危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览18791537

解析rootkit远控的生存能力

无意间发现了一款自称是rootkit的远控,就试了一下感觉非常不错。有关木马的配置及使用我就不多说了,既然是rootkit,那我们就来看看它的生存能力如何。

首先生成一个服务端,生成后双击运行,360安全卫士没有任何反应。然后我们看到木马上线了。打开Xuetr,这时360提示程序试图加载驱动Xuetr.sys,我们点击允许。通过Xuetr,我们发现系统中多了一个驱动sfcp.sys,且这个sfcp.sys还挂钩了SSDT中的NtDeviceIoControIFile函数(我对内核函数了解不多,不知道hook这个函数有什么作用,从名字上看像是一个与文件有关的函数,还请高手帮忙解释下)。这足以证明木马成功突破了360安全卫士驱动防御。

接下来我们使用禹盾HIPS进行测试。双击运行木马,禹盾弹出一些有关进程的提示,我们都点击允许。接下来到了最关键的地方,禹盾弹出一条提示,询问是否允许加载驱动sfcp.sys,不过动作宿主已经变成了services.exe。可见木马的精明,利用系统进程来加载自己的驱动。我们点击禁止加载此驱动。木马依然正常上线。打开xuetr查看,驱动没有被加载,函数也没有被挂钩。重启后,木马依然上线。打开xuetr,发现这次sfcp.sys已经躺在那里了,NtDeviceIoControlFile也被hook了。看来木马很顽强,利用意志战胜了禹盾。

检验一个木马的生存能力最好的方法就是查杀。我首先解除了木马对NtDeviceIoControlFile的hook,然后删除了sfcp.sys(文件和注册表),接着卸载了木马寄生在explorer.exe里的Sysldt.dll模块。重启电脑后,木马还很顽强,又上线了。我打开xuetr一看,驱动是没有恢复,但是Sysldt.dll模块却恢复了。查看端口,发现木马正利用svchost.exe通信。查看所有svchost.exe进程,均没有发现可疑模块。这次我先删除Sysldt.dll模块文件,再卸载模块,最后重启电脑,木马终于被清除干净了。

由此可见,这个木马的确是一个不一般的木马。由于我用的是破解版,所以不需要注册就可以享受全部功能。在此把这个好马提供给大家。

相关推荐