为GHOST远控添加ROOTKIT功能
原版的ghost远控似乎有一个SSDT HOOK功能的模块,当然已经没有什么用处了。这里在GHOST的基础上添加一些ROOTKIT功能。而且随着x64下主动防御技术的发展,这里不打算使用传统的HOOK技术。
主要的想法是
1.设置进程创建事件通知,检测安全软件进程启动
2.设置注册表修改事件通知,保护我的注册表项不被修改
3.设置关机回调,在关机检测自启动项是否存在
4.注册进程对象回调,检查任何对本进程对象的操作
5.枚举SSDT,检测是否存在HOOK,如果存在,远控程序自毁
6.枚举敏感的设备栈,检测是否存在IRP过滤驱动,如果存在,远控程序自毁
程序还没改完
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步