fluffycats31/insider

## 信息 如果 tcpip 协议块确实有一个 OpenQueue 指针，那么我们假设适配器已断开。总共放置了四个钩子，前两个用于检测网络适配器的连接/断开。第二个用于 ipv4 流量的传入/传出。只有当适配器连接时，OpenQueue 指针才存在，我们等待它连接，然后我们的钩子被调用，我们让它完成，然后设置我们的网络钩子。如果存在 OpenQueue，我们将我们的网络钩子放置而不会出现问题。 大欣 root-kit 存在重大缺陷。它假设 OpenQueue 是一个有效的指针，同时适配器已连接，如果这些条件不满足，大欣将由于无效内存访问而导致页面错误。加载了 root-kit 的用户只需断开他们的网络适配器，然后重新启用，完全禁用大欣 root-kit 放置的所有钩子。我已经尽力修复这些问题，并使这个版本更加稳定。 ## 致谢 - https://www.security.com/threat-intelligence/daxin-malware-espionage-analysis

标签：DAST, Daxin Rootkit, IPv4 流量监控, TCP/IP 协议, Windows 网络监控, XML 请求, 内存访问错误, 协议拦截, 威胁情报, 子域名枚举, 安全开发, 并发处理, 开发者工具, 恶意软件分析, 漏洞修复, 稳定性提升, 系统安全, 网络安全, 网络安全培训, 网络适配器, 网络钩子, 连接状态检测, 隐私保护