5-Rootkit

格式：ppt
大小：2.17 MB
文档页数：49

下载文档原格式

/ 49

什么是Rootkit病毒

什么是Rootkit病毒
Rootkit是一种很深的隐藏在操作系统中执行恶意或令人讨厌的程序，比如弹出程序、广告软件或者间谍程序等。

大多数安全解决方案不能检测到它们并加以清除。

因为Rootkit在操作系统中隐藏得很深并且是以碎片的形式存在。

如果在清除过程中漏掉了任何一个相互关联的碎片，rootkit
能够自我激活。

一般的病毒扫描通常是清除病毒程序的执行阶段，但是在重新启动操作系统后rootkit
能够再次执行，所以问题并没有彻底解决。

要解决问题必须从rootkit本身，也就是从恶意程序的源头去根除。

内核模式的rootkit通常攻击操作文件系统，如果要检测已知及未知的内核模式rootkit，就必须直接访问原始卷并执行干净的启动进行补救。

赛门铁克诺顿2007产品采用Veritas 的VxMS （Veritas 映射服务）技术组件可以直接访问NTFS 格式的原始卷，并可以绕开Windows 文件系统API（应用程序接口）。

这种技术使诺顿的反间谍软件能够对运行在驱动程序层面上的rootkit 进行检测并实施补救措施。

对于未知的rootkit，赛门铁克采用最新的启发式检测（Heuristic Detection)进行有效防御。

来源：汤普森计算机安全实验室(Thompson Cyber Security Labs)。

Rootkit 黑客的最强后门

Rootkit黑客的最强后门
飘忽不定
【期刊名称】《电脑迷》
【年(卷),期】2007(000)001
【摘要】黑客入侵一台主机后,通常会留下后门以继续控制主机。

对于一般的后门,我们用杀毒软件即可清除,然而现在有一种极为隐蔽的后门,别说杀毒软件发现不了,即使发现了也不能完全清除。

这种后门叫Rootkit,它可以隐藏系统中的文件、服务、端口、进程等,如果配合其它的木马,就成了黑客的超级武器。

下面让我们来了解一
下这种强大的后门工具以及清除的方法。

【总页数】1页(P66-66)
【作者】飘忽不定
【作者单位】
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.路由器存后门易被黑客利用 [J],
2.强大能力引发黑客嗅觉假冒微点惊现网络世界——北京东方微点反病毒专家破
解后门病毒"反间计" [J], 张婷婷
3.简单测试黑客工具中是否含有后门 [J], 丁小光
4.提防rootkit后门 [J], 李汉强
5.排查深藏在Linux中的RootKit后门 [J], 刘京义;
因版权原因，仅展示原文概要，查看原文内容请购买。

解析RootKit与反RootKitWEB安全电脑资料

解析RootKit与反RootKitWEB平安电脑资料Rootkit是一个或者多个用于隐藏、控制一台计算机的工具包，该技术被越来越多地应用于一些恶意软件中，实验环境：Windows XP SP2工具：Hacker defende(RootKit工具)RootKit Hook Analyzer(RootKit分析工具)IceSword(冰刃)一、RootKit笔者以用RootKit进展员高级隐藏为例，解析RootKit技术。

超级隐藏的管理员用户。

1、创立帐户在命令提示符(cmd.exe)下输入如下命令：user gslw$ test168 /add通过上面的两行命令建立了一个用户名为gslw$，密码为test168的普通用户。

为了到达初步的隐藏我们在用户名的后面加了“$”号，这样在命令提示符下通过 user是看不到该用户的，当然在“本地用户和组”及其表的“SAM”项下还可以看到。

(图1)2、用户提权下面我们通过表对gslw$用户进程提权，使其成为一个比较隐蔽(在命令行和“本地用户和组”中看不到)的管理员用户。

第一步：翻开表器，定位到HKEYLOCALMACHINE\SAM\SAM项。

由于默认情况下管理员组对SAM项是没有操作权限的，因此我们要赋权。

右键点击该键值选择“权限”，然后添加“administrators”组，赋予其“完全控制”权限，最后刷新表，就能够进入SAM项下的相关键值了。

第二步：定位到表HKEYLOCALMACHINE\SAM\SAM\Domains\Aount\Users项，点击“000001F4”表项，双击其右侧的“F”键值，复制其值，然后点击“00000404”表项(该项不一定相同)，双击其右侧的“F”键值，用刚刚复制键值进展替换其值。

