Bizonyítétkok az árnyék munkájára

Az általam készített árnyékrootkit elrejti a folyamatokat, fájlokat és könyvtárakat az alkalmazásokból felhasználói módban. Tervezik a modulok, a nyilvántartás, a szolgáltatások és esetleg más szervezetek jövőbeni megvalósítását.A rootkit futtatása előtt / után. A " $ adoz " előtaggal rendelkező elemek el vannak rejtve. Ez vonatkozik a folyamatokra, fájlokra és könyvtárakra:Az árnyékot használja, egy összekötő könyvtárat, amely lehetővé teszi az API-hívások átirányítását az eredeti funkciójukról egy egyénire. Ez lehetőséget nyújt arra, hogy kiválasszák, hogy például a folyamat-felsorolásoknak mit kell visszaadniuk és mit rejteni. A WinAPI-funkciók globális összekapcsolása érdekében a rootkit DLL-t szálként kell betölteni minden futó folyamatba. Ez történhet AppInit_DLL fájlok, DLL injekció vagy több út kombinálásával. Az Install.exe a% TEMP% $ 77_ {random} .dll fájlra dobja a DLL-t, és regisztrálja az AppInit_DLL fájlokba. A példa eldobására a fájl zárolásának elkerülése érdekében van szükség a tesztelés során. A hasznosító alkalmazás azonban bármelyik útvonalat használhatja, amely a legjobban illeszkedik, mert amint a DLL betöltődik a folyamatba, annak hasznossága fut. Az AppInit_DLL fájlokban regisztrált DLL fájl be van töltve minden folyamatba, amelyet az érték írása után hajtanak végre. Ehhez azt is engedélyezni kell, ha a LoadAppInit_DLL-t 1-re állítja, és a RequireSignedAppInit_DLL-t 0-ra.
A rendszerleíró érték HKEY_LOCAL_MACHINE alatt történő megadása magasabb jogosultságokat igényel. Figyelem a telepítés után a rootkit felhasználói módban fut, azonban nem igényel semmilyen indítási logikát az újratelepítéshez, mivel az AppInit_DLLs módszert általában a rosszindulatú programok használják, a biztonsági szoftver valószínűleg blokkolja a hozzáférést ehhez a beállításjegyzékhez.
A biztonsági szoftverek ugyanazt az összekapcsolási technikát használják, hogy megvédjék magukat a felhasználói mód folyamataitól. Az ilyen gyökérkészleteket mindig kernel módban valósítják meg, hogy a rosszindulatú programok ellehetetlenítsék a telepített biztonsági szoftverek felforgatását. A maximális perzisztencia elérhető BI vagy hardver rootkitekkel. Ha helyesen végezzük, lehetetlen felismerni vagy eltávolítani őket. Ez egy folyamatban lévő munka / béta állapotú, és még nem készült felhasználásra. A következő feladatok vannak napirenden, a végleges kiadás előtt: A példaként szolgáló telepítő alkalmazásnak figyelembe kell vennie a futtatás folyamatát. Fontos! a telepítő alkalmazásnak le kell választania a futó szálakat, és egymás után törölnie kell a lezárt DLL fájlokat.     Egyéb entitások: A modulok, a rendszerleíró kulcsok és értékek, a szolgáltatások és más entitások elrejtése és elfedése szintén prioritást élvez. Figyelem  x86-ban nem stabil.