一次Rootkit实施失败记(图解)

最新推荐文章于 2024-04-03 14:33:14 发布
最新推荐文章于 2024-04-03 14:33:14 发布
阅读量3.7k 收藏 3
点赞数
分类专栏: 安全编程 文章标签: 注册表 rootkit 隐藏用户 进程管理工具 冰刃
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bcbobo21cn/article/details/51134661
版权

一 首先参阅资料搞一次Rootkit实施

参阅

http://security.ctocio.com.cn/tips/331/8238331.shtml

其目的在于:在系统中新建一个除了黑客自己之外谁也看不到的隐藏的管理员用户

在命令提示符(cmd.exe)下输入如下图命令;
建立了一个用户,密码为123fff的普通用户。为了达到初步的隐藏我们在用户名的后面加了“$”号,这样在命令提示符下通过net user是看不到该用户的,当然在“本地用户和组”及其注册表的“SAM”项下还可以看到。

命令行输入lusrmgr.msc可打开本地组;

下面通过注册表对tianxia$用户提权,使其成为一个比较隐蔽(在命令行和“本地用户和组”中看不到)的管理员用户。
打开注册表编辑器,命令行输入regedit,定位到HKEY_LOCAL_MACHINE\SAM\SAM项。默认情况下管理员组对SAM项是没有操作权限的,因此我们要赋权。右键点击该键值选择“权限”,然后添加“administrators”组,赋予其“完全控制”权限,最后刷新注册表,就能够进入SAM项下的相关键值了。
定位到注册表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users项,点击“000001F4”
注册表项,双击其右侧的“F”键值,复制其值,然后点击“00000404”注册表项(该项不一定相同),双击其右侧的“F”键值,用刚才复制键值进行替换其值。

 

分别导出tianxia$、00000404注册表项为1.reg和2.reg。在命令行下输入命令"net user tianxia$ /del"删除tianxia$用户,然后分别双击1.reg和2.reg导入注册表,最后取消administrators对SAM注册表项的访问权限。
  这样就把tianxia$用户提升为管理员,并且该用户非常隐蔽,除了注册表在命令下及“本地用户和组”是看不到的。这样的隐藏的超级管理员用户是入侵者经常使用的,对于一个水平不是很高的管理员这样的用户他是很难发现的。这样的用户他不属于任何组,但却有管理员权限,是可以进行登录的。

 

 

删除上面建的用户;

 

导入注册表;

 

到目前为止;注册表中可见该用户;

本地用户和组里面确实没有了;

 

二 高级隐藏用户失败

  综上所述,创建的tianxia$用户虽然比较隐蔽,但是通过注册表可以看见。下面利用RootKit工具进行高级隐藏,即在注册表中隐藏该用户。
  在Hacker defende工具包中也很多工具,我们隐藏注册表键值只需其中的两个文件,hxdef100.exe和
  hxdef100.ini。其中hxdef100.ini是配置文件,hxdef100.exe是程序文件。打开hxdef100.ini文件定位到[Hidden RegKeys]项下,添加我们要隐藏的注册表键值gslw$和00000404即用户在注册表的项然后保存退出。

 

......

[Hi:dden R/">>egKeys]
Ha:"c<kerDef\e/nder100
LE":GACY_H\ACK/ERDEFE\ND:ER100
Ha:"c<kerDef\e/nderDrv100
LE":GACY_H\ACK/ERDEFE\ND:ERDRV100
tianxia$
000003E8

......

 

原文:

然后双击运行hxdef100.exe,可以看到tianxia$用户在注册表中的键值“消失”了,同时这两个文件也“不见”了。这样我们就利用RootKit实现了高级管理员用户的彻底隐藏,管理员是无从知晓在系统中存在一个管理员用户的。

但是看下注册表:

tianxia$用户还能看到;没有隐藏;

此应为版本的原因;该文发表于2008年;现已是Win7以上时代;

三 试下反Rootkit工具

网上下个RootKit Hook Analyzer,运行,不能安装,如下图;以后再搞吧;

下个冰刃,不能运行;看来要搞个与时俱进的高级工具还真不容易;

看下任务管理器,该Rootkit进程正在其中;hxdef100.exe;

四 用进程查看工具分析一下

 

此工具能显示进程的详细信息;模块信息;msvcrt.dll是微软在windows操作系统中提供的C语言运行库执行文件; 那么此进程也许是VC++编写;

