其实我本无心聊QQ,不过近日看见挂QQ的文章不少,技术含量却不是很高,无意表达自己的技术水平,只当上班无聊全当打字游戏。
说实话,想到这个主题“使用Rottkit挂QQ”,确实有点大材小用的感觉,前段时间翻译了可能是当前最NB的RootkitHXDEF的使用说明,不知道大家有没看。
不过HXDEF有几个缺点不得不说:1,体积比较大,具体不知道多大,应该不会是20K吧。
2,太过于出名,以至于一直被杀毒软件追杀,我的就是被卡斯巴基杀得找不到东南西北,而且现在有专门针对HXDEF的查找工具RootkitRevealer,可谓是树大招风。
3,配置复杂,不是偶等鸟所能为,就是能够熟练的使用者,也就不是我们这样的鸟的人,相信他们也不会用它挂QQ吧。
于是自然便让我想到了必须要使用其他的或者自行开发rookit工具来实行,可是本人天生愚稚,自己去写一些HOOK函数什么的是没什么可能的了。
不知道大家还记得N久以前我写的一遍测试报告没有?对了,就是宝宝的EST_rootkit,因为一些××××的缘故,一直都没公开正式的版本,好在我的机子还有一个这样的工具(没被杀掉)。它拥有HXDEF那些不拥有的特点,体积小,使用UPX 加壳以后只有15K,由于作者没给我最原始没加壳的版本,实际上可能还可以更少;不会被杀毒软件查杀,当然这个是最好了的;只有一个文件,可能有2个,忘记了,不需要另外配置。INI文件,方便上传以及其他。实为居家旅行,杀人灭口之必备良药。
先介绍一下需要的工具。1,EST_Rootkit.exe,EST成员宝宝的作品,由于某些关系一直没提供正式的版本下载,我也没有,所以这遍文章又成为了纸上谈兵,博人一笑而已,希望不要贻笑大方。
2,Fport.exe,Foundstone, Inc出品的端口查看器,可以查看进程所开的端口,不管它是TCP的还是UDP,功能相当的强大,而且还可以查看进程的PID号,当然使用Pslist.EXE也不错。对于Windows下的界面工具,可以使用有风泽汉化TCPView.EXE,除了可以得到进程端口以外,也可以得到PID号,简单直接明了,一看就会明白。
广告到此为止,需要说明的是为了模拟更加真实的入侵环境,本文所用的全部工具都是为DOS下的工具,而且不能被最新的(也就是今天的)卡斯巴基杀毒软件追杀,同时为了照顾一些对DOS不是很熟悉的朋友,提出了相应的拥有Windows界面的工具。如果对DOS不熟悉的话,建议先看看相关的教程;毕竟DOS这个东西虽老却真的很实用。当然为了追求大众化,所用工具都为常用而且可以随处下载的,当然也可以使用更好的工具能实现相同的效果,明白原理就好了。
一切准备就绪以后,接下来要做的就很简单了,具体的过程可以去看我写的EST_ROOTKIT测试报告。