(图2)第三步：分别导出gslw$、00000404表项为1.reg和2.reg。

在命令行下输入命令" user gslw$ /del"删除gslw$用户，然后分别双击1.reg和2.reg导入表，最后取消administrators对SAM表项的访问权限。

恶意代码剖析和Rootkit检测

Joanna Rutkowska, Jamie Butler, flashsky, S.K. Chong, Barnaby Jack, Greg Hoglund, Derek Soder, crazylord
42
STKIT– Shok Toolkit J
Files
Registry keys 这
Devices
些
Drivers
都
Processes
Threads
是
Jobs
对
Sockets
象
Security
！
tokens
23
Windows实行的对象
对象管理器如何跟踪这么多种类的对象？它不用记住所有对象的类型对象类型是动态注册的每个对象类型都有一套操作：open、 create、secure、close
7
反病毒方法的缺陷
很少rootkit是公开的
低可靠性
Rootkits深度隐藏并且非破坏性
少量的rootkit样本被送到反病毒公司
太迟了… Rootkits可以使antivirus的hook失效 (通常通过文件系统的过滤驱动） AV 定义出来的太晚了 J
8
HIPS方法
两个层面的防御防止机器被exploits
局限：
攻击者可以通过新的核心权限泄露漏洞绕过用某种机敏的方式通过符号连接（symbolic link）访问\Device\PhysicalMemory
37
自卫能力：第二步
防止rootkit固定
禁止任何试图创建 HKLM\SYSTEM\CurrentControlSet\*\Type 为类型0或者类型1（改变为4为禁止）禁止任何试图修改存在的 HKLM\SYSTEM\CurrentControlSet\*\Type

RootKit攻防与检测

本栏目责任编辑：冯蕾网络通讯及安全Computer Knowledge And Technology 电脑知识与技术2008年第4卷第4期（总第31期）RootKit 攻防和检测技术张贵强1，李兰兰2（1.兰州石化职业技术学院，甘肃兰州730060；2.兰州大学，甘肃兰州730030）摘要：随着计算机网络技术的发展，网络安全问题越来越多的受到人们的关注，同时，也出现了各种类型的计算机病毒和木马程序。

最近，出现了一种特殊木马程序———Rootkit ，该文详细的介绍了Rootkit 的隐藏技术和检测方法。

关键词：Rootkit ；木马程序；网络安全；隐藏；检测中图分类号：TP393文献标识码：A 文章编号：1009-3044(2008)31-0838-02Defence and Detection Technology Against RootKitZHANG Gui-qiang 1,LI Lan-lan 2(Lanzhou Petrochemical College of Vocational Technology,Lanzhou 730060,China;nzhou University,Lanzhou 730030,China)Abstract:With the development of computer network,security of network attracts more and more attention.Meanwhile,all kinds of computer viruses and Trojan programs arised,inluding a special Trojan program:RootKit.A detailed introduction of hidden technology and detection method of RootKit has been put forward in this paper.Key words:rootkit;trojan program;network security;hidden technology;detection众所周知，木马病毒是指寄生于用户计算机系统中，盗窃用户信息，并通过网络发送给作者的一类病毒程序。

Rootkit的类型、功能及主要技术

Rootkit的类型、功能及主要技术Rootkit 的类型小结1.固化Rootkits和BIOS Rootkits固化程序是存于ROM中，通常很小，使用系统硬件和BIOS 创建顽固的软件镜像。

将制定的代码植入到BIOS 中，刷新BIOS，在BIOS 初始化的末尾获得运行机会。

重启无用、格式化无用，在硬盘上无法探测，现有的安全软件将大部分的扫描时间用在了对硬盘的扫描上。

本文整理：（第三方信息安全网）/2 内核级Rootkits内核级Rootkits(Kernelland Rootkits)是通过修改内核、增加额外的代码、直接修改系统调用表、系统调用跳转(Syscall Jump)，并能够替换一个操作系统的部分功能，包括内核和相关的设备驱动程序。

