什么是rootKit?怎么用rootKit进行管理员高级隐藏?
Rootkit是一个或者多个用于隐藏、控制一台计算机的工具包,该技术被越来越多地应用于一些恶意软件中。在基于Windows的系统中Rootkit更多地用于隐藏程序或进程,系统被注入Rootkit后就可以在不为用户察觉的情况下进行某些操作。因此,其隐蔽性极高,危害也极大。下面笔者结合实例解析RootKit及其反RooKit技术。
实验环境:Windows XP SP2
工具:
Hacker defende(RootKit工具)
RootKit Hook Analyzer(RootKit分析工具)
IceSword(冰刃)
一、RootKit
笔者以用RootKit进行管理员高级隐藏为例,解析RootKit技术。超级隐藏的管理员用户。
1、创建帐户
在命令提示符(cmd.exe)下输入如下命令:
net user gslw$ test168 /add
通过上面的两行命令建立了一个用户名为gslw$,密码为test168的普通用户。为了达到初步的隐藏我们在用户名的后面加了“$”号,这样在命令提示符下通过net user是看不到该用户的,当然在“本地用户和组”及其注册表的“SAM”项下还可以看到。(图1)
2、用户提权
下面我们通过注册表对gslw$用户进程提权,使其成为一个比较隐蔽(在命令行和“本地用户和组”中看不到)的管理员用户。
第一步:打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\SAM\SAM项。由于默认情况下管理员组对SAM项是没有操作权限的,因此我们要赋权。右键点击该键值选择“权限”,然后添加“administrators”组,赋予其“完全控制”权限,最后刷新注册表,就能够进入SAM项下的相关键值了。
第二步:定位到注册表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users项,点击“000001F4”
注册表项,双击其右侧的“F”键值,复制其值,然后点击“00000404”注册表项(该项不一定相同),双击其右侧的“F”键值,用刚才复制键值进行替换其值。(图2)
第三步:分别导出gslw$、00000404注册表项为1.reg和2.reg。在命令行下输入命令"net user gslw$ /del"删除gslw$用户,然后分别双击1.reg和2.reg导入注册表,最后取消administrators对SAM注册表项的访问权限。
这样就把gslw$用户提升为管理员,并且该用户非常隐蔽,除了注册表在命令下及“本地用户和组”是看不到的。这样的隐藏的超级管理员用户是入侵者经常使用的,对于一个水平不是很高的管理员这样的用户他是很难发现的。这样的用户他不属于任何组,但却有管理员权限,是可以进行登录的。
3、高级隐藏用户
综上所述,我们创建的gslw$用户虽然比较隐蔽,但是通过注册表可以看见。下面我们利用RootKit工具进行高级隐藏,即在注册表中隐藏该用户。
在Hacker defende工具包中也很多工具,我们隐藏注册表键值只需其中的两个文件,hxdef100.exe和
hxdef100.ini。其中hxdef100.ini是配置文件,hxdef100.exe是程序文件。打开hxdef100.ini文件定位到[Hidden RegKeys]项下,添加我们要隐藏的注册表键值gslw$和00000404即用户在注册表的项然后保存退出。(图3)
arp病毒怎么查找?如何查杀arp病毒?
一、首先诊断是否为ARP病毒攻击1、当发现上网明显变慢,或者突然掉线时,我们可以用arp-命令来检查ARP表:(点击“开始”按钮-选择“运行”-输入“cmd”点击 "确定 "按钮,在窗口中输入“arp-a”命令)如果发现网关
详情2018-01-09 10:09:00责编:llp 来源:驱动管家大蜘蛛杀毒软件怎么卸载?大蜘蛛杀毒软件的卸载方法
Dr Web大蜘蛛反病毒2008专业版,在软件程序设计的又如何呢,我们今天来检查一下它的卸载过程。
详情2018-01-04 10:30:53责编:llp 来源:驱动管家手机追踪:通过消耗电量速度判断位置
根据一份普林斯顿大学研究员的报告,电池状态已经在一些网站被用来跟踪你的在线活动。漏洞触发的原因是因为电池状态API。又是电池?去年的时候,斯坦福大学的研究员就曾发表研究,他们通过电池在特定时间内的消耗
详情2018-01-18 12:14:06责编:llp 来源:驱动管家安全狗是什么?怎么绕过安全狗的防护功能?
