Rootkit:隐秘的黑客攻击
什么是Rootkit病毒
什么是Rootkit病毒
Rootkit是一种很深的隐藏在操作系统中执行恶意或令人讨厌的程序,比如弹出程序、广告软件或者间谍程序等。
大多数安全解决方案不能检测到它们并加以清除。
因为Rootkit在操作系统中隐藏得很深并且是以碎片的形式存在。
如果在清除过程中漏掉了任何一个相互关联的碎片,rootkit
能够自我激活。
一般的病毒扫描通常是清除病毒程序的执行阶段,但是在重新启动操作系统后rootkit
能够再次执行,所以问题并没有彻底解决。
要解决问题必须从rootkit本身,也就是从恶意程序的源头去根除。
内核模式的rootkit通常攻击操作文件系统,如果要检测已知及未知的内核模式rootkit,就必须直接访问原始卷并执行干净的启动进行补救。
赛门铁克诺顿2007产品采用Veritas 的VxMS (Veritas 映射服务)技术组件可以直接访问NTFS 格式的原始卷,并可以绕开Windows 文件系统API(应用程序接口)。
这种技术使诺顿的反间谍软件能够对运行在驱动程序层面上的rootkit 进行检测并实施补救措施。
对于未知的rootkit,赛门铁克采用最新的启发式检测(Heuristic Detection)进行有效防御。
来源:汤普森计算机安全实验室(Thompson Cyber Security Labs)。
警惕底层Rootkit病毒新变种
"系统侵蚀者"(Win32.Troj.AntiAV.e.172098)这是⼀个极具破坏性的病毒。
当病毒⼀运⾏后,桌⾯⽴即会消失,⽽且⽆法对系统做任何的操作,能看见的只是⼀个蓝⾊的桌⾯⽽已。
"Rootkit25920"(Win32.TrojDownloader.HmirT.a.25920)这是⼀个Rootkit病毒。
该病毒会监视userinit.exe和explorer.exe进程,创建、修改注册表启动项、服务项键,躲避安全监视⼯具,创建⽂件。
⼀、"系统侵蚀者"(Win32.Troj.AntiAV.e.172098)威胁级别:★★ 该病毒破坏能⼒⽴杆见影,除了⽴即使桌⾯消失以外,当⽤户重启机器后,会发现同样只显⽰蓝⾊的桌⾯,此时寻找⽀控桌⾯的explorer.exe系统⽂件时,会发现该系统⽂件已经被病毒删除。
当我们使⽤ctrl+alt+del热键显⽰出任务管理器时,通过浏览⽅式查看到"我的电脑"图标已经被删除,变成默认的图标。
该病毒会给⽤户的⼼理和系统已经造成严重的影响。
⼆、"Rootkit25920"(Win32.TrojDownloader.HmirT.a.25920)威胁级别:★ 该病毒是⼀个rootkit深层病毒。
该病毒会通过调⽤⼀些函数,通过函数避免安全软件的监视和截获。
并且还会在注册中建⽴新的病毒键值,其服务名为saiujrh38l.其对应的病毒⽂件路径为:%System32%\DRIVERS\saiujrh38l.sys.该病毒会监视userinit.exe和explorer.exe系统进程,当监测到有userinit.exe启动时,则会恶意修改注册表的runonce项,通过⽤户在下次启动系统时触发病毒,其病毒对应的路径为:%systemroot%\system32\55Id.dll.当病毒监测到有explorer.exe系统进程时,则创建⼀个新进程,其进程名为saiujrh38l.sys,对应路径是:%SystemRoot%\system32\drivers. ⾦⼭反病毒⼯程师建议 1.安装专业的杀毒软件进⾏全⾯监控。
网络安全笔试题及答案
网络安全笔试题及答案1. 什么是拒绝服务(DoS)攻击?如何防御这种类型的攻击?拒绝服务(DoS)攻击是一种网络攻击手段,旨在剥夺合法用户对网络资源的访问。
攻击者通过向目标系统发送大量无用的请求或恶意请求,消耗目标系统的资源(如带宽、计算能力、存储空间等),导致系统无法正常提供服务。
防御拒绝服务攻击的常见方法包括:- 使用防火墙和入侵检测系统,及时检测和阻止恶意流量。
- 配置网站负载均衡器,将请求分发到多个服务器,分担压力。
- 调整系统默认配置,限制单个IP地址的连接数和请求速率。
- 使用反向代理服务器,过滤恶意请求。
- 使用流量限制和访问控制列表(ACL)限制来自恶意IP地址的访问。
- 使用内容分发网络(CDN)来分发海量请求,减轻目标服务器的负担。
- 密切监控网络流量,及时发现异常流量,并做出相应的反应。
