Jul 022007
 

前几天买了本Windows Internals第四版的中文译版,现在还在努力啃书中。因为这几年的学习成果,能力见长,对这类书还算是能看懂个七八成。粗粗看来,现在的Windows NT架构中所包含的技术比起Linux或者BSD等开源系统一点也不少,时髦得一蹋糊涂,有些设计思想甚至更为激进。如果能有幸掌握里面的主流架构和知识,也可称为宗师一级的人物了。又感叹之,反向工程也能把系统底层细节研究得如此细致,看来死读源代码也不仅仅是唯一的高效的路了。

前两天Windows漏洞爆得比较厉害,同时exploit公布的速度也很快,导致这几个月有大量中招的机器。再加上某些无良的所谓“黑客”团体有商业目的地大量种植肉鸡,搞DDOS,ARP欺骗等行为,最近可谓是乌烟瘴气了,国内的网络环境也严重到了有史以来最坏的程度。就好像满大街开得都不是车,而是浩浩荡荡的“木”马和蠕“虫”大军。

前两天接受一台疑似被入侵的Windows2003的机器,发现入侵者没有放置明显的自启动程序,后台服务,或者是网络连接后门,但却每每都能进来。后来用SRENG2检查发现有3个enum类的API被Hook了,而Hook的Dll竟然是无法找到的文件,遂知道是被放了Rootkit,由于是生产机且在机房,无法进入安全模式处理,但正常模式下因为Rootkit的自加载又隐藏了其自身的文件,无计可施。后来发现可以调出这个文件的file properties,灵机一动将其NTFS权限设置为everyone deny all,reboot后发现Rootkit的dll出来了,同时也多出了Dll加载的注册表项。最后又发现竟然还多出来了一个隐藏的administrator权限的帐户。遂想起那3个API恐怕分别是用于Hook枚举文件、注册表项、用户的。如果再Hook上File Properties的API,恐怕就没这么好办了,现在这些个玩意儿真的是越做越恐怖了。咱堂堂中国人的智慧都用在这些小聪明上了??!!

  3 Responses to “越来越恐怖的rootkit”

  1. 唆噶~~
    换了服务器,发现google不继续收录了,baidu到开始收录了。奇怪的挖

  2. 会继续的,google收录频度会自动调整.你只要保持更新就可以了.

  3. ntfs这个文件权限杀别的恶意软件也有用.
    不过偶最后一次做这事情也是n多年前了…

 Leave a Reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>