如何利用过年时间写一个Anti-Rootkit工具?
如何利用过年时间写一个Anti-Rootkit工具?
年后发布,计划功能:
1.核心级文件访问,byPass any api/ifs/fsd hook或过滤,对付目前的RK流氓该够了,如果真有人变态到做磁盘级在考虑加更强的功能
2.摘各种ROUTINE或Notifiction的功能
3.隐藏进程检测、终止
4.文件句柄关闭
5.注册表HIVE访问
6.各种inline hook非inline hook的检测及修复
7.系统image还原,对抗变态的inline hook
8.强制踢内核模块:D,比较暴力,不过会事先做一些处理
9.恶意驱动拦截 仿RSBOOT
10.时间足够的话,考虑把偶的6502变态驱动壳也加上去 哈哈哈
11....还在想。。
各位有什么好想法都提出来呀 我看能不能实现:D