以下是小编整理的高手应对反入侵工具的常用手段,本文共4篇,仅供参考,希望能够帮助到大家。本文原稿由网友“轻吻韬”提供。
篇1:高手应对反入侵工具的常用手段
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Session Manager中的
GlobalFlag为0x4000,这是做什么呢?原来这会使得NtGlobalFlag加入Maintain
Object Typelist标志,于是系统创建对象时会把它加入Type链表中,这样可以遍历链表来查找对象,修改标志需要重启机器,这应该就是“强模式”要重启的理由。 正如那位会员所说,作者故意隐瞒了这点,我也觉得不妥:如果是为了防止别人crack,也应该提供卸载程序的,因为这个标志一直不被清除,不再使用DarkSpy的用户依然会为此付出代价:每个内核对象都要额外分配16字节的核心空间,那成千上万的对象呢?
这个技巧对DKOM来说比较weak了,用下面的代码清除:
VOID
ClearObjectCreatorInfo(
PVOID Object
)
{
POBJECT_HEADER bjectHeader = OBJECT_TO_OBJECT_HEADER(Object);
POBJECT_HEADER_CREATOR_INFO CreatorInfo =
OBJECT_HEADER_TO_CREATOR_INFO(ObjectHeader);
if (CreatorInfo != NULL)
{
RemoveEntryList(&CreatorInfo->TypeList);
InitializeListHead(&CreatorInfo->TypeList);
}
}
传入处理的对象就脱链了。这几行代码可让“强模式”失效,
下面简单说说击破的法门:
一、驱动:
DarkSpy1.0.3版及以前很简单,学习Futo rootkit断开PsLoadedModuleList,再将驱动对象传入上面的ClearObjectCreatorInfo,不论“强模式”还是“弱模式”均搞定。DarkSpy1.0.4版有了修改,不过依旧是查找DriverObject,在适当的时候清理掉就可以了,比如可以walkkernel object tree,还有更简单的办法:)
二、进程:
DarkSpy的进程功能把好多东西堆到一起来恶心rootkit的作者们,怎么样,被恶心到了吧?虽
然里面的技术可能不新鲜,但是这么一组合,难以全部清除的。下面把隐藏需要做的事列举列举:
1、PspCidTable就学futo抹掉;
2、进程、线程对象传入ClearObjectCreatorInfo;
3、它还使用csrss里的进程句柄,直接到csrss进程里ZwClose掉最简单;
4、DarkSpy在我的机器崩溃过,分析dump,原来与杀软冲突:它也hook了SwapContext,不好办?
恢复不就行了。恢复时机很重要,相信你也能想到不错的。说说我的思路:在任一条call SwapContext之前的路径上下hook,hook的程序什么也不做,专门检查SwapContext,被改则改回去,这是很通用的做法,它要是hook别的地方也一样搞定。
5、还有一个由线程到进程的,自己去发掘吧,也该动动手么...嘿嘿。
最后可以完全隐藏自己的进程,不过你累不累,什么东西非有进程才能做,没进程就不能做?都核心驱动了...感觉真没必要。
三、文件:
据说是Create IRP,嘿嘿,不过我还没学文件系统驱动,那位大虾补充吧。
四、注册表:
虽测试版没有功能,但看看界面可以猜测猜测内部版:应该是复制或是仿制开源工具RegHives来做的,击破的原理网上有不少。只是dump的方法可能不同。
篇2:高手工具 七款经典入侵检测工具推荐
入侵检测(Intrusion Detection),是对入侵行为的检测,它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。
入侵检测被认为是防火墙之后的第二道安全闸门。下面,IDC评述网根据资料整理,向大家推荐七款顶级的入侵检测工具。
1 Snort
Snort是一款轻量级的网络入侵检测系统,能够在IP网络上进行实时的流量分析和数据包记录。它不仅能进行协议分析、内容检索、内容匹配,而且能用于侦测诸如缓冲溢出、隐秘端口扫描、CGI攻击、SMB探测、操作系统指纹识别等大量的攻击或非法探测。Snort使用灵活的规则去描述哪些流量应该被收集或被忽略,并且提供一个模块化的探测引擎。
2 OSSEC HIDS
这一个基于主机的开源入侵检测系统,它可以执行日志分析、完整性检查、Windows注册表监视、rootkit检测、实时警告以及动态的适时响应。除了其IDS的功能之外,它通常还可以被用作一个SEM/SIM解决方案。因为其强大的日志分析引擎,互联网供应商、大学和数据中心都乐意运行OSSEC HIDS,以监视和分析其防火墙、IDS、Web服务器和身份验证日志。
