一、背景知识
我们通常所说的智能机器,大至超级计算机,中到个人PC,小至智能手机,通常都有两部分组成:硬件和软件。并且,设备的智能是通过软件来实现的。所有软件中,有一种是必不可少的,那就是 *** 作系统。 *** 作系统可以简单理解为一组高度复用的核心程序,一方面,它要管理低层的硬件设备,另一方面,为上层其它程序提供一个良好的运行环境。真是同人不同命,同为软件, *** 作系统却享有至高无上的特权:它不仅管理硬件,而且其他所有软件也都受制于它。
因为在应用程序和硬件之间隔着 *** 作系统,所以应用程序不能直接访问硬件,而是通过调用 *** 作系统提供的接口来使用硬件。也就是说,对应用程序而言,硬件是不可见的。当然,凡事是没有绝对的,应用程序绕过 *** 作系统来直接访问硬件也不是不可能的,但这样做会付出高昂的代价。设想一个软件开发商在开发一款功能丰富的软件,功能本身就够他头痛得了,现在他还得 *** 心某个数据在某个磁道的某个簇上,某个字符在某品牌显示器上的颜色的二进制代码等等繁琐的事情,不用说财力和物力,单说开发周期就是无法容忍的。所以,现在的应用程序都是使用 *** 作系统提供的简单明了的服务来访问系统的,因为毕竟没有谁愿意自讨苦吃。
二、内核的主要功能
从上文中我们已经了解,内核在系统中处于核心枢纽的地位,下面我们具体介绍内核中与Rootkit紧密相关的几个主要功能,更重要的是这些功能对Rootkit的意义所在:
进程管理。进程可以简单理解为运行中的程序,它需要占用内存、CPU时间等系统资源。现在的 *** 作系统大多支持多用户多任务,也就是说系统要并行运行多个程序。为此,内核不仅要有专门代码来负责为进程或线程分配CPU时间,另一方面还要开辟一段内存区域存放用来记录这些进程详细情况的数据结构。内核是怎么知道系统中有多少进程、各进程的状态等信息的?就是通过这些数据结构,换句话说它们就是内核感知进程存在的依据。因此,只要修改这些数据结构,就能达到隐藏进程的目的。
文件访问。文件系统是 *** 作系统提供的最为重要的功能之一。内核中的驱动程序把设备的柱面、扇区等原始结构抽象成为更加易用的文件系统,并提供一个一致的接口供上层程序调用。也就是说,这部分代码完全控制着对硬盘的访问,通过修改内核的这部分代码,攻击者能够隐藏文件和目录。
安全控制。对大部分 *** 作系统来说,因为系统中同时存在多个进程,为了避免各进程之间发生冲突,内核必须对各进程实施有效的隔离措施。比如,在MS- Windows系统中,每个进程都被强制规定了具体的权限和单独的内存范围。因此,对攻击者而言,只要对内核中负责安全事务的代码稍事修改,整个安全机制就会全线崩溃。
内存管理。现在的硬件平台(比如英特尔的奔腾系列处理器)的内存管理机制已经复杂到可以将一个内存地址转换成多个物理地址的地步。举例来说,进程A按照地址 0x0030030读取内存,它得到值的是“飞机”;然而,进程B也是按照同样的地址0x0030030来读取内存,但它取得的值却是“大炮”。像上面这样,同一个地址指向截然不同的两个物理内存位置,并且每个位置存放不同的数据这种现象并不足以为怪——只不过是两个进程对虚拟地址到物理地址进行了不同的映射而已。如果这一点利用好了,我们可以让Rootkit躲避调试程序和取证软件的追踪。
上面介绍了内核的主要功能,以及它们对 Rootkit的重大意义。说到这里,我们就要切入正题了,即:只要我们颠覆(即修改)了 *** 作系统的核心服务(即内核),那么整个系统包括各种应用就完全处于我们的掌控之下了。要想颠覆内核,前提条件是能把我们的代码导入内核。
其中针对SunOS和Linux两种 *** 作系统的rootkit最多(树大招风:P)。所有的rootkit基本上都是由几个独立的程序组成的,一个典型rootkit包括:
1 以太网嗅探器程程序,用于获得网络上传输的用户名和密码等信息。
2 特洛伊木马程序,例如:inetd或者login,为攻击者提供后门。
3 隐藏攻击者的目录和进程的程序,例如:ps、netstat、rshd和ls等。
