1、网络空间安全技术实践教程网络空间安全技术实践教程吕秋云,王小军,胡耿然,汪云路,王秋华西安电子科技大学出版社第四篇第四篇 渗透攻击测试实验篇渗透攻击测试实验篇第十五章 漏洞利用实验15.3 Rootkit利用与检测实验网络空间安全技术实践教程215.3 Rootkit利用与检测实验利用与检测实验实验目的:了解Rootkit的工作原理和功能,熟悉常见Rootkit以及Rootkit检测工具的使用。网络空间安全技术实践教程315.3 Rootkit利用与检测实验利用与检测实验实验原理:Rootkit通常是一组恶意计算机软件的集合,运行于操作系统的底层内核之中。Rootkit可以实现多种功能,完成比
2、如隐藏文件、进程以及程序,提权,记录键盘,安装后门等恶意行的任务。网络空间安全技术实践教程415.3 Rootkit利用与检测实验利用与检测实验实验原理:计算机系统中与用户进行交互的软件,通常其功能是在操作系统中较高层上实现的。当它们执行任务时,经常会向操作系统中较底层的服务发送请求,而Rootkit运行于系统底层,可以通过“挂钩”或拦截软件等工具拦截这些请求,并修改系统的正常响应,完成各种恶意目的。网络空间安全技术实践教程515.3 Rootkit利用与检测实验利用与检测实验实验要点说明:(实验难点说明)Hacker Defender的配置及使用Hacker Defender是一个Windo
3、ws Rootkit,主要包含3个文件:hxdef100.exe、hxdef100.ini、bdcli100.exe。hxdef100.exe:在目标计算机上运行Hacker Defenderbdcli100.exe:客户端软件,用于连接后门Hxdef100.exe:配置文件。配置隐藏的文件、文件夹、进程,配置自动运行的程序,配置连接后门的密码等信息。网络空间安全技术实践教程615.3 Rootkit利用与检测实验利用与检测实验实验要点说明:(实验难点说明)Hacker Defender的配置及使用 Hidden TableHidden Table:要隐藏的文件、文件夹、进程,其中的所有条目:
4、要隐藏的文件、文件夹、进程,其中的所有条目对对WindowsWindows资源管理器和文件管理器来说都是隐藏的。资源管理器和文件管理器来说都是隐藏的。Root ProcessesRoot Processes:用来与客户端交互的进程,通常是隐藏的。:用来与客户端交互的进程,通常是隐藏的。Hidden ServicesHidden Services:要隐藏的服务,其中的所有服务都不会出现在:要隐藏的服务,其中的所有服务都不会出现在服务列表中。服务列表中。Hidden Hidden RegKeysRegKeys:要隐藏的注册表条目。:要隐藏的注册表条目。Startup RunStartup Run:
5、系统每次启动时运行的程序。:系统每次启动时运行的程序。Hidden PortsHidden Ports:要隐藏的端口号。:要隐藏的端口号。网络空间安全技术实践教程715.3 Rootkit利用与检测实验利用与检测实验实验要点说明:(实验难点说明)常见Rootkit检测工具的使用网络空间安全技术实践教程815.3 Rootkit利用与检测实验利用与检测实验实验准备:(实验环境,实验先有知识技术说明)Kali LinuxHacker DefenderWindows XP(靶机)网络空间安全技术实践教程915.3 Rootkit利用与检测实验利用与检测实验实验步骤:(1)配置hxdef100.ini
6、文件,利用Meterpreter把Netcat,hxdef100.exe,hxdef100.ini上传到目标计算机。网络空间安全技术实践教程1015.3 Rootkit利用与检测实验利用与检测实验实验步骤:(1)hxdef100.ini采取的配置如下(这里仅给出了修改的部分):网络空间安全技术实践教程11Hidden Tablehxdef*rcmd.exerknc.exe Root Processeshxdef*rcmd.exenc.exeStartup RunC:rknc.exe?-Ldp 12345-e C:WINDOWSsystem32cmd.exeHidden PortsTCP:123
7、4515.3 Rootkit利用与检测实验利用与检测实验实验步骤:(2)用“execute f hxdef100.exe”命令运行Hacker Defender,运行后将会根据配置文件进行相关隐藏。网络空间安全技术实践教程12Hacker Defender运行之前Hacker Defender运行之后15.3 Rootkit利用与检测实验利用与检测实验实验步骤:(3)与留下的后门进行交互。当hxdef100.exe在目标计算机运行后,会尝试在开放的端口上安装后门程序,供bdcli100.exe连接。这里假设目标计算机上的80端口开放,并且成功地被hxdef100.exe安装了后门程序,我们可以
8、运行客户端程序bdcli00.exe连接该后门网络空间安全技术实践教程13bdcli100.exe连接后门15.3 Rootkit利用与检测实验利用与检测实验实验步骤:(4)Rootkit的检测Rootkit的手工检测难度较大,需要深入理解操作系统工作原理,这里仅介绍一些常用的Rootkit检测工具:Windows平台:GMER,Ice Sword,Rootkit Revealer,Blacklight等。Linux平台:Rootkit Hunter,Chkrootkit等。网络空间安全技术实践教程1415.3 Rootkit利用与检测实验利用与检测实验实验要求:使用Hacker Defender在Windows系统上留取Rootkit,并使用Rootkit检测工具进行分析和清除。网络空间安全技术实践教程1515.3 Rootkit利用与检测实验利用与检测实验实验扩展要求:学习Windows和Linux平台下常见的Rootkit软件及其使用。网络空间安全技术实践教程1615.3 Rootkit利用与检测实验利用与检测实验实验视频:网络空间安全技术实践教程17