3 Fragroute/Fragrouter
是一个能够逃避网络入侵检测的工具箱,这是一个自分段的路由程序,它能够截获、修改并重写发往一台特定主机的通信,可以实施多种攻击,如插入、逃避、拒绝服务攻击等。它拥有一套简单的规则集,可以对发往某一台特定主机的数据包延迟发送,或复制、丢弃、分段、重叠、打印、记录、源路由跟踪等,
严格来讲,这个工具是用于协助测试网络入侵检测系统的,也可以协助测试防火墙,基本的TCP/IP堆栈行为。
4 BASE
BASE又称基本的分析和安全引擎,BASE是一个基于PHP的分析引擎,它可以搜索、处理由各种各样的IDS、防火墙、网络监视工具所生成的安全事件数据。其特性包括一个查询生成器并查找接口,这种接口能够发现不同匹配模式的警告,还包括一个数据包查看器/解码器,基于时间、签名、协议、IP地址的统计图表等。
5 Sguil
是一款被称为网络安全专家监视网络活动的控制台工具,它可以用于网络安全分析。其主要部件是一个直观的GUI界面,可以从Snort/barnyard提供实时的事件活动。还可借助于其它的部件,实现网络安全监视活动和IDS警告的事件驱动分析。
6 Namp
nmap被开发用于允许系统管理员察看一个大的网络系统有哪些主机以及其上运行何种 服务。它支持多种协议的扫描如UDP,TCP connect,TCP SYN (half open), ftp proxy (bounce attack),Reverse-ident, ICMP (ping sweep), FIN, ACK sweep,Xmas Tree, SYN sweep, 和Null扫描。
7 Tripwire
Tripwire是一款入侵检测和数据完整性产品,它允许用户构建一个表现最优设置的基本服务器状态。它并不能阻止损害事件的发生,但它能够将目前的状态与理想的状态相比较,以决定是否发生了任何意外的或故意的改变。如果检测到了任何变化,就会被降到运行障碍最少的状态
篇3:黑客入侵PC常用手段及应对措施
黑客入侵PC常用手段及应对措施
孙子兵法上说,知己知彼,百战不殆。要想有效的防范黑客对我们电脑的入侵和破坏,仅仅被动的安装防火墙是显然不够的,我们更应该了解一些常见的黑客入侵手法,针对不同的方法采取不同的措施,做到有的放矢。1 木马入侵
木马也许是广大电脑爱好者最深恶痛绝的东东了,相信不少朋友都受到过它的骚扰。木马有可能是黑客在已经获取我们操作系统可写权限的前提下,由黑客上传的(例如下面会提到的ipc$共享入侵);也可能是我们浏览了一些垃圾个人站点而通过网页浏览感染的(利用了IE漏洞);当然,最多的情况还是我们防范意识不强,随便运行了别人发来的所谓的mm图片、好看的动画之类的程序或者是在不正规的网站上随便下载软件使用。
应对措施:提高防范意识,不要随意运行别人发来的.软件。安装木马查杀软件,笆备?履韭硖卣骺狻M萍鍪褂the cleaner,木马克星。
2 ipc$共享入侵
微软在win,xp中设置的这个功能对个人用户来说几乎毫无用处。反而成了黑客入侵nt架构操作系统的一条便利通道。如果你的操作系统存在不安全的口令,那就更可怕了。一条典型的入侵流程如下:
(1)用任何办法得到一个帐户与口令(猜测,破解),网上流传有一个叫做smbcrack的软件就是利用ipc$来破解帐户口令的。如果你的密码位数不高,又很简单,是很容易被破解的。根据我的个人经验,相当多的人都将administrator的口令设为123,,或者干脆不设密码。
(2)使用命令net use \\\\xxx.xxx.xxx.xxx\\ipc$“密码” /user:“用户名”建立一个有一定权限的ipc$连接。用copy trojan.exe \\\\xxx.xxx.xxx.xxx\\admin$ 将木马程序的服务器端复制到系统目录下。
(3)用net time \\\\xxx.xxx.xxx.xxx 命令查看对方操作系统的时间,然后用at \\\\202.xxx.xxx.xxx 12:00 trojan.exe 让trojan.exe在指定时间运行。 这样一来,你的电脑就完全被黑客控制了。
应对措施:禁用server服务, Task Scheduler服务,去掉网络文件和打印机共享前的对勾,当然,给自己的帐户加上强壮的口令才是最关键的。如下图:
3 iis漏洞入侵
由于宽带越来越普及,给自己的win2000或是xp装上简单易学的iis,搭建一个不定时开放的ftp或是web站点,相信是不少电脑爱好者所向往的,而且应该也已经有很多人这样做了。但是iis层出不穷的漏洞实在令人担心。远程攻击着只要使用webdavx3这个漏洞攻击程序和telnet命令就可以完成一次对iis的远程攻击。