4 可能还包括一些日志清理工具,例如:zap、zap2或者z2,攻击者使用这些清理工具删除wtmp、utmp和lastlog等日志文件中有关自己行踪的条目。
一些复杂的rootkit还可以向攻击者提供telnet、shell和finger等服务。
还包括一些用来清理/var/log和/var/adm目录中其它文件的一些脚本。
攻击者使用rootkit中的相关程序替代系统原来的ps、ls、netstat和df等程序,使系统管理员无法通过这些工具发现自己的踪迹。接着使用日志清理工具清理系统日志,消除自己的踪迹。然后,攻击者会经常地通过安装的后门进入系统查看嗅探器的日志,以发起其它的攻击。如果攻击者能够正确地安装 rootkit并合理地清理了日志文件,系统管理员就会很难察觉系统已经被侵入,直到某一天其它系统的管理员和他联系或者嗅探器的日志把磁盘全部填满,他才会察觉已经大祸临头了。但是,大多数攻击者在清理系统日志时不是非常小心或者干脆把系统日志全部删除了事,警觉的系统管理员可以根据这些异常情况判断出系统被侵入。不过,在系统恢复和清理过程中,大多数常用的命令例如ps、df和ls已经不可信了。许多rootkit中有一个叫做FIX的程序,在安装 rootkit之前,攻击者可以首先使用这个程序做一个系统二进制代码的快照,然后再安装替代程序。FIX能够根据原来的程序伪造替代程序的三个时间戳 (atime、ctime、mtime)、date、permission、所属用户和所属用户组。如果攻击者能够准确地使用这些优秀的应用程序,并且在安装rootkit时行为谨慎,就会让系统管理员很难发现。
LINUX ROOTKIT IV
前面说过,大部分rootkit是针对Linux和SunOS的,下面我们介绍一个非常典型的针对Linux系统的rootkit--Linux Rootkit IV。Linux Rootkit IV是一个开放源码的rootkit,是Lord Somer编写的,于1998年11月发布。不过,它不是第一个Linux Rootkit,在它之前有lrk、lnrk、lrk2和lrk3等Linux Rootkit。这些rootkit包括常用的rootkit组件,例如嗅探器、日志编辑/删除工具、和后门程序的。
经过这么多年的发展,Linux Rootkit IV功能变的越来越完善,具有的特征也越来越多。不过,虽然它的代码非常庞大,却非常易于安装和使用,只要执行make install就可以成功安装。如果你还要安装一个shadow工具,只要执行make shadow install就可以了。注意:Linux Rootkit IV只能用于Linux 2x的内核。下面我们简单地介绍一下Linux Rootkit IV包含的各种工具,详细的介绍请参考其发布包的README文件。
隐藏入侵者行踪的程序
为了隐藏入侵者的行踪,Linux Rootkit IV的作者可谓煞费心机,编写了许多系统命令的替代程序,使用这些程序代替原由的系统命令,来隐藏入侵者的行踪。这些程序包括:
ls、find、du
这些程序会阻止显示入侵者的文件以及计算入侵者文件占用的空间。在编译之前,入侵者可以通过ROOTKIT_FILES_FILE设置自己的文件所处的位置,默认是/dev/ptyr。注意如果在编译时使用了SHOWFLAG选项,就可以使用ls -/命令列出所有的文件。这几个程序还能够自动隐藏所有名字为:ptyr、hackdir和W4r3z的文件。
ps、top、pidof
这几个程序用来隐藏所有和入侵者相关的进程。
netstat
隐藏出/入指定IP地址或者端口的网络数据流量。
killall
不会杀死被入侵者隐藏的进程。
ifconfig
如果入侵者启动了嗅探器,这个程序就阻止PROMISC标记的显示,使系统管理员难以发现网络接口已经处于混杂模式下。
crontab
隐藏有关攻击者的crontab条目。
tcpd
阻止向日志中记录某些连接
syslogd
过滤掉日志中的某些连接信息
木马程序
为本地用户提供后门,包括:
chfn
提升本地普通用户权限的程序。运行chfn,在它提示输入新的用户名时,如果用户输入rookit密码,他的权限就被提升为root。默认的rootkit密码是satori。