现在的操作系统大多没有强化内核和驱动程序的不同特性。

许多内核模式的Rootkit 是作为设备驱动程序而开发，或者作为可加载模块，如Linux 中的可加载模块或Windows 中的设备驱动程序，这类Rootkit 极其危险，它可获得不受限制的安全访问权。

如果代码中有任何一点错误，那么内核级别的任何代码操作都将对整个系统的稳定性产生深远的影响。

特点：无进程；无端口。

与用户级Rootkit 相比，与操作系统处于同一级别，可以修改或破坏由其它软件所发出的任何请求。

3 用户态Rootkits用户态Rootkits(Userland Rootkits)是运行在Ring3 级的Rootkit，由于Ring3 级就是用户应用级的程序，而且信任级别低，每一个程序运行，操作系统给这一层的最小权限。

用户态Rootkit使用各种方法隐藏进程、文件，注入模块、修改注册表等。

4 应用级Rootkits应用级Rootkits 通过具有特洛伊木马特征的伪装代码来替换普通的应用程序的二进制代码，也可以使用Hook、补丁、注入代码或其它方式来修改现有应用程序的行为。

5 代码库Rootkits代码库Rootkits 用隐藏攻击者信息的方法进行补丁、Hook、替换系统调用。

Rootkit是什么

Rootkit 是什么
Rootkit 是一种特殊的恶意软件，它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息，比较多见到的是Rootkit 一般都和木马、后门等其他恶意程序结合使用。

在悬念迭起的中外谍战片里，对战双方中的一派势力通常会派遣特工人员潜伏到对手阵营中。

这名卧底人员良好的伪装使得对手对此长时间毫无察觉；为了能够长期潜伏他不贸然采取高风险行为以免过早暴露自己；他赢得敌人的信任并因此身居要职，这使得他能够源源不断地获取重要情报并利用其独特渠道传送回去。

从某种意义上说这位不速之客就是Rootkit——持久并毫无察觉地驻留在目标计算机中，对系统进行操纵、并通过隐秘渠道收集数据的程序。

Rootkit 的三要素就是：隐藏、操纵、收集数据。

“Rootkit”中root 术语来自于unix 领域。

由于unix 主机系统管理员账号为root 账号，该账号拥有最小的安全限制，完全控制主机并拥有了管理员权限被称为“root”了这台电脑。

然而能够“root”一台主机并不意味着能持续地控制它，因为管理员完全可能发现了主机遭受入侵并采取清理措施。

因此Rootkit 的初始含义就在于“能维持root 权限的一套工具”。

rootkit

内核对象是 Windows 系统中用来登记系统运行情况和资源记录的内核数据结构，由对象管理器来管理。修改内核数据结构的方法主要分为两类：修改活动进程链表(PsActiveProcessList) 修改进程令牌 (Process Token)

在链表 PsActiveProcessList 上保存着所有进程的 EPROCESS 结构，当某些模块需要获得系统中运行的所有进程信息时，就会通过遍历该双向链表来获得所要的信息。如果在 PsActiveProcessList 链表上删除相应的某进程信息，则该进程将被隐藏起来，即使调用系统服务 ZwQuerySystemInformation()也无法得到该进程的相关信息。而由于 Windows 的线程分派器使用另外的数据结构 (pKiDispatchReadyListHead,pKiWaitInListHead,p KiWaitOutListHead)，因此，隐藏的进程仍然能够正常的运行