调用了kernel32,输入法模块,GDI模块,.....,有WS2_32.dll,那么应该实现了网络通信功能,......;怎么样能看出这个hxdef100是危险进程呢?偶看不出;

 

2 下面这个工具很强大;

能显示进程详细信息;但是也不会自动提示哪个是可疑进程;

 

下面这个据说可提示可疑进程;使用前先要运行补丁;

运行该工具;蓝屏死机;看来也是老版本;

下了一个工具,据说能自动提示可疑进程;

一打开,这家伙先自动删了两个进程;偶好崩溃;

想起来重启电脑,hxdef100未加载;重新加载hxdef100,再打开该工具;此工具确实把hxdef100删除了;但是顺带连我的截图工具也删除;

又下了个新一些版本的 Windows进程管理器 ,切换到端口监听选项卡时,挂了;要搞个好工具还真难;

 

上述相关工具下载,搞崩溃电脑自己负责;

http://pan.baidu.com/s/1skZx4TZ

 

另;

VirusTotal是一个提供免费的可疑文件分析服务的网站。
virustotal.com网站允许用户上传恶意样本,然后返回46个病毒扫描器的扫描报告。
利用virustotal.com网站提供的公共API,可以编写python脚本自动获取这个扫描报告。 

bcbobo21cn
关注
专栏目录
Metasploit 学习笔
不急不躁
07-11 2万+
在Kali中使用Metasploit,需要先开启PostgreSQL数据库服务和Metasploit服务 然后就可以完整的利用 msf 数据库查询 exploit 和录service postgresql start service metasploit start如果不想每次开机都这样,还可以配置随系统启动update-rc.d postgresql enable update-rc.d me
入侵电脑留后门
热门推荐
毛兴宇
12-15 1万+
从某种意义上说,服务器被攻击是不可避免的,甚至被控制也情有可原。但绝对不能容忍的是,服务器被植入后门,攻击者如入无人之境,而管理者去浑然不觉。本文将对当前比较流行的后门技术进行解析,知己知彼方能杜绝后门。   1、放大镜后门   放大镜(magnify.exe)是Windows2000/XP/2003系统集成的一个小工具,它是为方便视力障碍用户而设计的。在用户登录系统前可以通过“Win
JBOSS jexboss自动化渗透
qq_45300786的博客
08-30 571
jexboss自动化渗透 jexboss是针对jboss渗透自动化估计武器,是用于测试和利用JBoss Application Server和其他java平台、框架、应用程序等中的漏洞的工具。 下载地址:https://github.com/joaomatosf/jexboss 这里演示的环境是我上面搭建的4.x和6.x的环境。 输入命令 python jexboss.py -host http://192.168.100.34:8080 可以看到很红色“vulnerable”,就是存在漏洞 继续输入yes
hxdef100 至今天最完美版
11-18
hxdef100 很老的一款后门,进过修改将近完美~!
hxdef100源码、远控、后门
11-18
N年前的远控神话。。。 hxdef100源码、远控、后门。
Rootkit端口隐藏技术_rootkithook_hook_rootkit_creature2ka_隐藏驱动
09-11
Rootkit是一种高级的系统安全工具,它主要用于隐蔽和保护恶意软件活动,使它们不被常规的安全软件检测到。在本文中,我们将深入探讨Rootkit如何使用Hook技术来隐藏端口,以及如何通过驱动加载实现这一目标。我们还将...
一种新型Linux内核级Rootkit设计与实现.pdf
09-06
一种新型Linux内核级Rootkit设计与实现.pdf 一、Rootkit概述 Rootkit是一种特殊类型的恶意软件,其功能是隐藏自身及指定的文件、进程和网络连接等信息。攻击者通常使用Rootkit隐藏他们的踪迹,避免被检测和追踪...
Rootkit-Ring3_rootkit_
09-29
Repo for Rootkit Ring 3 and Ring 0 test in Python and C++
一款Linux下的rootkit工具源码
04-24
Linux下的rootkit源码,可实现文件、进程、网络、模块的隐藏
论文研究-一种新的内核级Rootkit的检测方法.pdf
07-22
