Trojan/win32.Agent.dbr[Rootkit]的行为分析-本地行为
1、动态加载系统DLL文件msvcrt.dll,该DLL是标准的微软C运行库文件,创建线程、遍历进程查找avp.exe找到之后退出线程,如没发现avp.exe进程则提升进程操作权限。2、文件运行后会释放以下文件%System32%driversetchosts 删除本地hosts文件,并重新释放劫持大量域名%System32%driverskvsys.sys 该驱动文件恢复SSDT躲避部分安全软件主动防御%System32%drivers esafe.sys 该驱动文件删除部分安全软件服务结束部分安全软件进程%Windir%FontsSystem32.exe%Documents and Settings%当前所在用户Local SettingsTempfsrtdfyyvuu.exe3、添加注册表HKEY_LOCAL_MACHINESYSTEMControlSet001Services esafeDisplayName值: 字符串: 腾讯驱动HKEY_LOCAL_MACHINESYSTEMControlSet001Services esafeImagePath值: 字符串: ??\%System32%drivers esafe.sys.HKEY_LOCAL_MACHINESYSTEMControlSet001Services esafeStart值: DWORD: 3 (0x3)HKEY_LOCAL_MACHINESYSTEMControlSet001Services esafeType值: DWORD: 1 (0x1)HKEY_LOCAL_MACHINESYSTEMControlSet001ServiceskvsysDisplayName值: 字符串: windows启动必须的系统文件HKEY_LOCAL_MACHINESYSTEMControlSet001ServiceskvsysImagePath值: 字符串: ??\%System32%driverskvsys.sys.HKEY_LOCAL_MACHINESYSTEMControlSet001ServiceskvsysStart值: DWORD: 3 (0x3)HKEY_LOCAL_MACHINESYSTEMControlSet001ServiceskvsysType值: DWORD: 1 (0x1)描述:添加病毒注册表服务4、删除部分安全软件服务、终止部分安全软件进程、恢复SSDT躲避杀软主动查杀,创建病毒驱动设备名为:\.kvsys、\. esafe,删除本地hosts文件、并重新创建一个hosts文件,劫持大量域名地址,获取磁盘启动器类型,遍历目录查找所有后缀是EXE的目录并却是非系统盘的可执行文件中释放大量usp10.dll文件,被劫持的域名有:127.0.0.** c0mo**.com127.0.0.** gxgxy**.net127.0.0.** 444.gmwo07**.com127.0.0.** 333.gmwo07**.com127.0.0.** 222.gmwo07**.com127.0.0.** 111.gmwo07**.com127.0.0.** haha.yaoyao09**.com127.0.0.** www.noseqing**.cn127.0.0.** fg.pvs360**.com127.0.0.** cw.pvs360**.com127.0.0.** ta.pvs360**.com127.0.0.** dl.pvs360**.com127.0.0.** ok .sl8cjs**.cn127.0.0.** nc.mskess**.com127.0.0.** idc.windowsupdeta**.cn127.0.0.** pvs360**.com127.0.0.** sl8cjs**.cn127.0.0.** windowsupdeta**.cn127.0.0.** up.22x44**.com127.0.0.** my.531jx**.cn127.0.0.** nx.51ylb**.cn127.0.0.** llboss**.com127.0.0.** down.malasc**.cn127.0.0.** d2.llsging**.com127.0.0.** 171817.171817**.com127.0.0.** wg.47255**.com127.0.0.** www.tomwg**.com127.0.0.** tp.shpzhan**.cn127.0.0.** 1.joppnqq**.com127.0.0.** xx.exiao01**.com127.0.0.** www.22aaa**.com127.0.0.** ilove**.com127.0.0.** xxx.mmma**.biz127.0.0.** www.868wg**.com127.0.0.** 2.joppnqq**.com127.0.0.** 1.jopanqc**.com127.0.0.** yu.8s7**.net127.0.0.** 1.jopmmqq**.com127.0.0.** cao.kv8**.info127.0.0.** xtx.kv8**.info127.0.0.** new.749571**.com127.0.0.** xxx.vh7**.biz127.0.0.** 1.jopenkk**.com127.0.0.** d.93se**.com127.0.0.** 3.joppnqq**.com127.0.0.** xxx.j41m**.com127.0.0.** 1.jopenqc**.com127.0.0.** xxx.m111**.biz127.0.0.** down.18dd**.net127.0.0.** www.333292**.com127.0.0.** qqq.hao1658**.com127.0.0.** qqq.dzydhx**.com127.0.0.** www.exiao01**.com127.0.0.** www.cike007**.cn127.0.0.** v.onondown**.com. cn127.0.0.