需要注意，Rootkit 本身并不能使攻击者获取管理员权限，它不是一种软件利用工具。攻击者必须先使用其它手段获取主机的控制权，例如利用漏洞的溢出攻击，或者被动的密码嗅探等。一般需要取得管理员权限才能正确部署 Rootkit工具。Rootkit 一般具备下述功能：
窃取重要信息通过监控键盘击键以及网络数据，窃取用户口令以及网络银行密码等隐私信息维持控制权攻击者可以通过 Rootkit 隐藏的后门，非常隐蔽的以管理员权限再次进入系统隐藏攻击痕迹隐藏与 Rootkit 相关的文件、进程、通信链接和系统日志等攻击痕迹。欺骗检测工具使检测工具无法发现系统的异常，无法找到隐蔽在系统中的 Rootkit 软件。提供植入手段其它可执行程序，例如蠕虫或病毒可以通过 Rootkit提供的隐蔽通道植入系统，并且可以使用 Rootkit 来隐藏自身。提供攻击跳板攻击者可以利用受控主机对网络上的其它主机发动攻击，例如蠕虫传播、拒绝服务攻击等。

Rootkit技术

Rootkit技术rootkit的主要分类早期的rootkit主要为应用级rootkit，应用级rootkit主要通过替换login、ps、ls、netstat 等系统工具，或修改.rhosts等系统配置文件等实现隐藏及后门；硬件级rootkit主要指bios rootkit，可以在系统加载前获得控制权，通过向磁盘中写入文件，再由引导程序加载该文件重新获得控制权，也可以采用虚拟机技术，使整个操作系统运行在rootkit掌握之中；目前最常见的rootkit是内核级rootkit。

内核级rootkit又可分为lkm rootkit、非lkm rootkit。

lkm rootkit主要基于lkm技术，通过系统提供的接口加载到内核空间，成为内核的一部分，进而通过hook系统调用等技术实现隐藏、后门功能。

非lkm rootkit主要是指在系统不支持lkm机制时修改内核的一种方法，主要通过/dev/mem、/dev/kmem设备直接操作内存，从而对内核进行修改。

非lkm rootkit要实现对内核的修改，首先需要获得内核空间的内存，因此需要调用kmalloc分配内存，而kmalloc是内核空间的调用，无法在用户空间直接调用该函数，因此想到了通过int 0x80调用该函数的方法。

先选择一个不常见的系统调用号，在sys_call_table 中找到该项，通过写/dev/mem直接将其修改为kmalloc函数的地址，这样当我们在用户空间调用该系统调用时，就能通过int 0x80进入内核空间，执行kmalloc函数分配内存，并将分配好的内存地址由eax寄存器返回，从而我们得到了一块属于内核地址空间的内存，接着将要hack的函数写入该内存，并再次修改系统调用表，就能实现hook系统调用的功能。

rootkit的常见功能隐藏文件：通过strace ls可以发现ls命令其实是通过sys_getdents64获得文件目录的，因此可以通过修改sys_getdents64系统调用或者更底层的readdir实现隐藏文件及目录，还有对ext2文件系统直接进行修改的方法，不过实现起来不够方便，也有一些具体的限制。

新核心综合学术英语教程Unit 5

在共享方位与个人信息的过程中，多媒体信息会得到个性化处理，再呈现在参观者的手机上，从而带给参观者更为满意的体验。
Reading 3
Translation Assignment
3. However, a standardized approach is required to achieve interoperability between such physical sensor networks and the Web itself; in this way, seamless connectivity and usability will be achieved through a “Plug and Plat” approach. (Line 58-61, Para. G)
然而，这需要一个标准化的方法以实现物理传感器网络与互联网之间的相互操作，这样，通过这种“即插即用”的方式就能实现无缝连接和应用。
Reading 3
Translation Assignment
4. As the integration of low-power technologies into conventional consumer devices and ambient intelligence increases, energy harvesting from a variety of environmental sources will play a vital role in maintaining the long-term functioning of ambient intelligent environments. (Line 68-71, Para. H)
Language Points

