关于KdrillKdrill是一款用于分析Windows64b系统内核空间安全的工具，该工具基于纯Python3开发，旨在帮助广大研究人员评估Windows内核是否受到了rootkit攻击。需要注意的是，该项目与Python2/3兼容，无其他依赖组件，无需Microsoft符号或网络连接即可执行安全检查。KDrill还

PEB中有一个成员Ldr：typedefstruct_PEB{UCHARInheritedAddressSpace;UCHARReadImageFileExecOptions;UCHARBeingDebugged;UCHARBitField;ULONGImageUsesLargePages:1;ULONGIsProtectedProcess:1;ULONGIsLegacyProcess:1;

pslist和psscan的区别列表：“pslist”模块使用与将在实时计算机上执行的任务列表命令相同的算法。而且，Windows任务管理器也使用相同的方法。上面提到的命令“pslist”遍历Windows内核维护的活动进程结构列表。windows内核使用EPROCESS数据结构来描述每一个

1.基本原理rootkit隐藏的基本步骤是:hook掉某一个系统函数，用自己的函数代替自己的函数调用原函数，然后对于原函数的结果进行处理返回处理结果2.实现2.1应该hook

一款隐藏嵌入式Rookit的DDoS木马分析发布于2018-02-0610:07:28阅读 7150 该款木马分析文章在2015年由@PETERKÁLNAI最先发表于AVAST的公开blog中，木马的架构

Botnets:Howtogetrootedinoneeasylesson僵尸网络：如何植入电脑的简易课程Author:MichaelKassner作者：MichaelKassner翻译：endurer，2008-12-02，第3版Category:General

一、介绍 Rootkit这一概念最早出现于上个世纪九十年代初期，CERTCoordinationCenter(CERT/CC)于1994年在CA-1994-01这篇安全咨询报告中使用了Rootkit这个词汇。在这之后R