|
5.root kit
如果说上面的后门程序都各有千秋、各有所长的话,它们和经典的root kit 一比简直就是小巫见大巫了,那究竟什么样是root kit呢?
root kit出现于20世纪90年代初,在1994年2月的一篇安全咨询报告中首先使用了root kit这个名词。从出现至今,root kit 的技术发展非常迅速,应用越来越广泛,检测难度也越来越大。其中钍对SunOS和Linux两种操作系统的root kit最多。
很多人有一个误解,他们认为root kit 是用作获得系统root访问权限的工具。实际上,root kit是攻击都用来隐蔽自己的踪迹和保留root访问权限的工具。通常,攻击者通过远程攻击获得root访问权限,进入系统后,攻击者会在侵入的主机中安装root kit,然后他将经常通过root kit的后门检查系统是否有其他的用户登录,如果只有自己,攻击者就开始着手清理日志中的有关信息。通过root kit的嗅探器获得其他系统的用户和密码之后,攻击者就会利用这些信息侵入其他系统。
从*nix系统上迁移到windows系统下的root kit完全沿袭了这些“可怕”的功能!现在网络上常见的root kit 是内核级后门软件,用户可以通过它隐藏文件、进程、系统服、系统驱动、注册表键和键值、打开的端口以及虚构可用磁盘窨。程序同时也在内存中伪装它所做的改动,并且隐身地控制被隐藏进程。程序安装隐藏后门,注册隐藏系统服务并且安装系统驱动。该后门技术允许植入reDirector,是非常难以查杀的一个东东,让很多网络管员非常头疼!
hacker defender
类型:系统后门
使用范围:win200/xp/2003
隐蔽程度:★★★★★
使用难度:★★★★★
危害程度:★★★★★
查杀难度:★★★★★(呵呵,全部五星,因为它太“霸道”了)
现在最新版本的hxdf是1.0.0,它是从国外传过来的一个程序,包含两个关键程序,里面的配置文件ini非常复杂,相信新手使用也是很困难的主要包括:[Hidden Table],[Root Processes],[HiddenServices],[Hidden RegKeys],[Hidden RegValues],[Startup Run],[Free Space],[Hidden pORTS],[Settings]。对功能就是隐藏文件(目录)、隐藏进程、隐蔽服务、隐藏注册键、隐藏注册表键值、启动程序、增加磁盘剩余空间、隐藏端口、后门设置,具体配置我们就不具体讲解了,本期文章有详细的介绍,我们说说它的特点(纯粹个人观点和经验偏激的地方请大家海涵):
(1)可以实现正常系统TCP端口的通讯,比如80等,这个功能在高级后门并不鲜见。
(2)能得到简单的系统SHELL,对入侵的老手来说这就够了,多余的功能反而是累赘。
(3)隐藏端口,如果你非要使用TCP的某一个非常规端口通讯,那使用这个功能吧,放心,别人发现不了。
(4)隐藏后门的所有可找到东西!这个只能用一个字来形容:牛!比如隐藏文件、服务、注册表键等功能,虽然我们说起来是一句话,想念识货的朋友应该能发现这中间NB的地方!
(5)史上最经典后门思维:配合其他扩展型后门使用,效果好得出乎你的意料!(这是后面的内容,我们马上讲到)。
抛开其他不讲,系统中安装了这样的root kit,你通过普通的查杀途径根本检测不到这个程序这点就非常值得我们利用了!试想:一个在你服务器上运行的后门,你连看都看不到它,别说查杀了!
注:由于此后门危害太大,所以编辑特别在此掐掉作者一段篇幅,喜欢研究后门程序的朋友可以自己去研究,不过千万注意不要误运行了程序,查杀和清除是非常麻烦的事!直接重新安装系统吧!
经典后门思维
现在很多朋友都在尝试着开发一些自己的后门程序,他们企图将非常多的功能加入到后门里恨不得一个后门就是一个操作系统!————很明显,这样是不对的!因为一个好的后门能实现非常单一的功能就够了,它不是给你控制服务器的,而是给你在丢掉服务器控制方法的时候用来再次控制服务器的!所以,不要经常使用后门程序,当然也不要让你的后门程序太在。
所有网络安全工具都存在一个问题:隐藏!现在随着广大网友安全意识的提高,杀毒软件、系统安全保护程序这些东西再不是“珍品”了,所以,就算你的后门程序能实现两万个功能,但是很容易就被杀毒软件查杀的话,那也是白搭!换句话说:如果别人能很方便地看看进程、查查注册表、看看端口就能查出系统有问题的话,你这个后门也就算不上好了!所以记住:隐藏才是最重要的!
很多朋友都喜欢使用某个功能很强大的后门程序来控制服务器,虽然很隐蔽,但一旦被杀,那他就只有望着服务哭了,其实只要我们稍微入宽思路就能解决这样问题:嵌套使用互补的后门程序!这样一旦一个后门暴露,另一个后门或者几个后门依然在服务器——这点说起来很简单,里面涉及到很多入侵中的经验和方法,也涉入到root kit,后文我们会讲到。
对现在的网络来说,如果一个网络安全工具被公布,那么,在很短的时间内这个程序将被安全爱好者传到网络的任何一个地主!很明显,这样程序的存活期很短,不出几天就被查杀了,所以本文列举的所有程序都可以在网络上找到(光盘上也有收录),只是给大家提供一种比较好的思路和介绍,很多的后门是私人使用的。希望大家通过自己的学习也能写出自己的优秀后门!
