战术攻防思维撷粹(2)
2006-07-04 20:29:23 来源:WEB开发网至于端口重定向的问题,我们将进行一个实验来展示其精妙之处。首先,启动rootkit,拷贝一个可执行文件,比如:calc.exe到C:\test目录下面。接着,重命名cmd.exe为_root_cmd.exe并拷贝到C:\test下面。这时候rootkit程序会自动识辨_root_开头的程序,并重定向其到calc.exe,因此当运行_root_cmd.exe会出现计算器的界面(通过这种方式启动木马程序容易之极)。之后,关闭rootkit服务,使用Ultraedit比较cmd.exe和_root_cmd.exe,居然两者内容一致。这种令人可畏的做法让我十分敬佩Hoglund的思维模式。
有必要提到的一点变是,在系统中控制安装操作这些“精品”软件动作一般会由系统记录在案,而系统管理员每日任务之一也就是查看这些珍贵的日志文件。Lauritsen经过辛苦的分析复杂的NT日志语法,编写了elsave工具能适应这种抹除痕迹要求。下面句法将清除远程机器上安全日志的结果(需要得到目标机器合适的特权):
C:\toolbox>elsave –s \\remote_machine -l “Security” –C
**流的伪装
最后,在探讨关于NTFS提供文件内分化多个信息流(streaming)的支持。这种特性使得我们可以在获得系统权限的主机上藏污纳垢。下面的例子则是简单把nc.exe藏匿和运行的流应用(工具取自POSIX中CP工具,下载地址<http://home.socal.rr.com/err0neous/POSIX/>;;):
C:\toolbox\posix>cp nc.exe 1357298.tmp:nc.exe
对于分流后的文件,前前端(1357298.tmp)仍能执行其作用,而后端(nc.exe)则需要使用:C:\>start 1357298.tmp:nc.exe来执行。
【小结提要】
通过前面几小节的探讨和研究,稍微浅尝黑客世界里精湛技艺,也稍微掌握了一些系统入侵的基本思路和行为模式。对于上叙已经的攻击方式,当然已经有了相应的对策,为节约时间,这里列举四个小对策,其他资料可到google查询:
更多精彩
赞助商链接