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

实现Rootkit功能用DLL实现实现功能
用DLL实现功能，然后，用其他程序启动该 DLL. 有三种方式：
最简单的方式——RUNDLL32 最简单的方式特洛伊DLL 特洛伊线程插入技术
最简单的方式——RUNDLL32 最简单的方式
Rundll32 DllFileName FuncName Rundll32.exe MyDll.dll MyFunc
检测Rootkit的技术思路的技术思路检测
基于签名的检测：keywords 启发式或行为的检测： VICE/Patchfinder(inject code) 交叉检测（Cross view based detection）:RootKit revealer/Klister/Blacklight/GhostBuster 完整性检测：System virginity Verifier/Tripware.
提供后门访问的二进制替换程序隐藏攻击者的二进制替换程序用于隐藏但不替换二进制程序的其他工具另外一些零散工具安装脚本 UNIX系统中最流行的两种用户模式RootKit:
LRK家族和URK家族。
Windows用户模式用户模式Rootkit 用户模式
像UNIX上一样，修改关键性操作系统软件以使攻击者获得访问权并隐藏在计算机中。用户模式RootKit控制操作系统的可执行程序，而不是内核。
创建远程线程技术
远程线程技术指的是通过在另一个进程中创建远程线程的方法进入那个进程的内存地址空间。通过CreateRemoteThread也同样可以在另一个进程内创建新线程，新线程同样可以共享远程进程的地址空间。
HANDLE CreateRemoteThread(
HANDLE hProcess, 一个地址 PSECURITY_ATTRIBUTES psa, DWORD dwStackSize, PTHREAD_START_ROUTINE pfnStartAddr, PVOID pvParam, DWORD fdwCreate, PDWORD pdwThreadId);
Windows下用户模式下用户模式RootKit不盛行不盛行下用户模式
原因如下：
应用程序级后门迅速增加。很多Windows RootKit直接聚焦于控制内核 Windows文件保护（WFP）阻碍可执行程序的替换。 Windows源码不公开。缺乏详细文档，对Windows的内部工作原理不够了解。
Rootkit
Rootkit源于UNIX系统中的超级用户帐号， UNIX系统是Rootkit工具最初的攻击目标。现在，Rootkit可用于多种操作系统，包括UNIX 和Windows。 Rootkit是特洛伊木马后门工具，通过修改现有的操作系统软件，使攻击者获得访问权并隐藏在计算机中。关键：关键：隐藏攻击者在系统中的存在，其包括多种掩饰攻击者在系统中存在的功能。
NT进程的隐藏
实现进程隐藏有两种思路：
第一是让系统管理员看不见（或者视而不见）你的进程；第二是不使用进程。
能否使用第一种方式？在Windows中有多种方法能够看到进程的存在：
PSAPI（Process Status API）； PDH（Performance Data Helper）； ToolHelp API。
先更改dllcache目录中的备份再修改DLL文件利用KnownDLLs键值更改DLL的默认启动路径等
同时特洛伊DLL方法本身也有一些漏洞（例如修复安装、安装补丁、升级系统、检查数字签名等方法都有可能导致特洛伊DLL失效），所以这个方法也不能算是DLFra bibliotek 木马的最优选择。
更高级方式——动态嵌入技术动态嵌入技术更高级方式
VirtualAllocEx，VirtualFreeEx ，ReadProcessMemory ， WriteProcessMemory 等函数。
操作步骤做一个归纳： 1) 使用Vi r t u a l A l l o c E x函数，分配远程进程的地址空间中的内存。 2) 使用Wr i t e P r o c e s s M e m o r y函数，将D L L的路径名拷贝到第一个步骤中已经分配的内存中。 3) 使用G e t P r o c A d d r e s s函数，获取L o a d L i b r a r y A或L o a d L i b r a t y W函数的实地址（在K e r n e l 3 2 . d l l中）。 4) 使用C r e a t e R e m o t e T h r e a d函数，在远程进程中创建一个线程，它调用正确的L o a d L i b r a r y函数，为它传递第一个步骤中分配的内存的地址。
大多数内核模式Rootkit采用以下手段采用以下手段大多数内核模式
文件和目录隐藏进程、服务、注册表隐藏网络端口隐藏混合模式隐藏（隐藏网络接口混合状态）执行改变方向设备截取和控制
