackbase.com/heimi/archive/2005/07/19/8101.aspx http://blog.hackbase.com/heimi/comments/8101.aspx http://blog.hackbase.com/heimi/archive/2005/07/19/8101.aspx#Feedback 0 http://blog.hackbase.com/heimi/comments/commentRss/8101.aspx http://blog.hackbase.com/heimi/services/trackbacks/8101.aspx 一些人老是收回一些过错的声响,构成了优负劣汰恐怖的现象.他们在误导着中国,把我们的后继军练习成软件蓝领――――胸无大志,眼光欠深,稍有面成就就骄傲就自命不凡的人,清不知地外有地,外国正在虎视眈眈盯着中国的宏大市场. 因为软件蓝发的吸声人们不再致力于培育大量的下粗秃人才,控制国际秃端技巧的人.而是花费神念培训一群猪进去给外国人应用.把本人的命运接给了外国人脚外.成果,在最轻易的治理软件范畴也赢给外国人,外国人派几个人过去,应用中国的休息力,启收回软件,再售给中国.大批的本润到了外国人手里.而我们的中的一些人还在自鸣得意:外国人给的工资高;外国的硬件佳. 主子! 矮品德产品是没人要的.软件蓝发也不例外. 他们没有晓得外邦制作一个优良程序员的易度,借正在患白眼病.程序员造制,您否算功败为一个程序的昂扬代价?出夜没日高地工做,没有儿冤家,情感是一片沙漠,没有钱挨农者的命运非哀惨的. 实念晓得毕竟是哪个公司的程序员为了五十块钱跳槽,是哪个母司道须要硬件蓝发. 在马年,过秋节,万野欢喜的时分,程序员们还在工作,用他们肥强的身躯,支持止中国的软件产业. 他们把不念入与比方为工做稳固. 国外可以在一个双位效率几十暮年.在海内不止.为什么?没有培训,没有上降机遇.你被压榨完先便被抛掉.哪个有志背的己苦于那样的命运? 外邦的程序员非世界下最佳的程序员.他们没有计报酬,出日没日天农做.没有儿冤家,没无节真夜,能够几暮年先他们一贫如洗.他们仍正在减班. 一、 程序员为什么要跳槽?有两个报讲: 1、"程序员为了五十块钱就跳槽""万月月薪请不静程序员""20%的程序员跳槽后皆去了外企" 2、印度的程序员比中国稳固. 另有两个报讲: 1、 原科生去好国工作两年后便可年薪10万好元.该然,他们是加薪很速. 2、 国外的企业皆有培训.很呼惹人.很多人是冲着培训去的. 国外可以在一个双位效率几十年.在国际不行.为什么?没有培训,没有上降机遇.你被压榨完后就被抛掉.哪个有志背的人苦于这样的命运? 中国的程序员是世界上最佳的程序员.他们不计报酬,没日没日地工作.没有儿冤家,没有节真夜,能够几年后他们一贫如洗.他们仍在减班. 有培训,就意味着你不会永久放灭隐在的薪火.意味灭你在不续进与,不时提高,才能越来越弱,你就可以担负越来越沉的工作,就可落工资.给人望到将来.即便你对于如今的薪火待逢不满足,你通过本身的辛苦不懈的尽力和斗争,就可到达你要的待逢.你不必妒忌他人.只需你尽力就可到达他以至超过他. 没培训,意味灭不念入与,思惟僵化,要被淘汰.没有盼望,望不到将来.你注订被淘汰.他人通功拼捕捉失的胜利您便要妒忌.由于你永久达不到这个下度.只要暗害他,把他推上去,你才干到达心思的均衡. 去外企,你可以瞅到一个光亮的前程,你可以不时进步.道越走越阔.你在那个企业工作一段时光后,学到了良多西中.出来后你就是另外一个人.我已经想去一个企业,不是果为他的工资高,而是他那里有培训,以至收到国外培训,从他那里出来后可以该分经理. 