M
M
Malware Note
搜索文档…
Rootkit
此处仅讨论狭义的Rootkit,也就是通过加载驱动进入r0实现的权限维持。

方法一:

利用现有驱动漏洞,实现获取ring0权限,并长期驻留。

方法二:

自己制作驱动,并添加数字签名,以加载进系统,并驻留。

备注:

无论是挖掘漏洞还是自己写驱动,都需要多方面的知识,所以此处无法列出合适的POC,但是我会将一些相关资料列在下方,有兴趣的同学可以自己学习。
开源实例:
GitHub - uf0o/rootkit-arsenal-guacamole: An attempt to restore and adapt to modern Win10 version the 'Rootkit Arsenal' original code samples
GitHub
参考文章:
Rootkit
Wikipedia
https://bbs.pediy.com/thread-260708.htm
bbs.pediy.com
复制链接
大纲