root kit是當(dāng)今最為流行的后門，其他后門的危害程度對(duì)于root kit技術(shù)的后門來說簡直就不能相提并論。root kit技術(shù)不論從隱蔽程度還是危害性來說都可以算是后門技術(shù)的革新制作，對(duì)于廣大的安全管理員更應(yīng)當(dāng)注意這種后門的防范。

root kit技術(shù)出現(xiàn)于20世紀(jì)90年代初，在1994年2月的一篇安全咨詢報(bào)告中首先使用了root kit這個(gè)名詞。從出現(xiàn)至今，root kit 的技術(shù)發(fā)展非常迅速，應(yīng)用越來越廣泛，檢測難度也越來越大。其中釷對(duì)SunOS和Linux兩種操作系統(tǒng)的root kit最多。

很多人有一個(gè)誤解，他們認(rèn)為root kit技術(shù)是用作獲得系統(tǒng)root訪問權(quán)限的工具。實(shí)際上，root kit是攻擊都用來隱蔽自己的蹤跡和保留root訪問權(quán)限的工具。通常，攻擊者通過遠(yuǎn)程攻擊獲得root訪問權(quán)限，進(jìn)入系統(tǒng)后，攻擊者會(huì)在侵入的主機(jī)中安裝root kit，然后他將經(jīng)常通過root kit的后門檢查系統(tǒng)是否有其他的用戶登錄，如果只有自己，攻擊者就開始著手清理日志中的有關(guān)信息。通過root kit的嗅探器獲得其他系統(tǒng)的用戶和密碼之后，攻擊者就會(huì)利用這些信息侵入其他系統(tǒng)。

從*nix系統(tǒng)上遷移到windows系統(tǒng)下的root kit完全沿襲了這些“可怕”的功能!現(xiàn)在網(wǎng)絡(luò)上常見的root kit 是內(nèi)核級(jí)后門軟件，用戶可以通過它隱藏文件、進(jìn)程、系統(tǒng)服、系統(tǒng)驅(qū)動(dòng)、注冊(cè)表鍵和鍵值、打開的端口以及虛構(gòu)可用磁盤窨。程序同時(shí)也在內(nèi)存中偽裝它所做的改動(dòng)，并且隱身地控制被隱藏進(jìn)程。程序安裝隱藏后門，注冊(cè)隱藏系統(tǒng)服務(wù)并且安裝系統(tǒng)驅(qū)動(dòng)。該后門技術(shù)允許植入reDirector，是非常難以查殺的一個(gè)東東，讓很多網(wǎng)絡(luò)管員非常頭疼!

hacker defender

類型：系統(tǒng)后門

使用范圍：win200/xp/2003

隱蔽程度：★★★★★

使用難度：★★★★★

危害程度：★★★★★

查殺難度：★★★★★(呵呵，全部五星，因?yàn)樗?ldquo;霸道”了)

現(xiàn)在最新版本的hxdf是1.0.0，它是從國外傳過來的一個(gè)程序，包含兩個(gè)關(guān)鍵程序，里面的配置文件ini非常復(fù)雜，相信新手使用也是很困難的主要包括：[Hidden Table]，[Root Processes]，[HiddenServices]，[Hidden RegKeys]，[Hidden RegValues]，[Startup Run]，[Free Space],[Hidden pORTS]，[Settings]。對(duì)功能就是隱藏文件(目錄)、隱藏進(jìn)程、隱蔽服務(wù)、隱藏注冊(cè)鍵、隱藏注冊(cè)表鍵值、啟動(dòng)程序、增加磁盤剩余空間、隱藏端口、后門設(shè)置，具體配置我們就不具體講解了，本期文章有詳細(xì)的介紹，我們說說它的特點(diǎn)(純粹個(gè)人觀點(diǎn)和經(jīng)驗(yàn)偏激的地方請(qǐng)大家海涵)：

(1)可以實(shí)現(xiàn)正常系統(tǒng)TCP端口的通訊，比如80等，這個(gè)功能在高級(jí)后門并不鮮見。

(2)能得到簡單的系統(tǒng)SHELL，對(duì)入侵的老手來說這就夠了，多余的功能反而是累贅。

(3)隱藏端口，如果你非要使用TCP的某一個(gè)非常規(guī)端口通訊，那使用這個(gè)功能吧，放心，別人發(fā)現(xiàn)不了。

(4)隱藏后門的所有可找到東西!這個(gè)只能用一個(gè)字來形容：牛!比如隱藏文件、服務(wù)、注冊(cè)表鍵等功能，雖然我們說起來是一句話，想念識(shí)貨的朋友應(yīng)該能發(fā)現(xiàn)這中間NB的地方!

(5)史上最經(jīng)典后門思維：配合其他擴(kuò)展型后門使用，效果好得出乎你的意料!(這是后面的內(nèi)容，我們馬上講到)。

拋開其他不講，系統(tǒng)中安裝了運(yùn)用root kit技術(shù)的后門，你通過普通的查殺途徑根本檢測不到這個(gè)程序這點(diǎn)就非常值得我們利用了!試想：一個(gè)在你服務(wù)器上運(yùn)行的后門，你連看都看不到它，別說查殺了!

注：由于此后門危害太大，所以編輯特別在此掐掉作者一段篇幅，喜歡研究后門程序的朋友可以自己去研究，不過千萬注意不要誤運(yùn)行了程序，查殺和清除是非常麻煩的事!直接重新安裝系統(tǒng)吧!
 

【編輯推薦】

1. 淺談后門的概念與分類
2. 經(jīng)典后門實(shí)例之網(wǎng)頁后門
3. 經(jīng)典后門實(shí)例之線程插入后門
4. 經(jīng)典后門實(shí)例之?dāng)U展后門
5. 用Mysql語句來生成后門木馬方案