Black Angel Rootkit
Black Angel adalah Windows 11/10 x64 Mode Kernel Rootkit. Rootkit dapat dimuat dengan DSE yang diaktifkan sambil mempertahankan fungsionalitas penuhnya.
Dirancang untuk tim merah.
Fitur Rootkit
Rootkit dapat dimuat dengan KDMapper ke Bypass DSE, Black Angel Loader mungkin belum berfungsi dengan baik. Project Driver-Hijack digunakan untuk mempertahankan fungsionalitas driver penuh seperti dukungan panggilan balik.
- Bypass DSE (tidak perlu mengaktifkan penandatanganan tes)
Bypass KPP- Sembunyikan proses
- Sembunyikan port (TCP/UDP)
- Peningkatan izin proses
- Perlindungan proses
- Injektor shellcode (shellcode yang tidak dapat dikembangkan. Bahkan jika proses mati, shellcode masih dapat berjalan)
- (TODO) Sembunyikan file/direktori
- (TODO) Sembunyikan kunci registri
Pelaksanaan
Anda dapat dengan mudah menerapkan panggilan rootkit dengan menyalin dan menempelkan file header Blackangel ke dalam proyek Anda.
Demonstrasi
Anda dapat menemukan demonstrasi rootkit di saluran saya
Info tambahan
- Ingatlah untuk mengubah offset Active_Process_Links sesuai dengan versi Windows Anda. Offset saat ini telah diuji pada Windows 10/11 Pro 21H2.
- Mungkin masih ada masalah stabilitas!
- Injektor km shellcode adalah op. Jika Anda menyuntikkan shellcode ke dalam proses yang dilindungi, tidak ada antivirus yang akan menghapusnya>: D Kode shellan sederhana seperti Metasploit shell_reverse_tcp dapat bekerja bahkan jika proses diakhiri.
Sumber daya:
- kdmapper
- Pengemudi-HiJack
- Cronos-Rootkit
