检测并禁用隐藏服务

• 隐藏服务的概念是由hxdef 和rootkit这些后门工具提出的。这些后门工具通过挂钩系统本地调用来隐藏自己，原本通过调用Windows API调用查看系统服务的企图都是徒劳的。所以这时的系统是不可靠的，不值得信任的。目前针对查找隐藏服务的工具已经有很多，比如IceSLinux， knlsc，FHS等等。虽然这些Linux都是Linux的，但是它们到目前为止都不是开源，所以将自己的实现版本展示出来，正如knlsc的作者所说的那样，这是一个简单的小程序。
  
  　 Knlsc是通过将%SystemRoot%/System32/Config/System这个Hive文件转储出来，提取出 ControlSet001/Services的子项再与RegEnumKeyEx的输出结果进行比对，发现若是在RegEnumKeyEx的输出结果中没有的子项就可以认为是一个隐藏的服务。当然knlsc还认为隐藏服务必须同时拥有ImagePath，Start，Type三个键值。据说knlsc运行时还将从资源段中放出一个驱动程序，但是估计这个驱动是假的。将knlsc托壳后用VC从资源段中导出的文件是一个没有EntryPoint但有MZ标志的驱动，没有办法进行反汇编。或许作者使用了SMC技术，放出资源文件后在进行Linux改，在执行文件中也有NtLoadDriver的调用片段，但是同一作者的knlps中的资源驱动却未作任何的处理。要实现检测隐藏服务的功能其实没有必要使用驱动程序，即使可以验证knlsc驱动的真实性。直接对Hive 文件的转储也不是必须的，虽然这只要通过修改Gary Nebbett的示例代码就可做到。
  
  　 Hive文件的转储可以通过RegSaveKey函数来进行，rootkitrevealer就是使用这个API的扩充函数RegSaveKeyEx工作的，至少到目前为止还没有挂钩这类函数的后门，但是世上没有永远的Linux，在理论上是可行的，可能不得不对该函数的输出文件进行处理，这将在一定程度上影响该函数的执行时间。使用该函数时还必须赋予调用进程以SE_BACKUP_NAME权限。
  
  　在实现中将“HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services"的子项都转储为Hive格式文件（使用DumpServiceInfo函数），存放在C:\tmp.hive，在Ｃ盘下不可有同名文件，否则会发生Dump错误。现在的问题是如何对Hive 格式文件进行处理，在这一点上必须感谢Petter Nordahl-Hagen所写的NT Registry Hive Linux library，它是The Offline NT Password Editor的一部分。本人的实现很大程度上就是参照他的程序，然而这个库工作在Linux环境，但是它向VC编译器移植的工作量是极少的，只需稍加修改。
  
  
  １．将　#include <unistd.h>　去掉
  
  ２．将程序中三处的
  
  #define D_OFFS(o) ( (void *)&(key->o)-(void *)hdesc->buffer-vofs )　　
  
  改为　
  
  #define D_OFFS(o) ( (int *)&(key->o)-(int *)hdesc->buffer-vofs )
  
  因为在ＶＣ中无法打印void * 类型，只得改为int *　。
  
  ３．将程序中唯一的一处使用snprintf函数该为_snprintf，即
  
  snprintf(path,maxlen,"(...)%s",tmp);改为
  
  _snprintf(ptth,maxlen,”(…)%s”,tmp);
  
  ４．添加两个ＶＣ不支持的函数来使编译通过
  
  void bzero(void *s,int n)
  
  {　　
  
  memset(s,0,n);　　　
  
  }
  
  int strncasecmp(const char *s1, const char *s2, size_t n)
  
• [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] 下一页 
• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• 检测并禁用隐藏服务 相关文章：
• ·如何卸载netware客户服务
• ·仙剑奇侠传3-问情篇:支线任务全攻略
• ·全国主要CS服务器地址
• ·剧情任务六：八戒悟空剧情
• ·三国群雄传之卧龙与凤雏 支线任务 - 游戏攻略
• ·解决与HTTP 500 – 内部服务器错误错误信息有关的问题
• ·微软新系统Vista服务优化攻略
• ·腾讯QQ售前 售后客户服务咨询投诉热线电话
• ·任务管理器被禁用的恢复
• ·10大国外代理服务器网站
• 检测并禁用隐藏服务 相关软件
• ·Kaspersky(卡巴斯基) Anti-Virus V6.0.2.678 中文服务器版
• ·战斗任务2
• ·雷电Ⅲ之隐秘任务1 V1.04 中文版
• ·《经典FTP服务器架设》 教学视频录象
• ·邮件服务器(Magic Winmail) V4.4
• ·勤哲Excel服务器 2007 V7.1.5 完整企业版
• ·最新《财务管理》串讲音频资料wma1
• ·Buzzing Cars 任务型赛车 V1.0
• ·腾讯通RTX 2006 正式版 服务器端
• ·大地球进销存财务管理系统(无限网络版) V6.55

上一篇:webshell中用脚本提升权限

下一篇:个人网络安全防卫手册

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