如底层键盘截获
Rootkit的技术思路的技术思路
改变函数的执行路径，从而引入/执行攻击者的代码，如修改IAT, SSDT, in-line 函数 hooking。增加过滤层驱动。（kernel）直接修改物理内存。（Direct Kernel object manipulation, DKOM）
加强Windows内核防护内核防护加强
防御
定期加强配置，打补丁 IPS（Intrusion Prevention Systems）
检测
防病毒软件文件完整性检测工具 RootKit检测工具（IceSword，RootkitRevealer.zip） (show)
RootKit技术篇技术篇
Windows系统服务调用系统服务调用
Windows RootKit的三种方法的三种方法
使用现有接口在现有Windows函数之间注入恶意代码。
FakeGINA Ctrl+Alt+Del winlogon.exe fakegina.dll msgina.dll 方法：添加注册表键值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 下添加GinaDLL变量名，类型为[REG_SZ]即可。
使用文件完整性检验工具
如Fcheck，Tripwire商业版…
安装防病毒软件安装防火墙如果发现Rootkit已进入系统，最好重建系统，并小心应用补丁程序。
内核模式RootKit 内核模式
内核模式RootKit：修改现有的操作系统软件（内核本身），从而使攻击者获得一台计算机的访问权并潜伏在其中。比用户模式RootKit更彻底、更高效。
比较高级的方式－特洛伊比较高级的方式－特洛伊DLL
特洛伊DLL（欺骗DLL）的工作原理是使用欺骗DLL替换常用的 DLL文件，通过函数转发器将正常的调用转发给原DLL，截获并处理特定的消息。
函数转发器forward的认识。
Visual Studio 7命令提示符>dumpBin -Exports c:\windows\system32\Kernel32.dll | more
恶意软件的分析与防范
严飞武汉大学计算机学院 yanfeiclass@
课时安排
1. 2. 3. 4. 5. 6. 7. 8. 恶意代码概述计算机病毒网络蠕虫网页/移动恶意代码后门、木马和Rootkit 常用检测技术和工具课堂讨论与练习期末考试
Rootkit基础篇基础篇
DWORD WINAPI ThreadFunc(PVOID pvParam); HINSTANCE LoadLibrary(PCTSTR pszLibFile); 两个函数非常类似
需解决的问题：
第一个问题，获取LoadLibrary的实际地址。 PTHREAD_START_ROUTINE pfnThreadRtn = (PTHREAD_START_ROUTINE) GetProcAddress(GetModuleHandle(TEXT("Kernel32" )), "LoadLibraryA"); 第二个问题，把D L L路径名字符串放入宿主进程。使用：
关闭Windows文件保护机制，然后覆盖硬盘上的文件。
解决WFP, SFC (System File Checker) 方法一，sfc /scannow 方法二,gpedit.msc中修改计算机配置管理模板系统 windows文件保护，设置文件保护，修改为已禁用。方法三，HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 修改SFCDisable=dword:ffffff9d
使用第二种方式最流行。 DLL是Windows系统的另一种“可执行文件”。DLL文件是Windows的基础，因为所有的API函数都是在DLL中实现的。DLL文件没有程序逻辑，是由多个功能函数构成，它并不能独立运行，一般都是由进程加载并调用的。假设我们编写了一个木马DLL，并且通过别的进程来运行它，那么无论是入侵检测软件还是进程列表中，都只会出现那个进程而并不会出现木马DLL，如果那个进程是可信进程，（例如资源管理器Explorer.exe，没人会怀疑它是木马吧？）那么我们编写的DLL作为那个进程的一部分，也将成为被信赖的一员而为所欲为。
DLL Rootkit的更高境界是动态嵌入技术，动态嵌入技术指的是将自己的代码嵌入正在运行的进程中的技术。多种嵌入方式：窗口Hook、挂接API、远程线程。
代码注入技术1—创建远程线程创建远程线程代码注入技术
提升本进程特权级为SeDebugPrivilege ，获取目标进程句柄将线程中所需函数地址及字符串保存在远程参数中在目标进程中为远程线程和线程参数申请内存空间将线程代码和参数结构拷贝到分配的内存中启动远程线程 CreateRemoteThread 等待远程线程退出 WaitForSingleObject 释放申请的空间，关闭打开的句柄