原文首发在：奇安信攻防社区https://forum.butian.net/share/3796本文主要针对黑灰产相关的蠕木僵毒等恶意软件在Linux上常用的rootkit手段做一些总结，以及详细分析常见应急响应中遇到的进程、文件隐藏手段的原理以及排查和恢复方法；前言本文主要针对黑灰产、以及蠕木僵毒等恶意软

原理linux在进程启动后，和windows加载dll一样会按照一定的顺序加载动态链接库，相关顺序如下：加载环境变量LD_PRELOAD指定的动态库加载文件/etc/ld.so.preload指定的动态库搜索环境变量LD_LIBRARY_PATH指定的动态库搜索路径搜索路径/lib64下的动态库文件攻击者常见使用的劫

原理修改或构造/etc/profile.d/下sh文件，劫持环境变量，从而实现覆盖常见的命令，如：ps、ls、lsof等；实现：1、配置环境变量shell脚本：重新登录用户之后；或者使用命令source/etc/profile更新配置，使生效；2、根目录下存在的myshell.sh文件被隐藏：执行ls命令效果：排查方法：使用strace

原理ps、netstat是遍历/proc来显示pid的原理，通过隐藏相关/proc/pid文件夹来实现pid隐藏实现运行如下命令，将pid对应文件夹挂载到隐藏目录上面mount-obind/home/.hidden/proc/9212现象：如下图，使用root权限调用netstat发现PID和Programname都是空：排查方法1、ca

关于KdrillKdrill是一款用于分析Windows64b系统内核空间安全的工具，该工具基于纯Python3开发，旨在帮助广大研究人员评估Windows内核是否受到了rootkit攻击。需要注意的是，该项目与Python2/3兼容，无其他依赖组件，无需Microsoft符号或网络连接即可执行安全检查。KDrill还

PEB中有一个成员Ldr：typedefstruct_PEB{UCHARInheritedAddressSpace;UCHARReadImageFileExecOptions;UCHARBeingDebugged;UCHARBitField;ULONGImageUsesLargePages:1;ULONGIsProtectedProcess:1;ULONGIsLegacyProcess:1;

pslist和psscan的区别列表：“pslist”模块使用与将在实时计算机上执行的任务列表命令相同的算法。而且，Windows任务管理器也使用相同的方法。上面提到的命令“pslist”遍历Windows内核维护的活动进程结构列表。windows内核使用EPROCESS数据结构来描述每一个

1.基本原理rootkit隐藏的基本步骤是:hook掉某一个系统函数，用自己的函数代替自己的函数调用原函数，然后对于原函数的结果进行处理返回处理结果2.实现2.1应该hook

一款隐藏嵌入式Rookit的DDoS木马分析发布于2018-02-0610:07:28阅读 7150 该款木马分析文章在2015年由@PETERKÁLNAI最先发表于AVAST的公开blog中，木马的架构

Botnets:Howtogetrootedinoneeasylesson僵尸网络：如何植入电脑的简易课程Author:MichaelKassner作者：MichaelKassner翻译：endurer，2008-12-02，第3版Category:General

一、介绍 Rootkit这一概念最早出现于上个世纪九十年代初期，CERTCoordinationCenter(CERT/CC)于1994年在CA-1994-01这篇安全咨询报告中使用了Rootkit这个词汇。在这之后R