** ymsdasdw1**.cn127.0.0.** h96b**.info127.0.0.** fuck.zttwp**.cn127.0.0.** www.hackerbf**.cn127.0.0.** geekbyfeng**.cn127.0.0.** 121.14.101.**127.0.0.** ppp.etimes888**.com127.0.0.** www.bypk**.com127.0.0.** CSC3-2004-crl.verisign**.com127.0.0.** va9sdhun23**.cn127.0.0.** udp.hjob123**.com127.0.0.** bnasnd83nd**.cn127.0.0.** www.gamehacker**.com .cn127.0.0.** gamehacker**.com. cn127.0.0.** adlaji**.cn127.0.0.** 858656**.com127.1.1.1 bnasnd83nd**.cn127.0.0.** my123**.com127.0.0.** user1.12-27**.net127.0.0.** 8749**.com127.0.0.** fengent**.cn127.0.0.** 4199**.com127.0.0.** user1.16-22**.net127.0.0.** 7379**.com127.0.0.** 2be37c5f.3f6e2cc5f0b**.com127.0.0.** 7255**.com127.0.0.** user1.23-12**.net127.0.0.** 3448**.com127.0.0.** www.guccia**.net127.0.0.** 7939**.com127.0.0.** a.o1o1o1**.nEt127.0.0.** 8009**.com127.0.0.** user1.12-73**.cn127.0.0.** piaoxue**.com127.0.0.** 3n8nlasd**.cn127.0.0.** kzdh**.com127.0.0.** www.sony888**.cn127.0.0.** about.blank**.la127.0.0.** user1.asp-33**.cn127.0.0.** 6781**.com127.0.0.** www.netkwek**.cn127.0.0.** 7322**.com127.0.0.** ymsdkad6**.cn127.0.0.** localhost**127.0.0.** www.lkwueir**.cn127.0.0.** 06.jacai**.com127.0.1.** user1.23-17**.net127.0.0.** 1.jopenkk**.com127.0.0.** upa.luzhiai**.net127.0.0.** 1.jopenqc**.com127.0.0.** www.guccia**.net127.0.0.** 1.joppnqq**.com127.0.0.** 4m9mnlmi**.cn127.0.0.** 1.xqhgm**.com127.0.0.** mm119mkssd**.cn127.0.0.** 100.332233**.com127.0.0.** 61.128.171.***:8080127.0.0.** 121.11.90. **127.0.0.** www.1119111**.com127.0.0.** 121565**.net127.0.0.** win.nihao69**.cn127.0.0.** 125.90.88. **127.0.0.** 16888.6to23**.com127.0.0.** 2.joppnqq**.com127.0.0.** puc.lianxiac. **net127.0.0.** 204.177.92.**127.0.0.** pud.lianxiac**.net127.0.0.** 210.74.145.***127.0.0.** 210.76.0.***127.0.0.** 219.129.239.***127.0.0.** 61.166.32. **127.0.0.** 219.153.40.***127.0.0.** 218.92.186. **127.0.0.** 219.153.46. **127.0.0.** www.fsfsfag**.cn127.0.0.** 219.153.52. ***127.0.0.** ovo.ovovov**.cn127.0.0.** 221.195.42. **127.0.0.** dw**.com. com127.0.0.** 222.73.218.***127.0.0.** 203.110.168.***:80127.0.0.** 3.joppnqq**.com127.0.0.** 203.110.168.***:80127.0.0.** 363xx**.com127.0.0.** www1.ip10086**.com. cm127.0.0.** 4199**.com127.0.0.** blog.ip10086**.com. cn127.0.0.** 43242**.com127.0.0.** www.ccji68**.cn127.0.0.** 5.xqhgm**.com127.0.0.** t.myblank**.cn127.0.0.** 520. mm5208**.com127.0.0.** x.myblank**.cn127.0.0.** 59.34.131. **127.0.0.** 210.51.45. **127.0.0.** 59.34.198. ***127.0.0.** www.ew1q**.cn127.0.0.** 59.34.198. **127.0.0.** 59.34.198. **127.0.0.** 60.190.114. ***127.0.0.** 60.190.218. **127.0.0.** qq-xing**.com. cn127.0.0.