網絡空間安全技術實踐教程(40)課件

網絡空間安全技術實踐教程呂秋云，王小軍，胡耿然，汪云路，王秋華西安電子科技大學出版社網絡空間安全技術實踐教程呂秋云，王小軍，胡耿然，汪云路，王秋第四篇滲透攻擊測試實驗篇第十五章漏洞利用實驗15.3Rootkit利用與檢測實驗網絡空間安全技術實踐教程2第四篇滲透攻擊測試實驗篇網絡空間安全技術實踐教程215.3Rootkit利用與檢測實驗實驗目的：

了解Rootkit的工作原理和功能，熟悉常見Rootkit以及Rootkit檢測工具的使用。網絡空間安全技術實踐教程315.3Rootkit利用與檢測實驗實驗目的：網絡空間安全15.3Rootkit利用與檢測實驗實驗原理：Rootkit通常是一組惡意計算機軟件的集合，運行于操作系統(tǒng)的底層內核之中。Rootkit可以實現(xiàn)多種功能，完成比如隱藏文件、進程以及程序，提權，記錄鍵盤，安裝后門等惡意行的任務。網絡空間安全技術實踐教程415.3Rootkit利用與檢測實驗實驗原理：網絡空間安全15.3Rootkit利用與檢測實驗實驗原理：

計算機系統(tǒng)中與用戶進行交互的軟件，通常其功能是在操作系統(tǒng)中較高層上實現(xiàn)的。當它們執(zhí)行任務時，經常會向操作系統(tǒng)中較底層的服務發(fā)送請求，而Rootkit運行于系統(tǒng)底層，可以通過“掛鉤”或攔截軟件等工具攔截這些請求，并修改系統(tǒng)的正常響應，完成各種惡意目的。網絡空間安全技術實踐教程515.3Rootkit利用與檢測實驗實驗原理：網絡空間安全15.3Rootkit利用與檢測實驗實驗要點說明：（實驗難點說明）HackerDefender的配置及使用HackerDefender是一個WindowsRootkit，主要包含3個文件：hxdef100.exe、hxdef100.ini、bdcli100.exe。hxdef100.exe:在目標計算機上運行HackerDefenderbdcli100.exe:客戶端軟件,用于連接后門Hxdef100.exe:配置文件。配置隱藏的文件、文件夾、進程，配置自動運行的程序，配置連接后門的密碼等信息。

網絡空間安全技術實踐教程615.3Rootkit利用與檢測實驗實驗要點說明：（實驗難15.3Rootkit利用與檢測實驗實驗要點說明：（實驗難點說明）HackerDefender的配置及使用

[HiddenTable]：要隱藏的文件、文件夾、進程，其中的所有條目對Windows資源管理器和文件管理器來說都是隱藏的。[RootProcesses]：用來與客戶端交互的進程，通常是隱藏的。[HiddenServices]：要隱藏的服務，其中的所有服務都不會出現(xiàn)在服務列表中。[HiddenRegKeys]：要隱藏的注冊表條目。[StartupRun]：系統(tǒng)每次啟動時運行的程序。[HiddenPorts]：要隱藏的端口號。。

網絡空間安全技術實踐教程715.3Rootkit利用與檢測實驗實驗要點說明：（實驗難15.3Rootkit利用與檢測實驗實驗要點說明：（實驗難點說明）常見Rootkit檢測工具的使用

網絡空間安全技術實踐教程815.3Rootkit利用與檢測實驗實驗要點說明：（實驗難15.3Rootkit利用與檢測實驗實驗準備：（實驗環(huán)境，實驗先有知識技術說明）KaliLinuxHackerDefenderWindowsXP（靶機）網絡空間安全技術實踐教程915.3Rootkit利用與檢測實驗實驗準備：（實驗環(huán)15.3Rootkit利用與檢測實驗實驗步驟：（1）配置hxdef100.ini文件，利用Meterpreter把Netcat，hxdef100.exe，hxdef100.ini上傳到目標計算機。網絡空間安全技術實踐教程1015.3Rootkit利用與檢測實驗實驗步驟：網絡空間安全15.3Rootkit利用與檢測實驗實驗步驟：（1）hxdef100.ini采取的配置如下（這里僅給出了修改的部分）：網絡空間安全技術實踐教程11[HiddenTable]hxdef*rcmd.exerknc.exe

