Black Angel Rootkit

O rootkit pode ser carregado com o KDMAPPAPPER para ignorar o DSE, o Black Angel Loader pode não estar funcionando corretamente ainda. O driver do projeto-hijack é usado para manter a funcionalidade completa do driver, como suporte de retorno de chamada.

• DSE Bypass (sem necessidade de ativar a assinatura do teste)
• Bypass KPP
• Ocultar processos
• Ocultar portas (TCP/UDP)
• Elevação da permissão do processo
• Proteção de processo
• ShellCode Injector (Código de shell inabalável. Mesmo que o processo morra, o código shell ainda poderá ser executado)
• (TODO) ocultar arquivos/diretórios
• (TODO) ocultar as chaves do registro

Você pode implementar facilmente chamadas Rootkit copiando e colando o arquivo de cabeçalho do Blackangel em seu projeto.

Você pode encontrar demonstração de rootkit no meu canal

• Lembre -se de alterar o deslocamento do Active_Process_Links correspondente às versões do Windows. O deslocamento atual foi testado no Windows 10/11 Pro 21H2.
• Ainda pode haver problemas de estabilidade!
• O injetor do código de shells do km é op. Se você injetar o código do shell no processo protegido, nenhum antivírus o removerá>: D códigos de shell simples, como o metasploit shell_reverse_tcp, poderão funcionar mesmo que o processo seja encerrado.

• kdmapper
• driver-hijack
• Cronos-Rootkit