一、前言安全狗是一款大家熟悉的服务器安全加固产品,据称已经拥有50W的用户量。最近经过一些研究,发现安全狗的一些防护功能,例如SQL注入、文件上传、防webshell等都可以被绕过,下面为大家一一介绍。二、测试
详情2018-01-17 14:09:56责编:llp 来源:驱动管家加密工具gpg是怎么下载安装使用的?
先说说GPG的获得吧,GPG是开放源代码的软件,是完全免费的,大家可
详情2018-01-04 09:36:39责编:llp 来源:驱动管家要防止ddos网络攻击,就要了解ddos网络攻击的七种武器
1 Synflood:该攻击以多个随机的源主机地址向目的主机发送SYN包,而在收到目的主机的SYN ACK后并不回应,这样,目的主机就为这些源主机建立了大量的连接队列,而且由于没有收
详情2018-01-23 14:50:47责编:llp 来源:驱动管家什么是unicode?字节和字符的区别是什么?
介绍Unicode之前,首先要讲解一些基础知识。虽然跟Unicode没有直接的关系,但想弄明白Unicode,没这些还真不行。字节和字符的区别咦,字节和字符能有什么区别啊?不都是一样的吗?完全正确,但只是在古老的DOS时
详情2018-01-20 12:09:39责编:llp 来源:驱动管家oracle 8i版本怎么进行系统入侵的?系统入侵的步骤是什么?
最近看了些有关 Oracle 的安全资料,看后随手做了一个渗透测试,把过程记录下来方便日后查阅 。先用 SuperScan4 0 扫描下要测试的主机,速度很快,结果如图 1 所示:图 1端口 1521 是 Oracle 的 TNS List
详情2018-01-25 11:28:40责编:llp 来源:驱动管家什么是sql注入?sql注入攻击的步骤
SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没
详情2018-01-15 09:51:58责编:llp 来源:驱动管家flash安全不可忽略!新浪微博也存在cookies漏洞?
最近突然觉得,很多FLASH开发人员在编写的时候,忽视了安全问题。被恶意利用的话,可以实现URL跳转,COOKIES盗取,甚至是蠕虫攻击。漏洞测试:IE , firefox , chrome(= = 这个输入测试代码,浏览器直接崩溃
详情2018-01-18 09:38:30责编:llp 来源:驱动管家
- 新手借用挂马检测工具mcafee进入控制台、防挂马
- 游戏优化大师怎么整理碎片?游戏优化大师都有哪些功能?
- 360图片放大镜在哪儿?360浏览器图片放大镜怎么关闭?
- 不知道怎样破解wifi密码?破解wifi密码的三种方法
- 笔记本电脑的wifi怎么设置?设置笔记本wifi的方法
- 【游戏问题】吃鸡的时候会头晕?两个小妙招让你告别3D眩晕
- 【游戏攻略】光线对吃鸡影响大不大?多云、晴天、黄昏三种天气对玩家发现敌人的影响
- 【游戏问题】《绝地求生》账号被封了怎么办?如何申请解封
- 系统更新bootcamp提示无法找到msi源文件的问题怎么解决
- 关于大容量存储的机器的一些讲解
- iphone5如何越狱?这里有升级ios8的iphone5完美越狱步骤
- 魅族mx4和小米4哪个好?魅族mx4和小米4该买哪一个?
- 文件删除不了有哪些解决办法?怎样解决文件删除不了的问题?
- 通常图片都是什么格式的?一般常用的图片格式有哪些?
- 黑客工具 黑客入侵网站用哪些兵器?
- 内网入侵经验(细节篇) 需要哪些入侵工具?
- 微信网页版多人会话怎么打开?微信网页版多人群聊在哪儿开?
- 网易邮箱登陆失败是怎么回事?网易邮箱无法登陆怎么解决?
- 这款新式的充电装置的功能到底有多牛逼
- 机箱风扇电源不知道怎么接怎么办呢