chsh
也是一个提升本地用户权限的程序。运行chsh,在它提示输入新的shell时,如果用户输入rootkit密码,他的权限就被提升为root。
passwd
和上面两个程序的作用相同。在提示你输入新密码时,如果输入rookit密码,权限就可以变成root。
login
允许使用任何帐户通过rootkit密码登录。如果使用root帐户登录被拒绝,可以尝试一下rewt。当使用后门时,这个程序还能够禁止记录命令的历史记录。
木马网络监控程序
这些程序为远程用户提供后门,可以向远程用户提供inetd、rsh、ssh等服务,具体因版本而异。随着版本的升级,Linux Rootkit IV的功能也越来越强大,特征也越来越丰富。一般包括如下网络服务程序:
inetd
特洛伊inetd程序,为攻击者提供远程访问服务。
rshd
为攻击者提供远程shell服务。攻击者使用rsh -l rootkitpassword host command命令就可以启动一个远程root shell。
sshd
为攻击者提供ssh服务的后门程序。
工具程序
所有不属于以上类型的程序都可以归如这个类型,它们实现一些诸如:日志清理、报文嗅探以及远程shell的端口绑定等功能,包括:
fix
文件属性伪造程序
linsniffer
报文嗅探器程序。
sniffchk
一个简单的bash shell脚本,检查系统中是否正有一个嗅探器在运行。
wted
wtmp/utmp日志编辑程序。你可以使用这个工具编辑所有wtmp或者utmp类型的文件。
z2
utmp/wtmp/lastlog日志清理工具。可以删除utmp/wtmp/lastlog日志文件中有关某个用户名的所有条目。不过,如果用于Linux系统需要手工修改其源代码,设置日志文件的位置。
bindshell rootkit
在某个端口上绑定shell服务,默认端口是12497。为远程攻击者提供shell服务。
如何发现rootkit
很显然,只有使你的网络非常安装让攻击者无隙可乘,才能是自己的网络免受rootkit的影响。不过,恐怕没有人能够提供这个保证,但是在日常的网络管理维护中保持一些良好的习惯,能够在一定程度上减小由rootkit造成的损失,并及时发现rootkit的存在。
首先,不要在网络上使用明文传输密码,或者使用一次性密码。这样,即使你的系统已经被安装了rootkit,攻击者也无法通过网络监听,获得更多用户名和密码,从而避免入侵的蔓延。
使用Tripwire和aide等检测工具能够及时地帮助你发现攻击者的入侵,它们能够很好地提供系统完整性的检查。这类工具不同于其它的入侵检测工具,它们不是通过所谓的攻击特征码来检测入侵行为,而是监视和检查系统发生的变化。Tripwire首先使用特定的特征码函数为需要监视的系统文件和目录建立一个特征数据库,所谓特征码函数就是使用任意的文件作为输入,产生一个固定大小的数据(特征码)的函数。入侵者如果对文件进行了修改,即使文件大小不变,也会破坏文件的特征码。利用这个数据库,Tripwire可以很容易地发现系统的变化。而且文件的特征码几乎是不可能伪造的,系统的任何变化都逃不过 Tripwire的监视(当然,前提是你已经针对自己的系统做了准确的配置:P,关于Tripwire和aide的使用请参考本站的相关文章)。最后,需要能够把这个特征码数据库放到安全的地方。
rootkit类病毒是极难处理的,采用rootkit技术的病毒可以很好的隐藏自身,资源管理器甚至查不到这个路径,就算你打开查看所有文件也是这样。
按杀毒软件提供的路径,记下来 (这种类型的病毒,杀软查杀时一般会报Windows/system32/drivers文件夹下的一个sys文件是病毒文件的)
1下载一个软件:冰刃(>java文件是文本文件,使用普通文本编辑器就可以打开。
如果是安卓手机上进行java编程,则需要环境。
这里推荐一个手机Java编程,也是移动安卓开发神器。
当当!它的名字就叫AIDE!在你安卓手机上就可以用java开发安卓应用,也支持c/c++!
