为GHOST远控添加ROOTKIT功能

原版的ghost远控似乎有一个SSDT HOOK功能的模块,当然已经没有什么用处了。这里在GHOST的基础上添加一些ROOTKIT功能。而且随着x64下主动防御技术的发展,这里不打算使用传统的HOOK技术。

主要的想法是

1.设置进程创建事件通知,检测安全软件进程启动

2.设置注册表修改事件通知,保护我的注册表项不被修改

3.设置关机回调,在关机检测自启动项是否存在

4.注册进程对象回调,检查任何对本进程对象的操作

5.枚举SSDT,检测是否存在HOOK,如果存在,远控程序自毁

6.枚举敏感的设备栈,检测是否存在IRP过滤驱动,如果存在,远控程序自毁

程序还没改完

posted @   Ox9A82  阅读(845)  评论(0编辑  收藏  举报
努力加载评论中...
点击右上角即可分享
微信分享提示