** 60.191.124.***127.0.0.** 61.145.117. ***127.0.0.** 61.157.109. ***127.0.0.** 75.126.3. ***127.0.0.** 75.126.3. ***127.0.0.** 75.126.3. ***127.0.0.** 59.125.231. ***:17777127.0.0.** 75.126.3. ***127.0.0.** 75.126.3. ***127.0.0.** 75.126.3. ***127.0.0.** 772630**.com127.0.0.** 832823**.cn127.0.0.** 8749**.com127.0.0.** 888.jopenqc**.com127.0.0.** 89382**.cn127.0.0.** 8v8**.biz127.0.0.** 97725**.com127.0.0.** 9gg**.biz127.0.0.** www.9000music**.com127.0.0.** test.591jx**.com127.0.0.** a.topxxxx**.cn127.0.0.** picon.chinaren**.com127.0.0.** www.5566**.net127.0.0.** p.qqkx**.com127.0.0.** news.netandtv**.com127.0.0.** z.neter888**.cn127.0.0.** b.myblank**.cn127.0.0.** wvw.wokutu**.com127.0.0.** unionch.qyule**.com127.0.0.** www.qyule**.com127.0.0.** it.itjc**.cn127.0.0.** www.linkwww**.com127.0.0.** vod.kaicn**.com127.0.0.** www.tx8688**.com127.0.0.** b.neter888**.cn127.0.0.** promote.huanqiu**.com127.0.0.** www.huanqiu**.com127.0.0.** www.haokanla**.com127.0.0.** play.unionsky**.cn127.0.0.** www.52v**.com127.0.0.** www.gghka**.cn127.0.0.** icon.ajiang**.net127.0.0.** new.ete**.cn127.0.0.** www.stiae**.cn127.0.0.** o.neter888**.cn127.0.0.** comm.jinti**.com127.0.0.** www.google-analytics**.com127.0.0.** hz.mmstat**.com127.0.0.** www.game175**.cn127.0.0.** x.neter888**.cn127.0.0.** z.neter888**.cn127.0.0.** p.etimes888**.com127.0.0.** hx.etimes888**.com127.0.0.** abc.qqkx**.com127.0.0.** dm.popdm**.cn127.0.0.** www.yl9999**.com127.0.0.** www.dajiadoushe**.cn127.0.0.** v.onondown**.com. cn127.0.0.** www.interoo**.net127.0.0.** bally1.bally-bally**.net127.0.0.** www.bao5605509**.cn127.0.0.** www.rty456**.cn127.0.0.** www.werqwer**.cn127.0.0.** 1.360-1**.cn127.0.0.** user1.23-16**.net127.0.0.** www.guccia**.net127.0.0.** www.interoo**.net127.0.0.** upa.netsool**.net127.0.0.** js.users.51**.la127.0.0.** vip2.51**.la127.0.0.** web.51**.la127.0.0.** qq.gong2008**.com127.0.0.** 2008tl.copyip**.com127.0.0.** tla.laozihuolaile**.cn127.0.0.** www.tx6868**.cn127.0.0.** p001.tiloaiai**.com127.0.0.** s1. tl8tl**.com127.0.0.** s1.gong2008**.com127.0.0.** 4b3ce56f9g.3f6e2cc5f0b**.com127.0.0.** 2be37c5f.3f6e2cc5f0b**.com#360127.0.0.** 59.53.87.101127.0.0.** 125.46.1.226127.0.0.** www.360. cn127.0.0.** www.360safe. com127.0.0.** sd.360. cn127.0.0.** bbs.360safe. com5、获取磁盘启动器类型,遍历目录查找所有后缀是EXE的目录并却是非系统盘的可执行文件中释放大量usp10.dll文件,终止部分安全软件进程,如发现进程中存在以下进程则调用内核函数强行终止其进程:360Tray.exe、360Safe.exe、safeboxTray.exe、360realpro.exe、360upp.exe、RavMonD.exe、CCenter.exe、Ravtask.exe、rsnetsvr.exe、rsTray.exe、kissvc.exe、kwatch.exe、kpfwsvc.exe、kavstart.exe、kmailmon.exe、kpfw32.exe、kasmain.exe、ksamain.exe、kaccore.exe、egui.exe、ekrn.exe、mainpro.exe、annexpro.exe、KVSrvXP.exe、KVSysCheck.exe、KVMonXP.kxp、KVPreScan.kxp注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。