在详细剖析内核级Rootkit 原理的基础上分析了其他检测Rootkit方法的局限性,提出一种新的方法。该方法分析内核模块加载时是否有可疑行为,结合对比system.map和kmem文件判断其是否为Rootkit。最后用实验证明了此方法...
64位RootKit源码
02-05
德国人写的win64位RootKit源代码。
Rookit系列一 【隐藏网络端口】【支持Win7 x32/x64 ~ Win10 x32/x64】
qq_41252520的博客
08-04 1134
Rookit是个老生常谈的话题了,它包括隐藏进程隐藏模块、隐藏端口等隐藏技术和其他对抗杀软的技术。作为一名二进制安全研究员你可以不去写这些代码,但你不能不懂,也因为最近隔壁组的同事在做这方面的检测向我请教了一些问题,索性我就利用空余时间研究了一下网络端口的隐藏。网上随便去搜搜隐藏端口的资料,发现能用的几乎没有。这才是我研究的动力和分享的意义。\textcolor{green}{这才是我研究的动力和分享的意义。这才是我研究的动力和分享的意义。于是就自己研究了一通,发现也没什么特别的。
Hacker defender中文使用说明
若水斋
12-29 3193
Hack defender是一款强大的Windows NT系统下的Rootkit程序,可隐藏文件、进程、服务、驱动、注册表键和值以及端口,并能够伪造磁盘剩余空间,通过hook使任意端口成为后门。这是我自己翻译的该程序的使用说明。
JBOSS未授权漏洞总结
最新发布
m0_64481831的博客
04-03 1408
JBOSS是一个基于J2EE的开放源代码应用服务器,也是一个管理EJB的容器和服务器,默认使用8080端口监听。JBOSS未授权访问漏洞介绍漏洞原理JBOSS未授权漏洞在默认情况下无需账号密码就可以直接访问后台管理控制台页面(),导致攻击者可以获取网站信息、上传webshell,获取服务器权限等。
专家教你清除Rootkit
gzfqh的专栏 →底层代码研究
01-13 8587
什么是rootkitRootkit基本是由几个独立程序组成,一个典型rootkit包括: 以太网嗅探器程程序,用于获得网络上传输的用户名和密码等信息。 特洛伊木马程序,为攻击者提供后门。 隐藏攻击者目录和进程的程序。还包括一些日志清理工具,攻击者用其删除wtmp、utmp和lastlog等日志文件中有关自己行踪的条目。 复杂的rootkit还可以向攻击者提供teln
关于ASP木马提升权限
蓝法典的专栏
03-16 4958
来源: http://www.17nc.com/现在ASP木马是漫天飞,我有一次进去后发现竟然用30多个ASP木马,在帮管理员清理了后,真是累爬了。想想管理员还真是懒的可以……上传了ASP木马之后,如果只是修改主页啥的,或者删除文件,那大可不必提升权限了,如果不想黑掉那个站,那光有ASP木马就没啥用处了,顶多就放放临时文件啥的,而且许多网站服务器通常只给你浏览网站目录的权限,连C盘都看不到,更别说
rootkit原理与编写教程
qq_42882717的博客
03-31 3016
rootkit原理与编写教程rootkit原理rootkit介绍windows下rootkit编写windows编程技术Linux下rootkit编写 rootkit原理 rootkit介绍 Rootkit的历史已经很悠久了。存在于windows,unix,linux等操作系统中。Root在英语中是根,扎根的意思,kit是包的意思。 rootkit我们可以把它理解成一个利用很多技术来潜伏在你系统中的一个后门,并且包含了一个功能比较多的程序包,例如有清除日志,添加用户,cmdshell,添加删除启动服务等功能
什么是Rootkit病毒
weixin_34008784的博客
09-16 2719
Rootkit是一种很深的隐藏在操作系统中执行恶意或令人讨厌的程序,比如弹出程序、广告软件或者间谍程序等。 大多数安全解决方案不能检测到它们并加以清除。因为Rootkit在操作系统中隐藏得很深并且是以碎片的形式存在。如果在清除过程中漏掉了任何一个相互关联的碎片,rootkit能够自我激活。 一般的病毒扫描通常是清除病毒程序的执行阶段,但是在重新启动操作系统后rootkit...
Linux内核级Rootkit检测与防护策略:技术解析与实施方案
针对Linux内核级Rootkit(恶意软件的一种,通过侵入系统底层,隐藏自身并篡改关键组件来逃避检测)的问题,本文由电子科技大学硕士研究生龚友撰写,旨在深入研究Linux下内核级Rootkit的检测和防护机制。 首先,论文...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值