chokepoint/azazel

## Azazel #### V 0.1 Azazel 是一款基于 Jynx rootkit 原始 LD_PRELOAD 技术的用户态 rootkit。它更加健壮，拥有额外功能，并重点关注反调试和反检测。 ### 功能特性 * 反调试 * 躲避 unhide、lsof、ps、ldd 检测 * 隐藏文件和目录 * 隐藏远程连接 * 隐藏进程 * 隐藏登录 * PCAP hooks 躲避本地嗅探 * 两个 accept 后门。 * [Crypthook](https://github.com/chokepoint/CryptHook) 加密 accept() 后门 -- 完整 PTY * 明文 accept() 后门 -- 完整 PTY * 用于本地提权和远程入侵的 PAM 后门 * 基于 pty 的 utmp/wtmp 条目日志清理 使用 netcat 与远程 PTY 通信并不是个好主意。请参阅下方由 [InfoDox](https://github.com/infodox) 编写的更好的 PTY 客户端，或者使用 socat 并配合类似下面的命令，然后直接将密码粘贴到会话中，否则 socat 会发送第一个字符导致密码不匹配。 ### 链接 * [更好的 PTY 客户端](https://github.com/infodox/python-pty-shells/blob/master/tcp_pty_shell_handler.py) ### 免责声明 作者不对任何非法使用本软件的行为负责。本软件仅作为教育性的概念验证提供。对于使用本软件过程中可能发生的任何损害或意外，我们亦不负责。使用风险自负。

标签：Crypthook, CTF学习, DOM解析, Hook技术, LD_PRELOAD, PAM后门, Rootkit, Zeek, 内网渗透, 加密通信, 协议分析, 反检测, 反调试, 后门, 客户端加密, 客户端加密, 客户端加密, 恶意软件, 文件隐藏, 日志清理, 权限提升, 用户态Rootkit, 系统劫持, 网络可见性, 网络连接隐藏, 进程隐藏, 隐藏技术