skeeminator/RINGW0RM
GitHub: skeeminator/RINGW0RM
一个 Ring0 内核级 Rootkit 与 UEFI 启动套件插件,为 PulsarRAT 提供底层持久化与隐蔽控制能力。
Stars: 0 | Forks: 0
# Ring0 Rootkit 插件(用于 Pulsar RAT)
## 概述
由于源代码已被 C5Hackr 反向/泄露( lol ,觉得项目能引起足够关注被破解还挺酷的 lol)。这是一个混乱的仓库,因为原本打算作为私有项目,但我宁愿直接公开它也不愿让其他人从 Telegram 的副本中感染病毒 lol。虽然组织得很糟糕,但我对这个项目感到很自豪(除了那个很明显糟糕的许可系统 lol ,我想尝试离线认证,因为我不想租服务器 lol)。我认为现在更适合挑选和提取代码,而不是直接使用。我猜人们说它只是 Chaos 的克隆版,但为此进行了大量修改并投入了数月的研究,所以我觉得没必要再隐瞒了。反正你可以感谢 C5Hackr,很荣幸 lol ;)
Ring0 是一个内核级 Rootkit 插件,提供真正的 Ring 0(内核)访问权限,实现对系统的全面控制。与用户模式工具不同,Ring0 在 Windows 的最底层运行,能够实现用户空间无法达到的能力。
## 关键特性
### 内核级进程隐身
- **DKOM 进程隐藏**:进程对任务管理器、进程资源管理器以及所有枚举 API 不可见
- **SYSTEM 令牌提升**:无需创建新进程即可将任意进程提升至 SYSTEM 权限
- **PPL 保护**:以与 Windows Defender 相同的反恶意软件轻量级保护级别保护进程
- **SYSTEM Shell**:以 NT AUTHORITY\SYSTEM 身份运行的交互式命令外壳
### 安全绕过
- **DSE 绕过**:通过 UEFI 启动套件加载未签名驱动
- **回调移除**:禁用 EDR/AV 的内核回调(进程、线程、图像加载、注册表)
- **ETW 致盲**:在内核级别禁用 Windows 事件跟踪
- **AMSI 绕过**:内核级 AMSI 修补
- **Defender 杀手**:永久禁用 Windows Defender 及相关安全服务
### 网络隐身
- **端口隐藏**:使任何 TCP/UDP 端口对 netstat、任务管理器和所有网络枚举不可见
- **DNS 拦截**:在内核级别重定向或阻止 DNS 查询
- **IP 阻断**:基于内核的防火墙,用于阻止特定 IP
### 持久化
- **UEFI 启动套件**:在操作系统重装后仍可存活,在 Windows 加载前运行
- **自动保护**:有效载荷在启动时自动受保护和隐藏
- **多层持久化**:注册表 Run 键、计划任务和启动文件夹快捷方式
## 安装
1. 将插件 DLL 文件放入 Pulsar 的 `Plugins` 文件夹
2. 重启 Pulsar 服务
3. 右键点击客户端 → Ring0 → 安装 Rootkit
4. 重启目标系统(启动套件激活所必需)
## 控制面板
Ring0 控制面板提供所有功能的图形界面:
- **状态标签页**:驱动连接、DSE 状态、保护状态
- **进程标签页**:隐藏、提升和保护进程
- **网络标签页**:端口隐藏、IP 阻断、DNS 规则
- **安全标签页**:回调清除、ETW/AMSI 绕过
- **启动套件标签页**:安装状态、诊断信息
## 系统要求
- Windows 10/11 x64
- 安全启动:必须关闭(测试签名模式作为备用)
- 目标系统上的管理员权限
## 与用户模式工具对比
| 功能 | Ring0 | 用户模式(r77 等) |
|------|-------|---------------------|
| 真正的隐身 | ✓ 内核 DKOM | ✗ 仅 API 钩子 |
| 跨重启存活 | ✓ 启动套件 | ✗ 需要重新注入 |
| SYSTEM 权限 | ✓ 令牌操作 | ✗ 需要利用漏洞 |
| EDR 绕过 | ✓ 回调移除 | ✗ 易被检测 |
| 端口隐藏 | ✓ NDIS/TDI 级别 | ✗ 用户空间钩子 |
## 故障排除
**驱动无法加载**:检查安全启动是否已禁用,测试签名模式是否已启用。
**重启后无连接**:验证有效载荷路径是否存在,且 HKCU Run 键已设置。
**功能无法使用**:确保控制面板中驱动显示“已连接”。
## 支持
如需技术支持和更新,请联系供应商。
标签:AMSI 绕过, DAST, Defender 禁用, DKOM, ELYSIUM, ETW 盲化, PPL 保护, PulsarRAT, Ring0, Rootkit 插件, SYSTEM 令牌提升, UEFI 引导套件, UEFI 持久化, Web报告查看器, Windows 内核, 内核回调绕过, 内核提权, 内核根kit, 内核漏洞, 内核级, 反取证, 可视化界面, 子域名变形, 安全绕过, 安全评估, 恶意软件分析, 数据展示, 混沌, 离线认证, 红队, 网络可见性, 自动回退, 进程隐藏, 驱动签名绕过