可以百度到最新的汉化破解版。我现在就在用哦。大工程也能编译。
并且自带java\安卓开发智能交互教程,一步一步学开发。
不是打广告,我是真的自己用了写的。。
①找到QQ安装包,长按目标d出菜单,选择以zip方式打开,你会看到里面有很多文件夹。我们开始进行修改。
2
1 QQ启动背景 打开assets文件夹,找到里面splashpng,这张是QQ启动背景。把这张重命名,全选复制重命名,然后找一张你喜欢的,把你喜欢的这张用快图浏览修改尺寸为480800然后重命名,粘贴,粘贴后的重命名为splashpng在把它移动到assets文件夹里面,覆盖。 2 QQ主界面背景切图 首先我们要把一张切成5张,分别为上中下部分和聊天背景还有下拉刷新背景。 找一张你喜欢的用快图浏览修改尺寸为480800保存。 开始切图: 上部分:把刚才那张尺寸为480800的用快图浏览修改尺寸48282把框框移动到最顶部,保存。 聊天背景:把刚才那张尺寸为480800的用快图浏览修改尺寸480720把框框移动到最底部,保存。中部分:把刚才那张尺寸为480720的用快图浏览修改尺寸480640把框框移动到最顶部,保存。下部分:把刚才那张尺寸为480720的用快图浏览修改尺寸48082把框框移动到最底部,保存。 下拉刷新背景:把刚才那张尺寸为48282的用快图浏览修改尺寸2524保存。背景已经切好了,接下来就是9处理了和替换背景了。
3
②把刚才以zip方式打开的QQ安装包,打R文件夹,接着打开K文件夹。首先9处理上部分。 上部分背景9处理 把刚才那切好的尺寸为48282重命名为skin_header_bar_bg9png然后打开AIDE 它会提示创建新的应用程序,选择创建。然后后台运行AIDE 打开9 patch 点击右上角按钮,选择刚才skin_header_bar_bg9png, 然后直接保存,它会提示目标文件夹,直接确定。然后打开后台运行的AIDE 选项,运行,显示正在生成apk 稍等几秒钟。提示安装,不要安装。退出。9处理完成。
4
上部分背景替换:打开SD卡根目录的AppProjects文件夹,再打开app/bin文件夹。你会看到里面有一个未知apk安装包,把它以zip方式打开,打开res/drawable-xhdpi里面是9后的,你会发现尺寸发生了变化,把这张移动到刚才以zip刚才打开的QQ安装包的R/K文件夹里面,覆盖。 背景图重命名与替换 中部分:把刚才切好的尺寸为480640重命名为skin_backgroundpng保存。 下部分:把刚才切好的尺寸为48082重命名为skin_bottom_bar_backgroundpng保存。 聊天背景:把刚才切好的尺寸为480720重命名为skin_chat_backgroundpng保存。 下拉刷新:把刚才切好的尺寸为2524重命名为conversation_bg_gezipng保存。 把重命名好了的中部分、下部分、聊天背景、下拉刷新这4张移动到刚才以zip方式打开的QQ安装包的R/K文件夹里面,全部覆盖。 替换完成。
告诉你在哪免费领QQ美化包和微信美化包
1
方法一:(需要微博)
看到这很多人会奇怪,明明你们都有微博,可为什么你们都不知道微博上面有这些美化过的东西呢,现在小编就告诉你们,那是因为你们不知道制作这些美化版扣扣微信的美化博主的微博,小编现在就推介几个微博上的美化大佬给你们,上了微博你们照着他们的名字搜就行了。
最喜欢的美化大佬:
@你一定要接娇娇回家
@亲亲小熊好不好
超级大佬:
@爱美化
多才博主:
@鱼七秒哦
这几个都是微博上玩美化圈的大佬,你们关注他们,再通过微博推介去关注其他玩美化圈的大佬就行了
2
方法二:(需要酷安软件)
酷安这个软件你们也许很陌生,但是对于玩美化圈的大佬们来说,这个软件一点也不陌生,因为他们制作美化包扣扣微信的底包大多数都是通过这个软件下载的,不过这个软件我不介意那些新手小白去玩,因为他们大多数都不会做美化包但是你们可以进去领福利,完成那些博主的要求就可以截图给他们领福利了,具体看他们的要求,不过你们可不要嫌他们的要求多,因为他们做一个美化包是需要很长时间,也要浪费很多精力的。
3
方法三:(需要百度贴吧)
可以上百度贴吧搜索美化包这三个字,然后就会有一群贴吧跳出来,你随便关注几个就行了,这上面的福利是没有要求直接上链接给你领的,还是给你们推介几个人。
@九亿少女的梦
这个人她上传的软件福利都是免费的,而且非常有效,建议关注他
参考资料
百度经验百度[引用时间2018-5-3]
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)