文章总结： Nidhogg是一款面向红队的多功能rootkit，集成了多种实用功能。它将所有功能整合在一个驱动程序中，并通过IOCTL进行通信。其主要功能包括进程/线程/文件/注册表项隐藏与保护、绕过内存扫描器、修改进程签名、注入Shellcode和DLL、凭证转储等。此外，它还具备反射加载能力和内置的AMSI/ETW旁路功能。文档也指出了使用反射加载或特定功能（如进程隐藏）时可能触发PatchGuard的风险。 综合评分： 85 文章分类： 红队,恶意软件,二进制安全,渗透测试,内网渗透

Nidhogg：面向红队的多功能rootkit

TtTeam

2026年3月25日 16:43 中国香港

Nidhogg 是一款面向红队的多功能 rootkit。它的目标是提供一个功能齐全、易于使用的 rootkit，为红队演练提供多种实用功能，并且可以通过一个简单的头文件将其集成到您的 C2 框架中。

Nidhogg 最初是为了启发他人而开发的，但随着时间的推移，它不断发展壮大，界面也几经变更。Nidhogg 的所有功能都集成在一个驱动程序中，并且可以通过 IOCTL 进行通信，就像在给定的客户端中实现的那样。这些功能可以分为三类：

持续运行：在后台持续运行的功能（例如：对象/注册表回调）。

半连续运行：驱动程序加载时不会运行的功能，但自从“触发”（用户发送了某个请求）以来，它将一直运行，直到驱动程序卸载时停止或被用户取消（例如：IRP 挂钩）。

立即操作：持续时间短且能立即产生响应的操作（例如：禁用 ETWTI）。

当前功能

• 进程隐藏和取消隐藏

• 工艺提升

• 工艺保护（防杀伤和排空）

• 绕过内存扫描器（例如 pe-sieve）

• 线程隐藏和取消隐藏

• 线材保护（防死线）

• 文件保护（防删除和防覆盖）

• 注册表项和值保护（防删除和防覆盖）

• 隐藏注册表项和值

• 列出当前受保护或隐藏的进程、线程、文件、端口、注册表项和值

• 功能修补

• 内置 AMSI 旁路

• 内置 ETW 补丁

• 进程签名（PP/PPL）修改

• 可反射加载

• Shellcode注入

• 装甲运兵车

• NtCreateThreadEx

• DLL注入

• 装甲运兵车

• NtCreateThreadEx

• 列出内核回调函数

• 对象回调

• 进程和线程创建例程

• 图像加载例程

• 注册表回调

• 移除和恢复内核回调

• 禁用/启用 ETW 提供程序（例如 ETW-TI）

• 模块隐藏和显示

• 司机隐藏和取消隐藏

• 凭证转储

• 端口隐藏和取消隐藏

• 用于内核模式 COFF 执行的 Nidhogg 目标文件 (NOF)

反射载荷

自 v0.3 版本起，Nidhogg 可以通过kdmapper反射加载  ，但由于 驱动程序注册回调时PatchGuard 会自动触发，因此 Nidhogg 将不会注册任何回调。这意味着，如果您使用反射加载驱动程序，这些功能默认情况下将被禁用：

• 过程保护
• 螺纹保护
• 注册操作

PatchGuard触发功能

据我所知，以下功能会触发 PatchGuard，您仍可自行承担风险使用它们。

• 进程隐藏
• 隐藏线程
• 文件保护

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：TtTeam 《Nidhogg：面向红队的多功能rootkit》