说明：看雪学院Rootkit学习，1.内核Hook:对于hook，从ring3有很多，ring3到ring0也有很多，根据api调用环节递进的顺序，在每一个环节都有hook的机会，可以有int 2e或者sysenter hook，ssdt hook，inline hook ，irp hook，object hook，idt hook等等

说明：BlackReleaver is a ring 0 rootkit that can hide files, processes, drivers, registry keys, and more. It uses an inline hook on many ring 0 functions.

说明：begin 4 rootkit programming

说明：load and unload driver or rootkit

说明：驱动级ＲootＫit工具，可以用来隐藏进程和驱动

说明：BIOS ROOTKIT 学习资料及源码

说明：rootkit 隐藏文件，进程，等等很多功能

说明：FSD HOOK HIDE FILE 的简单历程完成

说明：这是个 rootkit 程序，反正什么功能都提供了，文件件、注册表等等都有。-rootkit，

说明：基于线程调度链表检测rootkit，内核态下使用threadlist检测

说明：A-protect 开源的anti-rootkit项目，各种内核hook和内核机制的检测，国内首例。

说明：rookit 编写 整理框架齐全，包括进程隐藏，文件隐藏，服务隐藏，注册表隐藏，端口隐藏等。各种隐藏方式，是学习rookit很好的资料

说明：某ROOTKIT 的源码，运用了各种SSDT HOOK以及INLINE HOOK，可躲过大部分工具检测

说明：NtIllusion: Userland rootkit for windows NT/2000/XP systems. Author: Kdm (Kodmaker@syshell.org)

说明：一个简单的rootkit，具有基本的隐藏、网络通信功能。

说明：学习rootkit很有用的资料，对于在windows下学习rootkit很有帮助

说明：\item{SucKIT} Oct 13, 2005 (2.2.x & 2.4.x kernels) http://packetstormsecurity.org/files/40690/suckit2priv.tar.gz http://packetstormsecurity.org/files/26371/sk-1.3a.tar.gz http://needleseek.msra.cn/result.aspx?query=SucKIT 1. SucKIT ( see[ SUKT01]) is an example of rootkit which uses /dev/kmem to access kernel and then changing system_call code, not touching original syscall table. 2. SucKIT is a root-kit presented in Phrack issue 58, article 0x07 (" Linux on-the-fly kernel patching without LKM", by sd & devik). 3. Some research reports that SucKIT is a widely-known ( published in Phrack) kernel-level-rootkit. 4. Some Holidays Just SuckIt was a well-known fact that you did not bother Hangover on one particular day of the year.

说明：介绍里面rootkit的应用，是一个非常好的学习例子。

说明：This is an simple rootkit source file.

说明：隐藏驱动源代码，是学习rootkit的很好的参考资料，值得下载学习

说明：full source code to gh0st, rootkit for windows

说明：Intel从386开始，在调试方面引入了调试寄存器和硬件断点的概念。 IA-32处理器定义了8个调试寄存器，分别为DR0~DR7。在32位模式下，它们都是32位的；在64位模式下，都是64位。 DR4和DR5是保留的。其他6个寄存器为：4个32位的调试地址寄存器（DR0~DR3）；1个32位的调试控制寄存器（DR7）和1个32位的调试状态寄存器（DR6）。通过以上寄存器可以最多设置4个断点，DR0~DR3用来指定断点的内存（线性地址）或I/O地址。DR7用来进一步定义断点的中断条件。DR6的作用是当调试事件发生时，向调试器（debugger）报告事件的详细信息，以供调试器判断发生的是何种事件。

说明：Windows+Rootkit隐藏技术与综合检测方法

说明：专业rootkit介绍书籍，学习rootkit编程的好资料

说明：驱动编程，VC.这个源码是用来隐藏指定的注册表键的。对于学习rootkit和反rootkit比较有帮助。感兴趣的可以看看

说明：source code for hiding via rootkit style

说明：复件 Win32平台下内核Rootkit检测技术的研究与应用

说明：Win32平台下内核Rootkit技术的研究与应用

说明：内核脱钩技术在检测rootkit木马信息隐藏中的应用