Rootkit：系统灰色地带的潜伏者 第2版 中文.part3.rar 还有part1 和 part2， 需要全部下载才能解压，由于等级低，只能上传小于60MB 的资料，所以分开了。

Rootkit：系统灰色地带的潜伏者 第2版 中文.part1.rar 还有part1 和 part3， 需要全部下载才能解压，由于等级低，只能上传小于60MB 的资料，所以分开了。

Rootkit：系统灰色地带的潜伏者 第2版 中文.part1.rar 还有part2 和 part3， 需要全部下载才能解压，由于等级低，只能上传小于60MB 的资料，所以分开了。

chkrootkit是一个Linux系统下的查找检测rootkit后门的工具

碎纸机 Brokepkg是Linux Kernels 2.6.x / 3.x / 4.x / 5.x和ARM64的LKM rootkit，在内核5.7之后支持，没有kallsyms_lookup_name 。 经过测试 Kali Linux ：5.10.0-kali3-amd64 Linux薄荷：4.19.0-8-amd64 特征 通过发送信号63隐藏/取消隐藏任何进程； 发送信号31（到任何PID）使模块变为（不可见）； 发送信号64（到任何pid）使给定的用户成为root； 以PREFIX开头的文件或目录不可见； 安装 sudo apt install build-essential libncurses-dev linux-headers- $( uname -r ) git clone https://github.com/R3tr074/brokepkg cd brok