[RootProcesses]hxdef*rcmd.exenc.exe……[StartupRun]C:\rk\nc.exe?-Ldp12345-eC:\WINDOWS\system32\cmd.exe……[HiddenPorts]TCP:1234515.3Rootkit利用與檢測實驗實驗步驟：網絡空間安全15.3Rootkit利用與檢測實驗實驗步驟：（2）用“execute–fhxdef100.exe”命令運行HackerDefender，運行后將會根據(jù)配置文件進行相關隱藏。網絡空間安全技術實踐教程12HackerDefender運行之前HackerDefender運行之后15.3Rootkit利用與檢測實驗實驗步驟：網絡空間安全15.3Rootkit利用與檢測實驗實驗步驟：（3）與留下的后門進行交互。當hxdef100.exe在目標計算機運行后，會嘗試在開放的端口上安裝后門程序，供bdcli100.exe連接。這里假設目標計算機上的80端口開放，并且成功地被hxdef100.exe安裝了后門程序，我們可以運行客戶端程序bdcli00.exe連接該后門網絡空間安全技術實踐教程13bdcli100.exe連接后門15.3Rootkit利用與檢測實驗實驗步驟：網絡空間安全15.3Rootkit利用與檢測實驗實驗步驟：（4）Rootkit的檢測Rootkit的手工檢測難度較大，需要深入理解操作系統(tǒng)工作原理，這里僅介紹一些常用的Rootkit檢測工具：Windows平臺：GMER，IceSword，RootkitRevealer，Blacklight等。Linux平臺：RootkitHunter，Chkrootkit等。網絡空間安全技術實踐教程1415.3Rootkit利用與檢測實驗實驗步驟：網絡空間安全15.3Rootkit利用與檢測實驗實驗要求：使用HackerDefender在Windows系統(tǒng)上留取Rootkit，并使用Rootkit檢測工具進行分析和清除。網絡空間安全技術實踐教程1515.3Rootkit利用與檢測實驗實驗要求：網絡空間安全15.3Rootkit利用與檢測實驗實驗擴展要求：學習Windows和Linux平臺下常見的Rootkit軟件及其使用。。網絡空間安全技術實踐教程1615.3Rootkit利用與檢測實驗實驗擴展要求：網絡空間15.3Rootkit利用與檢測實驗實驗視頻：網絡空間安全技術實踐教程1715.3Rootkit利用與檢測實驗實驗視頻：網絡空間安全網絡空間安全技術實踐教程呂秋云，王小軍，胡耿然，汪云路，王秋華西安電子科技大學出版社網絡空間安全技術實踐教程呂秋云，王小軍，胡耿然，汪云路，王秋第四篇滲透攻擊測試實驗篇第十五章漏洞利用實驗15.3Rootkit利用與檢測實驗網絡空間安全技術實踐教程19第四篇滲透攻擊測試實驗篇網絡空間安全技術實踐教程215.3Rootkit利用與檢測實驗實驗目的：

了解Rootkit的工作原理和功能，熟悉常見Rootkit以及Rootkit檢測工具的使用。網絡空間安全技術實踐教程2015.3Rootkit利用與檢測實驗實驗目的：網絡空間安全15.3Rootkit利用與檢測實驗實驗原理：Rootkit通常是一組惡意計算機軟件的集合，運行于操作系統(tǒng)的底層內核之中。Rootkit可以實現(xiàn)多種功能，完成比如隱藏文件、進程以及程序，提權，記錄鍵盤，安裝后門等惡意行的任務。網絡空間安全技術實踐教程2115.3Rootkit利用與檢測實驗實驗原理：網絡空間安全15.3Rootkit利用與檢測實驗實驗原理：

