admin管理员组

文章数量:1534197

2023年12月29日发(作者:)

解析RootKit与反RootKitWEB平安 电脑资料

Rootkit是一个或者多个用于隐藏、控制一台计算机的工具包,该技术被越来越多地应用于一些恶意软件中,

实验环境:Windows XP SP2

工具:

Hacker defende(RootKit工具)

RootKit Hook Analyzer(RootKit分析工具)

IceSword(冰刃)

一、RootKit

笔者以用RootKit进展员高级隐藏为例,解析RootKit技术。超级隐藏的管理员用户。

1、创立帐户

在命令提示符()下输入如下命令:

user gslw$ test168 /add

通过上面的两行命令建立了一个用户名为gslw$,密码为test168的普通用户。为了到达初步的隐藏我们在用户名的后面加了“$”号,这样在命令提示符下通过 user是看不到该用户的,当然在“本地用户和组”及其表的“SAM”项下还可以看到。(图1)

2、用户提权

下面我们通过表对gslw$用户进程提权,使其成为一个比较隐蔽(在命令行和“本地用户和组”中看不到)的管理员用户。

第一步:翻开表器,定位到HKEYLOCALMACHINESAMSAM项。由于默认情况下管理员组对SAM项是没有操作权限的,因此我们要赋权。右键点击该键值选择“权限”,然后添加“administrators”组,

赋予其“完全控制”权限,最后刷新表,就能够进入SAM项下的相关键值了。

第二步:定位到表HKEYLOCALMACHINESAMSAMDomainsAountUsers项,点击“000001F4”

表项,双击其右侧的“F”键值,复制其值,然后点击“00000404”表项(该项不一定相同),双击其右侧的“F”键值,用刚刚复制键值进展替换其值。(图2)

第三步:分别导出gslw$、00000404表项为和。在命令行下输入命令" user gslw$ /del"删除gslw$用户,然后分别双击和导入表,最后取消administrators对SAM表项的访问权限。

这样就把gslw$用户提升为管理员,并且该用户非常隐蔽,除了表在命令下及“本地用户和组”是看不到的,

3、高级隐藏用户

综上所述,我们创立的gslw$用户虽然比较隐蔽,但是通过表可以看见。下面我们利用RootKit工具进展高级隐藏,即在表中隐藏该用户。

在Hacker defende工具包中也很多工具,我们隐藏表键值只需其中的两个文件,和

。其中是配置文件,是程序文件。翻开文件定位到[Hidden RegKeys]项下,添加我们要隐藏的表键值gslw$和00000404即用户在表的项然后保存退出。(图3)

然后双击运行,可以看到gslw$用户在表中的键值“消失”了,同时这两个文件也“不见”了。这样我们就利用RootKit实现了高级管理员用户的彻底隐藏,管理员是无从知晓在系统中存在一个管理员用户的。(图4)

二、反RootKit

那是否意味着我们就无能为力呢?俗话说“邪不胜正”,与RootKit就有反RootKit。我们就以该管理员为例进展演示。

1、RootKit Hook Analyzer驱动分析

RootKit Hook Analyzer是一款Rookit分析查询工具,利用它可以扫描分析出系统中存在的RooKit程序。该工具是英文程序,安装并运行点击其界面中下方的“Analyze”按钮就可以进展扫描分析,列出系统中的RooKit程序,勾选“Show hooked services only”就可以进展筛选值列出RooKit services。(图5)

2、IceSword进程查看

运行IceSword,点击“进程”按钮,就可以列出当前系统中的进程,其中红色显示的是可疑进程。我们可以看到进程赫然其中,这真是我们刚刚运行的RootKit。在该进程上点击右键选择“完毕”进程。这时和文件显身了,再刷新并查看表,刚刚消失的两个键值有重现了。(图6)

3、专业工具查杀

利用IceSword进展RooKit的分析和并完毕其进程不失为反RooKit的一种方法,但有的时候冰刃并不能分析出RootKit,因此我们就要比较专业的工具。比方卡巴斯基、超级巡警等都是不错的选择。(图7)

:本文以利用RootKit工具进展帐户的隐藏为例解析了其根本的运行机制,并结合上面的实例演示了反RootKit的方法。当然,RootKit的形式是非常多样的,但是其原理和防范措施都大同小异,希望这篇文章对大家防范RootKit有所帮助。

本文标签: 用户隐藏管理员进程进展

版权声明:本文标题:解析RootKit与反RootKitWEB安全电脑资料 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dianzi/1703834199a73987.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。