解析RootKit与反RootKitWEB安全电脑资料 .pdfVIP

解析RootKit与反RootKitWEB平安电脑资料

Rootkit是一个或者多个用于隐藏、控制一台计算机的工具包，该

技术被越来越多地应用于一些恶意软件中，

实验环境：WindowsXPSP2

工具：

Hackerdefende(RootKit工具)

RootKitHookAnalyzer(RootKit分析工具)

IceSword(冰刃)

一、RootKit

笔者以用RootKit进展员高级隐藏为例，解析RootKit技术。超级

隐藏的管理员用户。

1、创立帐户

在命令提示符(cmd.exe)下输入如下命令：

usergslw$test168/add

通过上面的两行命令建立了一个用户名为gslw$，密码为test168

的普通用户。为了到达初步的隐藏我们在用户名的后面加了“$”

号，这样在命令提示符下通过user是看不到该用户的，当然在

“本地用户和组”及其表的“SAM”项下还可以看到。(图1)

2、用户提权

下面我们通过表对gslw$用户进程提权，使其成为一个比较隐蔽(在

命令行和“本地用户和组”中看不到)的管理员用户。

第一步：翻开表器，定位到HKEYLOCALMACHINE\SAM\SAM项。由于默

认情况下管理员组对SAM项是没有操作权限的，因此我们要赋权。

右键点击该键值选择“权限”，然后添加“administrators”组，

赋予其“完全控制”权限，最后刷新表，就能够进入SAM项下的相

关键值了。

第二步：定位到表

HKEYLOCALMACHINE\SAM\SAM\Domains\Aount\Users项，点击

“000001F4”

表项，双击其右侧的“F”键值，复制其值，然后点击

表项(该项不一定相同)，双击其右侧的“F”键值，用刚刚复制键值

进展替换其值。(图2)

第三步：分别导出gslw$表项为1.reg和2.reg。在命

令行下输入命令usergslw$/del删除gslw$用户，然后分别双

击1.reg和2.reg导入表，最后取消administrators对SAM表项的

访问权限。

这样就把gslw$用户提升为管理员，并且该用户非常隐蔽，除了表

在命令下及“本地用户和组”是看不到的，

3、高级隐藏用户

综上所述，我们创立的gslw$用户虽然比较隐蔽，但是通过表可以

看见。下面我们利用RootKit工具进展高级隐藏，即在表中隐藏该

用户。

在Hackerdefende工具包中也很多工具，我们隐藏表键值只需其中

的两个文件，hxdef100.exe和

hxdef100.ini。其中hxdef100.ini是配置文件，hxdef100.exe是

程序文件。翻开hxdef100.ini文件定位到[HiddenRegKeys]项下，

添加我们要隐藏的表键值gslw$和即用户在表的项然后保

存退出。(图3)

然后双击运行hxdef100.exe，可以看到gslw$用户在表中的键值

“消失”了，同时这两个文件也“不见”了。这样我们就利用

RootKit实现了高级管理员用户的彻底隐藏，管理员是无从知晓在

系统中存在一个管理员用户的。(图4)

二、反RootKit

那是否意味着我们就无能为力呢?俗话说“邪不胜正”，与RootKit

就有反RootKit。我们就以该管理员为例进展演示。

1、RootKitHookAnalyzer驱动分析

RootKitHookAnalyzer是一款Rookit分析查询工具，利用它可以

扫描分析出系统中存在的RooKit程序。该工具是英文程序，安装并

运行点击其界面中下方的“Analyze”按钮就可以进展扫描分析，列

出系统中的RooKit程序，勾选“Showhookedservicesonly”就

可以进展筛选值列出RooKitservices。(图5)

2、IceSword进程查看

运行IceSword，点击“进程”按钮，就可以列出当前系统中的进

程，其中红色显示的是可疑进程。我们可以看到hxdef100.exe进程

赫然其中，这真是我们刚刚运行的RootKit。在该进程上点击右键

选择“完毕”进程。这时hxdef100.exe和hxdef100.ini文件显身

了，再刷新并查看表，刚刚消失的两个键值有重现了。(图6)

3、专业工具查杀

利用IceSword