2. 什么是SQL注入攻击?如何防御SQL注入攻击?SQL注入攻击是一种利用应用程序对输入数据的处理不当,将恶意的SQL代码插入到应用程序的请求中,进而对数据库执行非法操作的攻击方式。
防御SQL注入攻击的常见方法包括:- 对输入进行严格的数据验证和过滤,过滤掉非法的字符或字符串。
- 使用参数化的SQL查询和预编译语句,确保输入数据被视为数据而不是可执行的代码。
- 最小化应用程序的数据库权限,确保应用程序只能执行必要的数据库操作。
- 使用安全的开发框架和库,这些框架和库提供了对SQL注入攻击的保护机制。
- 及时更新和修补应用程序和数据库的安全漏洞。
- 日志记录和监测数据库的访问,及时发现异常行为并采取相应的措施。
3. 什么是跨站请求伪造(CSRF)攻击?如何防御这种类型的攻击?跨站请求伪造(CSRF)攻击是一种攻击方式,利用用户已经在某个网站登录的身份验证信息,欺骗用户在未经其允许的情况下执行某些操作。
防御跨站请求伪造攻击的常见方法包括:- 校验请求来源和验证HTTP Referer字段,只接受合法的请求。
黑客基本术语名词解释
黑客基本术语名词解释本文介绍一些常见的基础黑客专用术语。
1.肉鸡:所谓“肉鸡”是一种很形象的比喻,比喻那些可以随意被我们控制的电脑(计算机(电脑)),对方可以是WINDOWS系统,也可以是UNIX/LINUX系统,可以是普通的个人电脑(计算机(电脑)),也可以是大型的服务器(server网络资源),我们可以象操作自己的电脑(计算机(电脑))那样来操作它们,而不被对方所发觉。
2.木马:就是那些表面上伪装成了正常的程序,但是当这些被程序运行时,就会获取系统的整个控制权限。
有很多黑客就是热中与使用木马程序来控制别人的电脑(计算机(电脑)),比如灰鸽子,黑洞,PcShare等等。
3.网页木马:表面上伪装成普通的网页文件或是将而已的代码直接插入到正常的网页文件中,当有人访问时,网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑(计算机(电脑))上来自动执行。
4.挂马:就是在别人的网站文件里面放入网页木马或者是将代码潜入到对方正常的网页文件里,以使浏览者中马。
5.后门:这是一种形象的比喻,入侵者在利用某些方法成功的控制了目标主机后,可以在对方的系统中植入特定的程序,或者是修改某些设置。
这些改动表面上是很难被察觉的,但是入侵者却可以使用相应的程序或者方法来轻易的与这台电脑(计算机(电脑))建立连接,重新控制这台电脑(计算机(电脑)),就好象是入侵者偷偷的配了一把主人房间的要是,可以随时进出而不被主人发现一样。
通常大多数的特洛伊木马(Trojan Horse)程序都可以被入侵者用语制、作后门(BackDoor)6.rootkit:rootkit是攻击者用来隐藏自己的行踪和保留root(根权限,可以理解成WINDOWS下的system或者管理员权限)访问权限的工具。
通常,攻击者通过远程攻击的方式获得root访问权限,或者是先使用密码猜解(破解)的方式获得对系统的普通访问权限,进入系统后,再通过,对方系统内存在的安全漏洞获得系统的root权限。
教你彻底清除掉rootkit
教你彻底清除掉rootkit假设你是一个黑客。
你刚好发现一个系统不是你的“leetskillz”工具软件的对手,并且获得了根访问权限。
系统管理员早晚会发现他的系统被别人“拥有”了。
在系统使用补丁修复之后,你被踢了出来。
这就是你要安装rootkit的理由。
rootkit是黑客安装在系统中的软件,以帮助恢复黑客在系统中的权限。
大多数rootkit还包含其它的高级工具,如帮助黑客建立后门以便不断地访问被攻破的计算机系统。
例如,rootkit可以拦截登录请求并且通过一个特殊用户ID和口令允许黑客秘密访问。
按键记录器、包嗅探器和其它利用安全漏洞的代码在rootkit 中是很常见的。
隐蔽攻击rootkit通过隐藏或者删除登录记录、注册表记录和与黑客活动有关的过程的踪迹来帮助黑客隐藏起来。
有些rootkit利用修改过的旨在忽略黑客行动指令来取代系统管理指令中的二进制命令。
例如,在Unix或Linux系统中,rootkit用一个不能够显示位于某些目录中的文件列表的指令替代“ls”命令。
或者,黑客使用一个忽略黑客活动进程的指令替代“ps”命令。
“ps”命令是用来显示系统中正在运行的进程的。
负责记录活动的程序也将被进行同样的修改以帮助攻击者隐藏起来,不受怀疑。
因此,当系统管理员查看系统时,一切看起来都很正常,尽管这个系统已经被黑客颠覆了。
rootkit的风格通过修改二进制命令完成任务的rootkit称作用户模式rootkit。
