一般情況下ssdt所指向的核心例程位址都在0x8000000000x8ffffffff之間,攻擊者後載入的驅動程式所在的記憶體位址往往較高。因此修改後的ssdt所指向的核心例程位址很難落在0x8000000000x8ffffffff之間。此類方法也適用於檢查idt鉤子。
交叉對比程式可信副本
每個驅動程式都在driver_object中儲存了一些i/o請求包的函式指標。檢查函式指標是否指向其驅動本身的位址範圍之內。
通過分析未被執行的核心檔案,從而得出真實的函式**,並用其與記憶體中的可執行映像對比找出不同點。
通過這本書學習了反彙編、脫殼、核心程式設計的基礎知識,了解幾年前免殺技術的方式。
這本書是看的時間很長的一本書,因為工作外出的原因,只能抽出業餘時間陸陸續續對本書進行學習。很多時候內心平靜不下來就使用抄書的方式學習,每個章節通讀後擷取乙個中心句抄寫出來並對原始碼繼續斷點除錯跟進。
ok,下一步書單繼續。踏踏實實地把技術基礎打牢。
與大多數少年有區別的是,因為看書會參考網際網路部落格筆記,感謝每個用心寫部落格的博主。
這幾位博主,看書有不解的時候參考了他們的部落格內容。
系統安全管理
1 禁止root使用者登陸,使用普通使用者登陸再切換root使用者 2 更改ssh連線埠 3 定期更改系統密碼,或使用金鑰的方式連線 4 使用堡壘機管理伺服器 5 編寫指令碼防止ssh暴力破解 1 shell指令碼 bin bash denyhosts shell scripts if d root...
系統安全 Firewall
netfilter iptables是與最新的2.6.x版本linux核心整合的ip資訊包過濾系統。如果linux系統連線到網際網路或lan 伺服器或連線lan和網際網路的 伺服器,則該系統有理由在linux系統上更好的控制ip資訊包過濾和防火牆配置。雖然netfilter iptablesip資訊...
系統安全加固
系統安全加固 1.密碼策略 修改系統的密碼策略 1 經常修改密碼 2 使用一些特殊的字元和密碼的長度增加 密碼的難度 3 不要隨便告訴他人密碼 2.許可權 ugo 鎖定系統中不必要的系統使用者和組 鎖定下列使用者,鎖定之前備份 etc passwd 和 etc shadow 檔案 禁用無關的組 禁止...