《网络空间安全技术实践教程》课件15.3课件.pptx

1、第四篇第四篇 渗透攻击测试实验篇渗透攻击测试实验篇第十五章 漏洞利用实验15.3 Rootkit利用与检测实验网络空间安全技术实践教程115.3 Rootkit利用与检测实验利用与检测实验实验目的：了解Rootkit的工作原理和功能，熟悉常见Rootkit以及Rootkit检测工具的使用。网络空间安全技术实践教程215.3 Rootkit利用与检测实验利用与检测实验实验原理：Rootkit通常是一组恶意计算机软件的集合，运行于操作系统的底层内核之中。Rootkit可以实现多种功能，完成比如隐藏文件、进程以及程序，提权，记录键盘，安装后门等恶意行的任务。网络空间安全技术实践教程315.3 Roo

2、tkit利用与检测实验利用与检测实验实验原理：计算机系统中与用户进行交互的软件，通常其功能是在操作系统中较高层上实现的。当它们执行任务时，经常会向操作系统中较底层的服务发送请求，而Rootkit运行于系统底层，可以通过“挂钩”或拦截软件等工具拦截这些请求，并修改系统的正常响应，完成各种恶意目的。网络空间安全技术实践教程415.3 Rootkit利用与检测实验利用与检测实验实验要点说明：（实验难点说明）Hacker Defender的配置及使用Hacker Defender是一个Windows Rootkit，主要包含3个文件：hxdef100.exe、hxdef100.ini、bdcli100

3、.exe。hxdef100.exe:在目标计算机上运行Hacker Defenderbdcli100.exe:客户端软件,用于连接后门Hxdef100.exe:配置文件。配置隐藏的文件、文件夹、进程，配置自动运行的程序，配置连接后门的密码等信息。网络空间安全技术实践教程515.3 Rootkit利用与检测实验利用与检测实验实验要点说明：（实验难点说明）Hacker Defender的配置及使用 Hidden TableHidden Table：要隐藏的文件、文件夹、进程，其中的所有条目：要隐藏的文件、文件夹、进程，其中的所有条目对对WindowsWindows资源管理器和文件管理器来说都是隐藏

4、的。资源管理器和文件管理器来说都是隐藏的。Root ProcessesRoot Processes：用来与客户端交互的进程，通常是隐藏的。：用来与客户端交互的进程，通常是隐藏的。Hidden ServicesHidden Services：要隐藏的服务，其中的所有服务都不会出现在：要隐藏的服务，其中的所有服务都不会出现在服务列表中。服务列表中。Hidden Hidden RegKeysRegKeys：要隐藏的注册表条目。：要隐藏的注册表条目。Startup RunStartup Run：系统每次启动时运行的程序。：系统每次启动时运行的程序。Hidden PortsHidden Ports：要隐

5、藏的端口号。：要隐藏的端口号。网络空间安全技术实践教程615.3 Rootkit利用与检测实验利用与检测实验实验要点说明：（实验难点说明）常见Rootkit检测工具的使用网络空间安全技术实践教程715.3 Rootkit利用与检测实验利用与检测实验实验准备：（实验环境，实验先有知识技术说明）Kali LinuxHacker DefenderWindows XP（靶机）网络空间安全技术实践教程815.3 Rootkit利用与检测实验利用与检测实验实验步骤：（1）配置hxdef100.ini文件，利用Meterpreter把Netcat，hxdef100.exe，hxdef100.ini上传到目标

6、计算机。网络空间安全技术实践教程915.3 Rootkit利用与检测实验利用与检测实验实验步骤：（1）hxdef100.ini采取的配置如下（这里仅给出了修改的部分）：网络空间安全技术实践教程10Hidden Tablehxdef*rcmd.exerknc.exe Root Processeshxdef*rcmd.exenc.exeStartup RunC:rknc.exe?-Ldp 12345-e C:WINDOWSsystem32cmd.exeHidden PortsTCP:1234515.3 Rootkit利用与检测实验利用与检测实验实验步骤：（2）用“execute f hxdef10

7、0.exe”命令运行Hacker Defender，运行后将会根据配置文件进行相关隐藏。网络空间安全技术实践教程11Hacker Defender运行之前Hacker Defender运行之后15.3 Rootkit利用与检测实验利用与检测实验实验步骤：（3）与留下的后门进行交互。当hxdef100.exe在目标计算机运行后，会尝试在开放的端口上安装后门程序，供bdcli100.exe连接。这里假设目标计算机上的80端口开放，并且成功地被hxdef100.exe安装了后门程序，我们可以运行客户端程序bdcli00.exe连接该后门网络空间安全技术实践教程12bdcli100.exe连接后门15

8、.3 Rootkit利用与检测实验利用与检测实验实验步骤：（4）Rootkit的检测Rootkit的手工检测难度较大，需要深入理解操作系统工作原理，这里仅介绍一些常用的Rootkit检测工具：Windows平台：GMER，Ice Sword，Rootkit Revealer，Blacklight等。Linux平台：Rootkit Hunter，Chkrootkit等。网络空间安全技术实践教程1315.3 Rootkit利用与检测实验利用与检测实验实验要求：使用Hacker Defender在Windows系统上留取Rootkit，并使用Rootkit检测工具进行分析和清除。网络空间安全技术实践教程1415.3 Rootkit利用与检测实验利用与检测实验实验扩展要求：学习Windows和Linux平台下常见的Rootkit软件及其使用。网络空间安全技术实践教程1515.3 Rootkit利用与检测实验利用与检测实验实验视频：网络空间安全技术实践教程16