一 首先參閱資料搞一次Rootkit實施

參閱

http://security.ctocio.com.cn/tips/331/8238331.shtml

其目的在于：在系統中新建一個除了黑客自己之外誰也看不到的隱藏的管理員用戶

在命令提示符(cmd.exe)下輸入如下圖命令；
建立了一個用戶，密碼為123fff的普通用戶。為了達到初步的隱藏我們在用戶名的后面加了“$”號，這樣在命令提示符下通過net user是看不到該用戶的，當然在“本地用戶和組”及其注冊表的“SAM”項下還可以看到。

命令行輸入lusrmgr.msc可打開本地組；

下面通過注冊表對tianxia$用戶提權，使其成為一個比較隱蔽(在命令行和“本地用戶和組”中看不到)的管理員用戶。
打開注冊表編輯器，命令行輸入regedit，定位到HKEY_LOCAL_MACHINE\SAM\SAM項。默認情況下管理員組對SAM項是沒有操作權限的，因此我們要賦權。右鍵點擊該鍵值選擇“權限”，然后添加“administrators”組，賦予其“完全控制”權限，最后刷新注冊表，就能夠進入SAM項下的相關鍵值了。
定位到注冊表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users項，點擊“000001F4”
注冊表項，雙擊其右側的“F”鍵值，復制其值，然后點擊“00000404”注冊表項(該項不一定相同)，雙擊其右側的“F”鍵值，用剛才復制鍵值進行替換其值。

?

分別導出tianxia$、00000404注冊表項為1.reg和2.reg。在命令行下輸入命令"net user tianxia$ /del"刪除tianxia$用戶，然后分別雙擊1.reg和2.reg導入注冊表，最后取消administrators對SAM注冊表項的訪問權限。
　　這樣就把tianxia$用戶提升為管理員，并且該用戶非常隱蔽，除了注冊表在命令下及“本地用戶和組”是看不到的。這樣的隱藏的超級管理員用戶是入侵者經常使用的，對于一個水平不是很高的管理員這樣的用戶他是很難發現的。這樣的用戶他不屬于任何組，但卻有管理員權限，是可以進行登錄的。

?

?

刪除上面建的用戶；

?

導入注冊表；

?

到目前為止；注冊表中可見該用戶；

本地用戶和組里面確實沒有了；

?

二 高級隱藏用戶失敗

　　綜上所述，創建的tianxia$用戶雖然比較隱蔽，但是通過注冊表可以看見。下面利用RootKit工具進行高級隱藏，即在注冊表中隱藏該用戶。
　　在Hacker defende工具包中也很多工具，我們隱藏注冊表鍵值只需其中的兩個文件，hxdef100.exe和
　　hxdef100.ini。其中hxdef100.ini是配置文件，hxdef100.exe是程序文件。打開hxdef100.ini文件定位到[Hidden RegKeys]項下，添加我們要隱藏的注冊表鍵值gslw$和00000404即用戶在注冊表的項然后保存退出。

?

......

[Hi:dden R/">>egKeys]
Ha:"c<kerDef\e/nder100
LE":GACY_H\ACK/ERDEFE\ND:ER100
Ha:"c<kerDef\e/nderDrv100
LE":GACY_H\ACK/ERDEFE\ND:ERDRV100
tianxia$
000003E8

......

?

原文：

然后雙擊運行hxdef100.exe，可以看到tianxia$用戶在注冊表中的鍵值“消失”了，同時這兩個文件也“不見”了。這樣我們就利用RootKit實現了高級管理員用戶的徹底隱藏，管理員是無從知曉在系統中存在一個管理員用戶的。

但是看下注冊表：

tianxia$用戶還能看到；沒有隱藏；

此應為版本的原因；該文發表于2008年；現已是Win7以上時代；

三 試下反Rootkit工具

網上下個RootKit Hook Analyzer,運行，不能安裝，如下圖；以后再搞吧；

下個冰刃，不能運行；看來要搞個與時俱進的高級工具還真不容易；

看下任務管理器，該Rootkit進程正在其中；hxdef100.exe；

四 用進程查看工具分析一下

1?

?

此工具能顯示進程的詳細信息；模塊信息；msvcrt.dll是微軟在windows操作系統中提供的C語言運行庫執行文件; 那么此進程也許是VC++編寫；

調用了kernel32，輸入法模塊，GDI模塊，.....，有WS2_32.dll，那么應該實現了網絡通信功能，......；怎么樣能看出這個hxdef100是危險進程呢？偶看不出；

?

2 下面這個工具很強大；

能顯示進程詳細信息；但是也不會自動提示哪個是可疑進程；

?

3?

下面這個據說可提示可疑進程；使用前先要運行補丁；

運行該工具；藍屏死機；看來也是老版本；

4?

下了一個工具，據說能自動提示可疑進程；

一打開，這家伙先自動刪了兩個進程；偶好崩潰；

想起來重啟電腦，hxdef100未加載；重新加載hxdef100，再打開該工具；此工具確實把hxdef100刪除了；但是順帶連我的截圖工具也刪除；

5?

又下了個新一些版本的 Windows進程管理器 ，切換到端口監聽選項卡時，掛了；要搞個好工具還真難；

?

上述相關工具下載，搞崩潰電腦自己負責；

http://pan.baidu.com/s/1skZx4TZ

?

另；

VirusTotal是一個提供免費的可疑文件分析服務的網站。
virustotal.com網站允許用戶上傳惡意樣本，然后返回46個病毒掃描器的掃描報告。
利用virustotal.com網站提供的公共API，可以編寫python腳本自動獲取這個掃描報告。?

《新程序員》：云原生和全面數字化實踐50位技術專家共同創作，文字、視頻、音頻交互閱讀

總結

以上是生活随笔為你收集整理的一次Rootkit实施失败记(图解)的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。