利用iis的webdav漏洞攻击成功后的界面 这里的systen32就指的是对方机器的系统文件夹了,也就是说黑客此刻执行的任何命令,都是在被入侵的机器上运行的。这个时候如果执行format命令,危害就可想而知了,用net user命令添加帐户也是轻而易举的。如下图:
应对措施:关注微软官方站点,及时安装iis的漏洞补丁。
4 网页恶意代码入侵
在我们浏览网页的时候不可避免的会遇到一些不正规的网站,它们经常会擅自修改浏览者的注册表,其直接体现便是修改IE的默认主页,锁定注册表,修改鼠标右键菜单等等。实际上绝大部分的网页恶意代码都是通过修改我们的注册表达到目的。只要保护好自己的注册表,就一切ok了。应对措施:安装具有注册表实时监控功能的防护软件,做好注册表的备份工作。禁用Remote Registry Service服务,不要上一些不该上的网站。
[1] [2]
篇4: 教你如何对抗反入侵工具 武林安全网
DarkSpy是由CardMagic和wowocock编写的anti-rootkit反入侵不错的工具,
教你如何对抗反入侵工具 武林安全网
。因为正在写的本科毕设与检测rootkit有关,所以这几天分析一下,看有什么可利用的。分析进行得比较顺利,因为DarkSpy里面所采用的技术多数Internet上已经见过,不过肯定有一些创意的哦。
先说说里面的新东西:驱动开发网站的一位会员启发我们DarkSpy修改了
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Session Manager中的
GlobalFlag为0x4000,这是做什么呢?原来这会使得NtGlobalFlag加入Maintain
Object Typelist标志,于是系统创建对象时会把它加入Type链表中,这样可以遍历链表来查找对象。修改标志需要重启机器,这应该就是“强模式”要重启的理由。 正如那位会员所说,作者故意隐瞒了这点,我也觉得不妥:如果是为了防止别人crack,也应该提供卸载程序的,因为这个标志一直不被清除,不再使用DarkSpy的用户依然会为此付出代价:每个内核对象都要额外分配16字节的核心空间,那成千上万的对象呢?
这个技巧对DKOM来说比较weak了,用下面的代码清除:
VOID
ClearObjectCreatorInfo(
PVOID Object
)
{
POBJECT_HEADER bjectHeader = OBJECT_TO_OBJECT_HEADER(Object);
POBJECT_HEADER_CREATOR_INFO CreatorInfo =
OBJECT_HEADER_TO_CREATOR_INFO(ObjectHeader);
if (CreatorInfo != NULL)
{
RemoveEntryList(&CreatorInfo->TypeList);
InitializeListHead(&CreatorInfo->TypeList);
}
}
传入处理的对象就脱链了,
这几行代码可让“强模式”失效。
下面简单说说击破的法门:
一、驱动:
DarkSpy1.0.3版及以前很简单,学习Futo rootkit断开PsLoadedModuleList,再将驱动对象传入上面的ClearObjectCreatorInfo,不论“强模式”还是“弱模式”均搞定。DarkSpy1.0.4版有了修改,不过依旧是查找DriverObject,在适当的时候清理掉就可以了,比如可以walkkernel object tree,还有更简单的办法:)
二、进程:
DarkSpy的进程功能把好多东西堆到一起来恶心rootkit的作者们,怎么样,被恶心到了吧?虽
然里面的技术可能不新鲜,但是这么一组合,难以全部清除的。下面把隐藏需要做的事列举列举:
1、PspCidTable就学futo抹掉;
2、进程、线程对象传入ClearObjectCreatorInfo;
3、它还使用csrss里的进程句柄,直接到csrss进程里ZwClose掉最简单;
4、DarkSpy在我的机器崩溃过,分析dump,原来与杀软冲突:它也hook了SwapContext,不好办?
恢复不就行了。恢复时机很重要,相信你也能想到不错的。说说我的思路:在任一条call SwapContext之前的路径上下hook,hook的程序什么也不做,专门检查SwapContext,被改则改回去,这是很通用的做法,它要是hook别的地方也一样搞定。
5、还有一个由线程到进程的,自己去发掘吧,也该动动手么...嘿嘿。
最后可以完全隐藏自己的进程,不过你累不累,什么东西非有进程才能做,没进程就不能做?都核心驱动了...感觉真没必要。
三、文件:
据说是Create IRP,嘿嘿,不过我还没学文件系统驱动,那位大虾补充吧。
四、注册表:
虽测试版没有功能,但看看界面可以猜测猜测内部版:应该是复制或是仿制开源工具RegHives来做的,击破的原理网上有不少。只是dump的方法可能不同。