通过检查关键系统文件的大小、日期和校验和的变化就可以查出这些rootkit。
然而,高级的黑客使用内核模式rootkit进行工作就更隐蔽。
通过利用Linux在运行过程中可以装载内核扩展的功能,内核模式rootkit 就可以欺骗操作系统的内核。
这些rootkit悄悄地隐藏在计算机的心脏并且拦截合法应用程序对操作系统的呼叫,仅返还攻击者让你看的日期。
由于这种rootkit控制了整个系统环境,查出这种rootkit是很困难的。
Rootkit是什么
Rootkit 是什么
Rootkit 是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit 一般都和木马、后门等其他恶意程序结合使用。
在悬念迭起的中外谍战片里,对战双方中的一派势力通常会派遣特工人员潜伏到对手阵营中。
这名卧底人员良好的伪装使得对手对此长时间毫无察觉;为了能够长期潜伏他不贸然采取高风险行为以免过早暴露自己;他赢得敌人的信任并因此身居要职,这使得他能够源源不断地获取重要情报并利用其独特渠道传送回去。
从某种意义上说这位不速之客就是Rootkit——持久并毫无察觉地驻留在目标计算机中,对系统进行操纵、并通过隐秘渠道收集数据的程序。
Rootkit 的三要素就是:隐藏、操纵、收集数据。
“Rootkit”中root 术语来自于unix 领域。
由于unix 主机系统管理员账号为root 账号,该账号拥有最小的安全限制,完全控制主机并拥有了管理员权限被称为“root”了这台电脑。
然而能够“root”一台主机并不意味着能持续地控制它,因为管理员完全可能发现了主机遭受入侵并采取清理措施。
因此Rootkit 的初始含义就在于“能维持root 权限的一套工具”。
rootkit
内核对象是 Windows 系统中用来登记系 统运行情况和资源记录的内核数据结构,由 对象管理器来管理。修改内核数据结构的方 法主要分为两类: 修改活动进程链表(PsActiveProcessList) 修改进程令牌 (Process Token)
在链表 PsActiveProcessList 上保存着所有进程的 EPROCESS 结构,当某些模块需要获得系统中 运行的所有进程信息时,就会通过遍历该双向 链表来获得所要的信息。如果在 PsActiveProcessList 链表上删除相应的某进程信 息,则该进程将被隐藏起来,即使调用系统服 务 ZwQuerySystemInformation()也无法得到该进 程的相关信息。而由于 Windows 的线程分派 器使用另外的数据结构 (pKiDispatchReadyListHead,pKiWaitInListHead,p KiWaitOutListHead),因此,隐藏的进程仍然 能够正常的运行
需要注意,Rootkit 本身并不能使攻击者获 取管理员权限,它不是一种软件利用工具。 攻击者必须先使用其它手段获取主机的控 制权,例如利用漏洞的溢出攻击,或者被 动的密码嗅探等。一般需要取得管理员权 限才能正确部署 Rootkit工具。Rootkit 一般 具备下述功能:
窃取重要信息 通过监控键盘击键以及网络数据,窃取用户口令以及网络银行密码等 隐私信息 维持控制权 攻击者可以通过 Rootkit 隐藏的后门,非常隐蔽的以管理员权限再次进 入系统 隐藏攻击痕迹 隐藏与 Rootkit 相关的文件、进程、通信链接和系统日志等攻击痕迹。 欺骗检测工具 使检测工具无法发现系统的异常,无法找到隐蔽在系统中的 Rootkit 软件。 提供植入手段 其它可执行程序,例如蠕虫或病毒可以通过 Rootkit提供的隐蔽通道 植入系统,并且可以使用 Rootkit 来隐藏自身。 提供攻击跳板 攻击者可以利用受控主机对网络上的其它主机发动攻击,例如蠕虫传 播、拒绝服务攻击等。
Rootkit病毒的解决办法
Rootkit病毒的解决办法在诸多病毒类型⾥⾯最让⼈深恶痛绝的就是Rootkit(内核型)蠕⾍病毒,许多时候杀毒软件能检测到该病毒,但却⽆法有效清除。
此类病毒的特点是病毒⽂件为两个或多个,⼀个是扩展名为EXE的可执⾏类型⽂件,⼀个是扩展名为SYS的驱动类型⽂件。
EXE可执⾏⽂件为传统的蠕⾍病毒模块,负责病毒的⽣成、感染、传播、破坏等任务;SYS⽂件为Rootkit模块。
Rootkit也是⼀种⽊马,但它较我们常见的“冰河”、“灰鸽⼦”等⽊马更加隐蔽,它以驱动程序的⽅式挂⼊系统内核,然后它负责执⾏建⽴秘密后门、替换系统正常⽂件、进程隐藏、监控⽹络、记录按键序列等功能,部分Rootkit还能关闭杀毒软件。
