經典后門實例之root kit技術后門
root kit是當今最為流行的后門,其他后門的危害程度對于root kit技術的后門來說簡直就不能相提并論。root kit技術不論從隱蔽程度還是危害性來說都可以算是后門技術的革新制作,對于廣大的安全管理員更應當注意這種后門的防范。
root kit技術出現于20世紀90年代初,在1994年2月的一篇安全咨詢報告中首先使用了root kit這個名詞。從出現至今,root kit 的技術發展非常迅速,應用越來越廣泛,檢測難度也越來越大。其中釷對SunOS和Linux兩種操作系統的root kit最多。
很多人有一個誤解,他們認為root kit技術是用作獲得系統root訪問權限的工具。實際上,root kit是攻擊都用來隱蔽自己的蹤跡和保留root訪問權限的工具。通常,攻擊者通過遠程攻擊獲得root訪問權限,進入系統后,攻擊者會在侵入的主機中安裝root kit,然后他將經常通過root kit的后門檢查系統是否有其他的用戶登錄,如果只有自己,攻擊者就開始著手清理日志中的有關信息。通過root kit的嗅探器獲得其他系統的用戶和密碼之后,攻擊者就會利用這些信息侵入其他系統。
從*nix系統上遷移到windows系統下的root kit完全沿襲了這些“可怕”的功能!現在網絡上常見的root kit 是內核級后門軟件,用戶可以通過它隱藏文件、進程、系統服、系統驅動、注冊表鍵和鍵值、打開的端口以及虛構可用磁盤窨。程序同時也在內存中偽裝它所做的改動,并且隱身地控制被隱藏進程。程序安裝隱藏后門,注冊隱藏系統服務并且安裝系統驅動。該后門技術允許植入reDirector,是非常難以查殺的一個東東,讓很多網絡管員非常頭疼!
hacker defender
類型:系統后門
使用范圍:win200/xp/2003
隱蔽程度:★★★★★
使用難度:★★★★★
危害程度:★★★★★
查殺難度:★★★★★(呵呵,全部五星,因為它太“霸道”了)
現在最新版本的hxdf是1.0.0,它是從國外傳過來的一個程序,包含兩個關鍵程序,里面的配置文件ini非常復雜,相信新手使用也是很困難的主要包括:[Hidden Table],[Root Processes],[HiddenServices],[Hidden RegKeys],[Hidden RegValues],[Startup Run],[Free Space],[Hidden pORTS],[Settings]。對功能就是隱藏文件(目錄)、隱藏進程、隱蔽服務、隱藏注冊鍵、隱藏注冊表鍵值、啟動程序、增加磁盤剩余空間、隱藏端口、后門設置,具體配置我們就不具體講解了,本期文章有詳細的介紹,我們說說它的特點(純粹個人觀點和經驗偏激的地方請大家海涵):
(1)可以實現正常系統TCP端口的通訊,比如80等,這個功能在高級后門并不鮮見。
(2)能得到簡單的系統SHELL,對入侵的老手來說這就夠了,多余的功能反而是累贅。
(3)隱藏端口,如果你非要使用TCP的某一個非常規端口通訊,那使用這個功能吧,放心,別人發現不了。
(4)隱藏后門的所有可找到東西!這個只能用一個字來形容:牛!比如隱藏文件、服務、注冊表鍵等功能,雖然我們說起來是一句話,想念識貨的朋友應該能發現這中間NB的地方!
(5)史上最經典后門思維:配合其他擴展型后門使用,效果好得出乎你的意料!(這是后面的內容,我們馬上講到)。
拋開其他不講,系統中安裝了運用root kit技術的后門,你通過普通的查殺途徑根本檢測不到這個程序這點就非常值得我們利用了!試想:一個在你服務器上運行的后門,你連看都看不到它,別說查殺了!
注:由于此后門危害太大,所以編輯特別在此掐掉作者一段篇幅,喜歡研究后門程序的朋友可以自己去研究,不過千萬注意不要誤運行了程序,查殺和清除是非常麻煩的事!直接重新安裝系統吧!
【編輯推薦】
