基于Android平台的内核Rootkit检测及防护研究.pdf

Stealth hooking：Another way to subvert the Windows Kernel

《恶意软件、Rootkit和僵尸网络》.((美)Christopher C.Elisan).[PDF] 完全带书签，

rootkit 系统灰色地带的潜伏着1

Rootkit 系统灰色地带的潜伏者 原书第2版.pdf

爬虫 经过测试 Debian 9 ：4.9.0-8-amd64 Debian 10 ：4.19.0-8-amd64 Ubuntu 18.04.1 LTS ：4.15.0-38通用Kali Linux ：4.18.0-kali2-amd64 Centos 6.10 ：2.6.32-754.6.3.el6.x86_64 Centos 7 ：3.10.0-862.3.2.el7.x86_64 Centos 8 ：4.18.0-147.5.1.el8_1.x86_64 特征 为无特权的用户提供root权限 隐藏文件和目录 隐藏流程 隐藏自己 隐藏TCP / UDP连接 隐藏的引导持久性 文件内容篡改 一些混淆技术 ICMP / UDP / TCP端口敲门后门 具有文件传输功能的完整TTY / PTY Shell 客户处理爬行动物壳 Shell每X次连接一次（不是默认值） 安装 apt insta

rootkit领域的重要著作，计算机安全领域公认经典。从反取证角度，深入、系统解读rootkit的本质和核心技术，以及如何构建属于自己的rootkit武器。

抓鸡入侵过程中建立系统超级隐藏帐户。。。。。。。。。。。。

内核级后门软件，用户可以通过本软件隐藏文件、进程、系统服务、系统驱动、注册表键的键和键值、打开的端口以及虚构可用磁盘空间。程序同时也在内存中伪装它所做的改动，并且隐身地控制被隐藏进程。程序安装隐藏后门，注册隐藏系统服务并且安装系统驱动。该后门技术允许植入Redirector。鉴于参数过多，不推荐新手使用。

r77 Rootkit Ring 3 Rootkit r77是3环Rootkit，可从所有进程中隐藏以下实体： 文件，目录，联结，命名管道，计划任务 Craft.io流程 CPU使用率 注册表项和值 服务 TCP和UDP连接 它与x64和x86版本的Windows 7和Windows 10兼容。 通过前缀隐藏 名称以"$77"开头的所有实体都将被隐藏。 配置系统 动态配置系统允许按PID和名称隐藏进程，按完整路径隐藏文件系统项，特定端口的TCP和UDP连接等。 该配置存储在HKEY_LOCAL_MACHINE\SOFTWARE\$77config并且任何进程都可以写入而无需提升特权。 此项的DACL设置为向任何用户授予完全访问权限。 将RegEdit注入rootkit时， $77config密钥被隐藏。 安装程序 使用单个文件"Install.exe"可以部署r77。 它安装了r7