Rootkit是一個或者多個用于隱藏、控制一臺計算機的工具包，該技術(shù)被越來越多地應(yīng)用于一些惡意軟件中。在基于Windows的系統(tǒng)中Rootkit更多地用于隱藏程序或進(jìn)程，系統(tǒng)被注入Rootkit后就可以在不為用戶察覺的情況下進(jìn)行某些操作。因此，其隱蔽性極高，危害也極大。下面筆者結(jié)合實例解析RootKit及其反RooKit技術(shù)。
　　實驗環(huán)境：Windows XP SP2
　　工具：
　　Hacker defende(RootKit工具)
　　RootKit Hook Analyzer(RootKit分析工具)
　　IceSword(冰刃)
　　一、RootKit
　　筆者以用RootKit進(jìn)行管理員高級隱藏為例，解析RootKit技術(shù)。超級隱藏的管理員用戶。
　　1、創(chuàng)建帳戶
　　在命令提示符(cmd.exe)下輸入如下命令：
　　net user gslw$ test168 /add
　　通過上面的兩行命令建立了一個用戶名為gslw$，密碼為test168的普通用戶。為了達(dá)到初步的隱藏我們在用戶名的后面加了“$”號，這樣在命令提示符下通過net user是看不到該用戶的，當(dāng)然在“本地用戶和組”及其注冊表的“SAM”項下還可以看到。(圖1)


　　
　　2、用戶提權(quán)
　　下面我們通過注冊表對gslw$用戶進(jìn)程提權(quán)，使其成為一個比較隱蔽(在命令行和“本地用戶和組”中看不到)的管理員用戶。
　　第一步：打開注冊表編輯器，定位到HKEY_LOCAL_MACHINE\SAM\SAM項。由于默認(rèn)情況下管理員組對SAM項是沒有操作權(quán)限的，因此我們要賦權(quán)。右鍵點擊該鍵值選擇“權(quán)限”，然后添加“administrators”組，賦予其“完全控制”權(quán)限，最后刷新注冊表，就能夠進(jìn)入SAM項下的相關(guān)鍵值了。
　　第二步：定位到注冊表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users項，點擊“000001F4”
　　注冊表項，雙擊其右側(cè)的“F”鍵值，復(fù)制其值，然后點擊“00000404”注冊表項(該項不一定相同)，雙擊其右側(cè)的“F”鍵值，用剛才復(fù)制鍵值進(jìn)行替換其值。(圖2)


　
　　第三步：分別導(dǎo)出gslw$、00000404注冊表項為1.reg和2.reg。在命令行下輸入命令"net user gslw$ /del"刪除gslw$用戶，然后分別雙擊1.reg和2.reg導(dǎo)入注冊表，最后取消administrators對SAM注冊表項的訪問權(quán)限。
　　這樣就把gslw$用戶提升為管理員，并且該用戶非常隱蔽，除了注冊表在命令下及“本地用戶和組”是看不到的。這樣的隱藏的超級管理員用戶是入侵者經(jīng)常使用的，對于一個水平不是很高的管理員這樣的用戶他是很難發(fā)現(xiàn)的。這樣的用戶他不屬于任何組，但卻有管理員權(quán)限，是可以進(jìn)行登錄的。
　　3、高級隱藏用戶
　　綜上所述，我們創(chuàng)建的gslw$用戶雖然比較隱蔽，但是通過注冊表可以看見。下面我們利用RootKit工具進(jìn)行高級隱藏，即在注冊表中隱藏該用戶。
　　在Hacker defende工具包中也很多工具，我們隱藏注冊表鍵值只需其中的兩個文件，hxdef100.exe和
　　hxdef100.ini。其中hxdef100.ini是配置文件，hxdef100.exe是程序文件。打開hxdef100.ini文件定位到[Hidden RegKeys]項下，添加我們要隱藏的注冊表鍵值gslw$和00000404即用戶在注冊表的項然后保存退出。(圖3)


　　

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非maisonbaluchon.cn所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。