通过上面的讲解,相信大家对现在主流的后门程序都有了一事实上程度的了解,由于篇幅关系,本文不可以一个接一个实际的去讲解用法和查杀,相信那样读者也读着无聊,编辑审稿后也不能刊登了,具体的使用方法还得靠各位去摸索,下面我们说说经典后门的几个个人体会。
首先拍拍wtf的马屁:这小子上次在黑防攻防实验室上说的那句话:“兄弟们千万不要拘泥于思维的定式,要知道安全最重要的就是思维的锻炼和意识的培养,为了锻炼大家的思维能力,友情提醒一下大家,我们在关卡中有很多的陷阱哦!千万不要被表面的现象迷惑了!”不要小看了这句话,把这句话放到网络入分和攻击中,很多思维被发散出来,那是整体层次的提高!就拿我们的后门这方面来讲,同样是上面几个功能强大的、隐蔽性好的后门,为什么你装在肉鸡上,不出三天就被查杀了?而别人装一就一直用得好好的呢?这其中其实就是思维转换的重要性的体现,下面我们将具体说说后门程序如何才能做的好的思维转换和特点利用,先来看看普通网友的误区:
(1)普通安全爱好者都能通过常见的系统漏洞或者其他途径入侵服务器,然后上去就是新建一个账户,直接添加到管理员权限,有点意识的还能在账户后面加一个$让别人在CMD无法发现,然后再通过什么3389、23控制服务器,汗!这就是你看《黑客防线》的成绩?《黑客防线》就这样教你?难道所有管理员都是白痴?都不知道检查系统最重要的账户?这样的肉鸡1天之内不丢都是个奇迹!
(2)控制服务器->上传后门_>开放特定端口->利用后门控制服务器,这中间通过findpass之类的经典工具得到管理员的密码,给服务器开放3389等服务……同样送给这样的朋友一个字:晕!一个简单得不能再简单的netstat -an就能让你的连接暴露无疑!那时候等着上法庭吧!
(3)克隆系统内置账户并使用它来登录服务器,这同样是一个不可取的方法,根据我的经验,这样的肉鸡肯定用不长!一两面三刀周就飞掉了!
上面只是一些比较低端的错误,相信大家在看了此文后不会现再犯这样的错误,下面我们说说觉的比较安全的入侵后控制肉鸡的办法,如果我今天讲的东西能有两、三句能让你在以后的入侵和安全防护中记住,那我倍感欣慰了!
普通的入侵过程中,3389当然是大家最喜欢的控制方式,那为什么就只用3389来单纯控制服务吕呢?当别人关掉3389后你怎么控制呢?所以需要后门,那安装上普通的经典后门,为什么我的肉鸡还是在很短的时间内飞掉呢?——请注意:任何一个系统管理员都不是白痴!不管你多“黑”,你远程控制服务器总没有别人物理接触来得方便吧!逼不得已人家拔掉网线、格式化硬盘总能让你不能控制了吧?!所以,后门的隐蔽性是非常重要的,要让管理员无法发现系统中有后门就是非常重要的了!
一个好的后门,能实现单一的功能就行了,一定不要经常使用你的后门程序来控制肉鸡,这样你想肉鸡不飞都困难,比较好的方法是:
3389/23+扩展型后门+rootkit
这是到目前为止最经典的一种后门搭配方式,它几方面的优点显示而易见:对方发现不明ip连接的时候肯定会检查系统问题,改system密码,清理账户是不可避免了,进而管理员对系统的漏洞进行一次常规升级和检测,补上最开始被入我们入侵的漏洞,这样如果没有后门,再进来就很难了。
通常这样情况下管理员会考虑系统中是不是存在后门,使用常见的杀毒软件,安全程序来检测系统,发现后门立即查杀,所以在这里后门的隐蔽性非常重要,一时被杀,game over!所以这里定要选择一些比较难查杀或者是加过壳的后门,上面介绍的后门就是不错的选择,线程插入式是比较难被杀掉的。
在这样基础上,如果他发现系统中某个程序总是在对网络连接,或者是某个端口总是有人连接在上面,管理员肯定会想办法kill掉这个程序,所以普通后门再隐藏得好也是会被查杀的,这也是大多数朋友的疑惑了,在这里就需要使用rootkit了!
如果从系统级隐藏掉服务名、进、端口、注册表值、启动项目、程序名,那现在想信普通的杀毒程序、安全工具要查出系统中的后门程序是很难的!而这点,才是后门程序的精华所在:隐藏!这样的功能,绝对不是某个后门程序单一使用能实现!而rootkit和上面介绍的一系列后门中的精品就是你最好的选择!多尝试,想念你一定找到这个经典搭配中的优势的!退一万步讲,如果这样控制的肉鸡飞掉了,奉劝大家还是少玩为妙,免得惹火上身哦! 上一页 [1] [2] [3]
|
百度搜藏
