%20(2).svg)
项目简介
本项目是基于C语言开发的macOS内核扩展(kext),名为AntiRootkit。它能够在内核级别对系统进行监控,有效对抗像rootkit这类恶意软件,防止其对系统进行恶意修改或实施其他有害行为。
项目的主要特性和功能
- 系统调用钩子处理:可拦截并修改
open、execve、posix_spawn等特定系统调用,实现对系统行为的监控与控制。 - 反Rootkit操作:具备对抗调试和系统调用表钩子的能力,能检测并阻止rootkit等恶意软件的活动。
- 版本检查:能够获取并检查macOS的版本信息。
- 符号解析:可解析和查找macOS内核符号,辅助理解内核工作原理与进行内核调试。
- CPU保护:提供对CPU的CR0寄存器写保护位的设置和验证功能,实现对内核写权限的控制。
- 应用层管理:支持安装、卸载kext,hook和unhook指定系统调用,启动和终止监控,还能打印已拦截的恶意进程。
安装使用步骤
假设用户已下载本项目的源码文件:
1. 编译内核扩展:使用Xcode或其他支持的编译器编译内核扩展。
2. 加载内核扩展:使用kextload命令加载内核扩展。
3. 使用sysctl命令交互:通过sysctl命令与扩展进行交互,例如设置要保护的进程ID或解除所有系统调用的钩子。
4. 测试:在macOS环境中运行测试代码,检查系统调用的拦截和修改效果。
由于该项目涉及内核编程,可能需要相应的权限和工具来编译和加载这个扩展。在实际使用中,请谨慎处理,确保不对系统的稳定性和安全性产生不良影响。
下载地址
点击下载 【提取码: 4003】【解压密码: www.makuang.net】