⽬前发现的此类模块多为病毒提供隐藏的机制,可见这两类⽂件是相互依赖的。
既然病毒已经被隐藏了,我们从何处⼊⼿发现病毒呢?这⾥就以感染orans.sys蠕⾍病毒的计算机为例,探讨如何检测和查杀该类病毒。
检测病毒体⽂件Norton防病毒软件报告c:windowssystem32orans.sys⽂件为Rootkit型病毒,这⾥可以看到使⽤Rootkit代码的SYS⽂件是⽆法逃过杀毒软件检测的。
那么是否删除了该⽂件就能清除病毒呢,答案是不⾏的。
⾸先在染毒的系统下该⽂件是受保护的,⽆法被删除。
即使⽤户在安全模式下删除了⽂件,重新启动后,另外⼀个未被删除的病毒⽂件将随系统启动,并监控系统。
⼀旦其发现系统的注册表被修改或病毒的SYS⽂件遭删除,病毒就会重新⽣成该⽂件并改回注册表,所以很多时候我们会发现病毒⼜重⽣了。
因此需要同时找到这两个⽂件,⼀并处理。
但在受感染的系统中,真正的病毒体已经被Rootkit模块隐藏了,不能被杀毒软件检测到。
这时就需要从系统中的进程找到病毒的蛛丝马迹。
系统⾃带的任务管理器缺少完成这⼀任务的⼀些⾼级功能,不建议使⽤。
这⾥向⼤家推荐IceSword或Process Explorer软件,这两款软件都能观察到系统中的各类进程及进程间的相互关系,还能显⽰进程映像⽂件的路径、命令⾏、系统服务名称等相关信息。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Rootkit:隐秘的黑客攻击
发表日期:2006-09-14作者:[转贴] 出处:
Rootkit 是一种特殊类型的malware(恶意软件)。
Rootkit 之所以特殊是因为您不知道它们在做什么事情。
Rootkit 基本上是无法检测到的,而且几乎不可能删除它们。
虽然检测工具在不断增多,但是恶意软件的开发者也在不断寻找新的途径来掩盖他们的踪迹。
Rootkit 的目的在于隐藏自己以及其他软件不被发现。
它可以通过阻止用户识别和删除攻击者的软件来达到这个目的。
Rootkit 几乎可以隐藏任何软件,包括文件服务器、键盘记录器、Botnet 和Remailer。
许多Rootkit 甚至可以隐藏大型的文件集合并允许攻击者在您的计算机上保存许多文件,而您无法看到这些文件。
Rootkit 本身不会像病毒或蠕虫那样影响计算机的运行。
攻击者可以找出目标系统上的现有漏洞。
漏洞可能包括:开放的网络端口、未打补丁的系统或者具有脆弱的管理员密码的系统。
在获得存在漏洞的系统的访问权限之后,攻击者便可手动安装一个Rootkit。
这种类型的偷偷摸摸的攻击通常不会触发自动执行的网络安全控制功能,例如入侵检测系统。
找出Rootkit 十分困难。
有一些软件包可以检测Rootkit。
这些软件包可划分为以下两类:基于签名的检查程序和基于行为的检查程序。
基于签名(特征码)的检查程序,例如大多数病毒扫描程序,会检查二进制文件是否为已知的Rootkit。
基于行为的检查程序试图通过查找一些代表Rootkit 主要行为的隐藏元素来找出Rootkit。
一个流行的基于行为的Rootkit 检查程序是Rootkit Revealer.
在发现系统中存在Rootkit 之后,能够采取的补救措施也较为有限。
由于Rootkit 可以将自身隐藏起来,所以您可能无法知道它们已经在系统中存在了多长的时间。
而且您也不知道Rootkit 已经对哪些信息造成了损害。
对于找出的Rootkit,最好的应对方法便是擦除并重新安装系统。
虽然这种手段很严厉,但是这是得到证明的唯一可以彻底删除Rootkit 的方法。
防止Rootkit 进入您的系统是能够使用的最佳办法。
为了实现这个目的,可以使用与防范所有攻击计算机的恶意软件一样的深入防卫策略。
深度防卫的要素包括:病毒扫描程序、定期更新软件、在主机和网络上安装防火墙,以及强密码策略。
有关Rootkit 的更多信息,请参阅以下这个很好的Web 广播:Windows 中的Rootkit.
此外,Microsoft Solutions for Security and Compliance (MSSC) 小组也已经制定了Antivirus Defense-in-Depth Guide(防病毒深度防卫指南),该指南使用易于理解的语言简要介绍了各种不同类型的恶意软件以及它们具有的危险性。
本指南还讨论了恶意软件具有的特征、复制方法以及有效负载。
您也可以通过以下地址找到其他MSSC 指南:TechNet 网站.。