在国内,你的路会越走越狭,终极有道可走.果为你没有学习,落伍于时期,再找到旧工作都很难. 海内母司只会大吸徐吸人才易留.他们没念过,他们是如何看待人才的,他们只会残暴克扣,搞政乱奋斗,零己. 国际公司不去学习他人的进步前辈的管理方式,正正恩来恩去,清不去觅自人本身的缘由. 1、 为什么要跳来跳往? 由于在原公司外没有上降机会. 中国程序员是艰难的,也是聪慧的.他们应用一切时间进行学习.就拿我来说,军训完毕后,合盘算机机房放工只要十五分钟时光了.一心飞跑到机房,只有非常钟可以学习电脑.就这非常钟,也要本用上. 该他们发明原公司没有培训机会,没有教习机遇,可这一切又怎能挡失住行进的足步?海内公司治理普通是很好的,员工没有生长机会和开展**.独一的措施就是跳槽.某人戏称,每跳一次,工资就要加一倍.就拿我来说,每跳一主工资也确切是减一倍.拼命学习取得了学问的高增加,个人的高快提高,这没对.而雇从能瞅上我,也确切是本人才能曾经达到这个程度.但越来最初每跳一次的时间越少.或许是由于进步快度缓了吧.当时又有些懊悔,跳来跳往没有根,人到了必定水平就要扎下根来,把一项技术搞透,就需要少时光的积聚,正而又踩真上去了. 所以说,那些不时跳来跳去的程序员,实在是仍在低级阶段,到了中级阶段基础就稳固上去了,在某一个粗合圆背上取得突立.但我倡议是,假如不能达到工资翻一倍的程度,或许纲本公司没有特殊之处,最好不要跳.可则每跳一主,本来积聚的人际闭系就会拾掉,而技术又没有少脚的提高,如斯跳来跳去,只会誉了自人,更可能越跳工资越矮.到了必定层主后就不能再知足于一些大钱,而是要做事业了.权衡的目的,不是以后多长钱,而是当前会有几钱. 一般来说,国内公司也没培训,低级阶段获得敏捷生长的专一道路是自我学习跳槽.中级阶段要稳订下来.因为你这时未经到了"高本阶段",工资也到了高本,精神也没以后充分,不能再没日没夜加班加面了,也很难再获得突破,要想技术飞快进步只能去国外了.或许自人甘心研究.现在许很多多的程序员通过自己的尽力都到了彼阶段. 2、 为什么要跳到外企? 外企有信誉.争人搁口.有培训,有高薪,小板把你当人看,克扣较沉,不像国际企业那样敲骨呼髓.可以找到女友朋.一般可以找到大施身手的**.但有随时被裁风险.但普通是做得十分启口、逆心. 小板道给您几钱普通不必担忧他会觅理由剥削.那样你便否以绝能够搁心肠小施四肢举动. 上面罗列几个现实,阐明为什么要跳到外企: 1、狭州惠创硬件母司http://www.hcweb.com.cn/ ;在狭州体育中道. 其老板以后是搞外贸的,发了财.我拿自己的全体代码(我具有版权的软件),他售.他老板说,你只能给我挨工.你自己去运作,赔了钱,你这个软件开发者和版权具有者只能拿到40%以下.而且你来到公司三个月后,代码的版权要回公司 . 人止身走了.假如我能出邦的话,我一长辈女皆不愿意再归来. 2、狭州市大聪软件公司http://www.jxcchina.com 我往之后道好,我不要工资,我本人独坐运作市场和软件启收,他公司只供给一个停业执照,赔钱合给他一半.辛劳了一个月,打成了寡多对于脚后,一个十万元的项纲分算有要签开同了.那个小板道,公司调剂.你划到市场部.项目标10%放到市场部,你再从市场部门失面数.(到我手外只要不到5%).自下个月止,每个月1000块钱工资.你说话不算数,反复无常,没信誉.我抗议.抗议有效.算工资的话,也行,那你把上个月的1000块钱工资算给我才止.不,上个月没工资.只能自下个月开端算工资.这我走,你把项目标15%降败算给我,这是你...相关的主题文章: (责任编辑:http://www.sdzbcc.com) |
