原版的ghost远控似乎有一个SSDT HOOK功能的模块,当然已经没有什么用处了。这里在GHOST的基础上添加一些ROOTKIT功能。而且随着x64下主动防御技术的发展,这里不打算使用传统的HOOK技术。
主要的想法是
1.设置进程创建事件通知,检测安全软件进程启动
2.设置注册表修改事件通知,保护我的注册表项不被修改
3.设置关机回调,在关机检测自启动项是否存在
4.注册进程对象回调,检查任何对本进程对象的操作
5.枚举SSDT,检测是否存在HOOK,如果存在,远控程序自毁
6.枚举敏感的设备栈,检测是否存在IRP过滤驱动,如果存在,远控程序自毁
程序还没改完