D:. │ Read me.txt │ 目录里面的文件.txt │ └─Rootkit ├─1。 内核hook │ ├─1）object hook │ │ 1）object hook.doc │ │ │ ├─2）ssdt hook │ │ 2）ssdt hook.doc │ │ SSDT Hook的妙用－对抗ring0 inline hook .doc │ │ swk0207.rar │ │ │ ├─3）inline-hook │ │ 360SuperKill学习之--恢复FSD的IRP处理函数.doc │ │ 3）inline-hook.doc │ │ cnnic.rar │ │ ExpLookupHandleTableEntry.rar │ │ ExpLookupHandleTableEntry2.rar │ │ kill_SecuritySoftware.rar │ │ PsLookupProcessByProcessId执行流程学习笔记.doc │ │ 句柄啊，3层表啊，ExpLookupHandleTableEntry啊.doc │ │ 干掉KV 2008, Rising等大部分杀软.doc │ │ 搜索未导出的函数地址.doc │ │ │ ├─4）idt hook │ │ bhwin_keysniff.rar │ │ IDT Hook .doc │ │ │ ├─5）IRP hook │ │ 5）IRP hook.doc │ │ irphook1.rar │ │ irphook2.rar │ │ irphook3.rar │ │ │ ├─6）SYSENTER hook │ │ 6）SYSENTER hook.doc │ │ SysEnterHook.rar │ │ │ ├─7）IAT HOOK │ │ 7）IAT HOOK.doc │ │ HybridHook.rar │ │ testtest.rar │ │ │ └─8）EAT HOOK │ 8）EAT HOOK.doc │ 利用导出表来禁止一些驱动程序的加载.doc │ 导出表钩子.rar │ ├─2。保护模式篇章第一部分： ring3进ring0之门 │ ├─1)通过调用门访问内核 │ │ 1)通过调用门访问内核.doc │ │ myCallGate.rar │ │ test.rar │ │ │ ├─2)通过中断门访问内核 │ │ 2)通过中断门访问内核.doc │ │ myIntGate.rar │ │ │ ├─3)通过任务门访问内核 │ │ 3)通过任务门访问内核.doc │ │ MyTaskGate.rar │ │ │ └─4)通过陷阱门访问内核 │ 4)通过陷阱门访问内核.doc │ exe.rar │ src.rar │ ├─3。保护模式篇章第二部分：windows分页机制 │ 1）windows分页机制.doc │ ├─4。保护模式篇章第三部分：直接访问硬件 │ ├─1）修改iopl，ring3直接访问硬件 │ │ 1）修改iopl，ring3直接访问硬件.doc │ │ drv.rar │ │ exe.rar │ │ │ ├─2）追加tss默认IO许可位图区域 │ │ 2）追加tss默认IO许可位图区域.doc │ │ drv.rar │ │ │ └─3）更改tss IO许可位图指向 │ 3）更改tss IO许可位图指向.doc │ modifyiopmbase.rar │ porttalk.rar │ ├─5。detour 修改函数执行路径，可用于对函数的控制流程进行重定路径。 │ └─1）detour补丁 │ 1）detour补丁.doc │ Inline HOOK SeSinglePrivilegeCheck.rar │ ├─6. 隐身术 │ ├─1）文件隐藏 │ │ 1）文件隐藏.doc │ │ │ ├─2）进程隐藏 │ │ 2）进程隐藏.doc │ │ │ ├─3）注册表键值隐藏 │ │ 3）注册表键值隐藏.doc │ │ BypassRegMon.rar │ │ BypassRegMon2[1].idb.rar │ │ BypassRegMon_src.rar │ │ drv.rar │ │ HIVE文件读写.rar │ │ HIVE格式.rar │ │ HIVE格式解析.doc │ │ 注册表监控弱点演示程序 v0.2 逆向ASM源码及相关资料.doc │ │ │ ├─4）驱动隐藏 │ │ 4）驱动隐藏.doc │ │ │ ├─5）进程中dll模块隐藏 │ │ 5）进程中dll模块隐藏.doc │ │ │ ├─6）更绝的隐藏进程中的dll模块，绕过IceSword的检测 │ │ 6）更绝的隐藏进程中的dll模块，绕过IceSword的检测.doc │ │ │ └─7）端口隐藏 │ 7）端口隐藏.doc │ ├─7。ring0中调用ring3程序 │ ├─1) apc方式 │ │ 1) apc方式 .doc │ │ KernelExec.rar │ │ │ └─2) deviceiocontrol 方式 ├─8。进程线程监控 │ ├─1）监控进程创建 │ │ 1）监控进程创建.doc │ │ protect.rar │ │ │ ├─2）杀线程 │ │ 2）杀线程.doc │ │ │ └─3）保护进程和屏蔽文件执行 │ 3）保护进程和屏蔽文件执行 .doc │ sysnap.rar │ └─9。其他 ├─10）另一种读写进程内存空间的方法 │ 10）另一种读写进程内存空间的方法.doc │ ├─11）完整驱动感染代码 │ 11）完整驱动感染代码.doc │ 驱动感染成功[1].V 1.0.080528_sudami.rar │ ├─12）Hook Shadow SSDT │ 12）Hook Shadow SSDT.doc │ HookShadowSSDT.rar │ ├─13）ring0检测隐藏进程 │ 13）ring0检测隐藏进程.doc │ Ring0下搜索内存枚举隐藏进程.doc │ ├─1）获取ntoskrnl.exe模块地址的几种办法 │ 1）获取ntoskrnl.exe模块地址的几种办法.doc │ ├─2）驱动感染技术扫盲 │ 2）驱动感染技术扫盲.doc │ InfectDriver.rar │ ├─3）shadow ssdt学习笔记 │ 3）shadow ssdt学习笔记.doc │ ├─4）高手进阶windows内核定时器之一 │ 4）高手进阶windows内核定时器之一.doc │ WorkItem.rar │ ├─5）高手进阶windows内核定时器之二 │ 5）高手进阶windows内核定时器之二.doc │ TimerWorks.rar │ ├─6）运行期修改可执行文件的路径和Command Line │ 6）运行期修改可执行文件的路径和Command Line.doc │ ImgPathChanger.rar │ ├─7）查找隐藏驱动 │ 7）查找隐藏驱动.doc │ ├─8）装载驱动的几种办法 │ 8内核模式下装载驱动和原生态应用程序.pdf │ 8）装载驱动的几种办法.doc │ Loading drivers and Native applications from kernel mode, withou t touching registry.rar │ └─9）内核中注入dll的一种流氓方法 9）内核中注入dll的一种流氓方法.doc Apc.rar

Rootkit是一种奇特的程序，它具有隐身功能：无论静止时（作为文件存在），还是活动时，（作为进程存在），都不会被察觉。换句话说，这种程序可能一直存在于我们的计算机中，但我们却浑然不知，这一功能正是许多人梦寐以求的——不论是计算机黑客，还是计算机取证人员。黑客可以在入侵后置入Rootkit，秘密地窥探敏感信息，或等待时机，伺机而动；取证人员也可以利用Rootkit实时监控嫌疑人员的不法行为，它不仅能搜集证据，还有利于及时采取行动。而本文的目的，就是同读者一起踏上Windows内核级Rootkit之旅！

使用的是enyelkm v1.1本身的获取系统调用表的过程。 隐藏文件、目录通过修改sys_call_table第220项。

德国人写的win64位RootKit源代码。

Rootkit 后门的利用-百度网盘 1.通过本地 PC 中渗透测试平台 Kali 对服务器场景进行系统服务及版本扫描 渗透测试，并将该操作显示结果中 SSH 服务版本信息字符串作为 FLAG 提交；