技术含量不高谨供参考。与以往的后门不同,内核级后门更加隐蔽,即使杀毒软件把它们列入病毒库,但是一旦它们成功运行由于其自身拥有隐藏文件的功能,杀毒软件也就无能为力了。本文对国外流行的hxdef073和国内有名的ntrootkit为对象来进行探讨。
首先是发现后门,对于hxdef073来说,hxdef073.ini是不能该名的,而且运行后hxdef073.ini及hxdef*.*都会被隐藏,所以发现它最简单的办法就是建一个hxdef073.ini看看能不能找到它,在命令行状态下的具体行为是c:\>echo test > hxdef073.ini c:\>dir hxdef073.ini。对于ntrootkit来说比较简单,在ntrootkit安装后c:\winnt\system32\下会有个rtkit目录,默认状态是没有隐藏的,可见作者的用心良苦。查看有无此目录即可判定后门的存在。
再来谈谈清除,其原理是在nt系统还没启动前发现并清除它。FAT格式的开机引导到dos状态下使用dir hxdef073.* /s 命令,可以找到hxdef037.exe和hxdef073.ini,如果你愿意可以看看它的配置文件hxdef073.ini,用del命令删除即可。当然ntrootkit也可以用这种方法清除。如果是ntfs格式的,可以先用ntfsdos引导。这种方法只适用与后门自身文件名不能更改的类型,对于其他内核级后门的清除要麻烦点,先对其进行反工程,得到他的特征码,加入到kv3000或kv300(注意不是病毒防火墙)的病毒库中,然后引导到dos或ntfsdos下进行查杀。
|
论坛用户
论坛用户
论坛: 菜鸟乐园 标题: 原创:关于hxdef073之类的nt环境下内核级后门的发现与清除