計算機系統(tǒng)中與用戶進行交互的軟件，通常其功能是在操作系統(tǒng)中較高層上實現(xiàn)的。當它們執(zhí)行任務時，經常會向操作系統(tǒng)中較底層的服務發(fā)送請求，而Rootkit運行于系統(tǒng)底層，可以通過“掛鉤”或攔截軟件等工具攔截這些請求，并修改系統(tǒng)的正常響應，完成各種惡意目的。網絡空間安全技術實踐教程2215.3Rootkit利用與檢測實驗實驗原理：網絡空間安全15.3Rootkit利用與檢測實驗實驗要點說明：（實驗難點說明）HackerDefender的配置及使用HackerDefender是一個WindowsRootkit，主要包含3個文件：hxdef100.exe、hxdef100.ini、bdcli100.exe。hxdef100.exe:在目標計算機上運行HackerDefenderbdcli100.exe:客戶端軟件,用于連接后門Hxdef100.exe:配置文件。配置隱藏的文件、文件夾、進程，配置自動運行的程序，配置連接后門的密碼等信息。

網絡空間安全技術實踐教程2315.3Rootkit利用與檢測實驗實驗要點說明：（實驗難15.3Rootkit利用與檢測實驗實驗要點說明：（實驗難點說明）HackerDefender的配置及使用

[HiddenTable]：要隱藏的文件、文件夾、進程，其中的所有條目對Windows資源管理器和文件管理器來說都是隱藏的。[RootProcesses]：用來與客戶端交互的進程，通常是隱藏的。[HiddenServices]：要隱藏的服務，其中的所有服務都不會出現(xiàn)在服務列表中。[HiddenRegKeys]：要隱藏的注冊表條目。[StartupRun]：系統(tǒng)每次啟動時運行的程序。[HiddenPorts]：要隱藏的端口號。。

網絡空間安全技術實踐教程2415.3Rootkit利用與檢測實驗實驗要點說明：（實驗難15.3Rootkit利用與檢測實驗實驗要點說明：（實驗難點說明）常見Rootkit檢測工具的使用

網絡空間安全技術實踐教程2515.3Rootkit利用與檢測實驗實驗要點說明：（實驗難15.3Rootkit利用與檢測實驗實驗準備：（實驗環(huán)境，實驗先有知識技術說明）KaliLinuxHackerDefenderWindowsXP（靶機）網絡空間安全技術實踐教程2615.3Rootkit利用與檢測實驗實驗準備：（實驗環(huán)15.3Rootkit利用與檢測實驗實驗步驟：（1）配置hxdef100.ini文件，利用Meterpreter把Netcat，hxdef100.exe，hxdef100.ini上傳到目標計算機。網絡空間安全技術實踐教程2715.3Rootkit利用與檢測實驗實驗步驟：網絡空間安全15.3Rootkit利用與檢測實驗實驗步驟：（1）hxdef100.ini采取的配置如下（這里僅給出了修改的部分）：網絡空間安全技術實踐教程28[HiddenTable]hxdef*rcmd.exerknc.exe

[RootProcesses]hxdef*rcmd.exenc.exe……[StartupRun]C:\rk\nc.exe?-Ldp12345-eC:\WINDOWS\system32\cmd.exe……[HiddenPorts]TCP:1234515.3Rootkit利用與檢測實驗實驗步驟：網絡空間安全15.3Rootkit利用與檢測實驗實驗步驟：（2）用“execute–fhxdef100.exe”命令運行HackerDefender，運行后將會根據(jù)配置文件進行相關隱藏。網絡空間安全技術實踐教程29HackerDefender運行之前HackerDefender運行之后15.3Rootkit利用與檢測實驗實驗步驟：網絡空間安全15.3Rootkit利用與檢測實驗實驗步驟：（3）與留下的后門進行交互。當hxdef100.exe在目標計算機運行后，會嘗試在開放的端口上安裝后門程序，供bdcli100.exe連接。這里假設目標計算機上的80端口開放，并且成功地被hxdef100.exe安裝了后門程序，我們可以運行客戶端程序bdcli00.exe連接該后門網絡空間安全技術實踐教程30bdcli100.exe連接后門15.3Ro