root kit是当今最为流行的后门,其他后门的危害程度对于root kit技术的后门来说简直就不能相提并论。root kit技术不论从隐蔽程度还是危害性来说都可以算是后门技术的革新制作,对于广大的安全管理员更应当注意这种后门的防范。
root kit技术出现于20世纪90年代初,在1994年2月的一篇安全咨询报告中首先使用了root kit这个名词。从出现至今,root kit 的技术发展非常迅速,应用越来越广泛,检测难度也越来越大。其中钍对SunOS和Linux两种操作系统的root kit最多。
很多人有一个误解,他们认为root kit技术是用作获得系统root访问权限的工具。实际上,root kit是攻击都用来隐蔽自己的踪迹和保留root访问权限的工具。通常,攻击者通过远程攻击获得root访问权限,进入系统后,攻击者会在侵入的主机中安装root kit,然后他将经常通过root kit的后门检查系统是否有其他的用户登录,如果只有自己,攻击者就开始着手清理日志中的有关信息。通过root kit的嗅探器获得其他系统的用户和密码之后,攻击者就会利用这些信息侵入其他系统。
从*nix系统上迁移到windows系统下的root kit完全沿袭了这些“可怕”的功能!现在网络上常见的root kit 是内核级后门软件,用户可以通过它隐藏文件、进程、系统服、系统驱动、注册表键和键值、打开的端口以及虚构可用磁盘窨。程序同时也在内存中伪装它所做的改动,并且隐身地控制被隐藏进程。程序安装隐藏后门,注册隐藏系统服务并且安装系统驱动。该后门技术允许植入reDirector,是非常难以查杀的一个东东,让很多网络管员非常头疼!
hacker defender
类型:系统后门
使用范围:win200/xp/2003
隐蔽程度:★★★★★
使用难度:★★★★★
危害程度:★★★★★
查杀难度:★★★★★(呵呵,全部五星,因为它太“霸道”了)
现在最新版本的hxdf是1.0.0,它是从国外传过来的一个程序,包含两个关键程序,里面的配置文件ini非常复杂,相信新手使用也是很困难的主要包括:[Hidden Table],[Root Processes],[HiddenServices],[Hidden RegKeys],[Hidden RegValues],[Startup Run],[Free Space],[Hidden pORTS],[Settings]。对功能就是隐藏文件(目录)、隐藏进程、隐蔽服务、隐藏注册键、隐藏注册表键值、启动程序、增加磁盘剩余空间、隐藏端口、后门设置,具体配置我们就不具体讲解了,本期文章有详细的介绍,我们说说它的特点(纯粹个人观点和经验偏激的地方请大家海涵):
(1)可以实现正常系统TCP端口的通讯,比如80等,这个功能在高级后门并不鲜见。
(2)能得到简单的系统SHELL,对入侵的老手来说这就够了,多余的功能反而是累赘。
(3)隐藏端口,如果你非要使用TCP的某一个非常规端口通讯,那使用这个功能吧,放心,别人发现不了。
(4)隐藏后门的所有可找到东西!这个只能用一个字来形容:牛!比如隐藏文件、服务、注册表键等功能,虽然我们说起来是一句话,想念识货的朋友应该能发现这中间NB的地方!
(5)史上最经典后门思维:配合其他扩展型后门使用,效果好得出乎你的意料!(这是后面的内容,我们马上讲到)。
抛开其他不讲,系统中安装了运用root kit技术的后门,你通过普通的查杀途径根本检测不到这个程序这点就非常值得我们利用了!试想:一个在你服务器上运行的后门,你连看都看不到它,别说查杀了!
注:由于此后门危害太大,所以编辑特别在此掐掉作者一段篇幅,喜欢研究后门程序的朋友可以自己去研究,不过千万注意不要误运行了程序,查杀和清除是非常麻烦的事!直接重新安装系统吧!
【编辑推荐】