%Windir% WINDODWS所在目录%DriveLetter% 逻辑驱动器根目录%ProgramFiles% 系统程序默认安装目录%HomeDrive% 当前启动的系统的所在分区%Documents and Settings% 当前用户文档根目录%Temp% Documents and Settings当前用户Local SettingsTemp%System32% 系统的 System32文件夹Windows2000/NT中默认的安装路径是C:WinntSystem32windows95/98/me中默认的安装路径是%WINDOWS%SystemwindowsXP中默认的安装路径是%system32%
电脑bootkit、rootkit是什么意思
在网络安全中经常会遇到rootkit,NSA安全和入侵检测术语字典( NSA Glossary of Terms Used in Security and Intrusion Detection)对rootkit的定义如下:A hacker security tool that captures passwords and message traffic to and from a computer. A collection of tools that allows a hacker to provide a backdoor into a system, collect information on other systems on the network,mask the fact that the system is compromised, and much more. Rootkit is a classic example of Trojan Horse software. Rootkit is available for a wide range of operating systems. x7d3]1G!?2Rz0SupeSite/X-Space官方站OvP%T}:t&_0NEw好多人有一个误解,他们认为rootkit是用作获得系统root访问权限的工具。实际上,rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。通常,攻击者通过远程攻击获得root访问权限,或者首先密码猜测或者密码强制破译的方式获得系统的访问权限。进入系统后,如果他还没有获得root权限,再通过某些安全漏洞获得系统的root权限。接着,攻击者会在侵入的主机中安装rootkit,然后他将经常通过rootkit的后门检查系统是否有其他的用户登录,如果只有自己,攻击者就开始着手清理日志中的有关信息。通过rootkit的嗅探器获得其它系统的用户和密码之后,攻击者就会利用这些信息侵入其它的系统。 SupeSite/X-Space官方站J l+br [0x-VbX#[H5^*`G!r0什么是rootkit i*Q i [3tj*y3s0@(j08mh iuy}D0Rootkit出现于二十世纪90年代初,在1994年2月的一篇安全咨询报告中首先使用了rootkit这个名词。这篇安全咨询就是CERT-CC的CA-1994-01,题目是Ongoing Network Monitoring Attacks,最新的修订时间是1997年9月19日。从出现至今,rootkit的技术发展非常迅速,应用越来越广泛,检测难度也越来越大。其中针对SunOS和Linux两种操作系统的rootkit最多(树大招风:P)。所有的rootkit基本上都是由几个独立的程序组成的,一个典型rootkit包括: SupeSite/X-Space官方站:Rd]#m+a0]X lSupeSite/X-Space官方站c yNmQO M以太网嗅探器程程序,用于获得网络上传输的用户名和密码等信息。 SupeSite/X-Space官方站"V"wz,{1[1m:}特洛伊木马程序,例如:inetd或者login,为攻击者提供后门。 ;{ dmS8o6W_0隐藏攻击者的目录和进程的程序,例如:ps、netstat、rshd和ls等。 SupeSite/X-Space官方站jN/WK(V5 }S可能还包括一些日志清理工具)M@H3uF/F}0一些复杂的rootkit还可以向攻击者提供telnet、shell和finger等服务。 o_k(F{;Z |#k0还包括一些用来清理/var/log和/var/adm目录中其它文件的一些脚本。 OUzU6R9j q h0Ocrf0SupeSite/X-Space官方站 gerx*eNjl(n,e入侵者入侵后往往会进行清理脚印和留后门等工作,最常使用的后门创建工具就是rootkit。不要被名字所迷惑,这个所谓的“rootkit”可不是给超级用户root用的,它是入侵者在入侵了一太主机后,用来做创建后门并加以伪装用的程序包。这个程序包里通常包括了日志清理器,后门等程序。同时,程序包里通常还带有一些伪造的ps、ls、who、w、netstat等原本属于系统本身的程序,这样的话,程序员在试图通过这些命令查询系统状况的时候,就无法通过这些假的系统程序发觉入侵者的行踪。 SupeSite/X-Space官方站(m yZ1e3~(L1|SupeSite/X-Space官方站2dP&q+S1| GW/w.Ew l在一些黑客组织中,rootkit (或者backdoor) 是一个非常感兴趣的话题。各种不同的rootkit被开发并发布在internet上。在这些rootkit之中, LKM尤其被人关注, 因为它是利用现代操作系统的模块技术。作为内核的一部分运行,这种rootkit将会越来越比传统技术更加强大更加不易被发觉。一旦被安装运行到目标机器上, 系统就会完全被控制在hacker手中了。甚至系统管理员根本找不到安全隐患的痕迹, 因为他们不能再信任它们的操作系统了。后门程序的目的就是甚至系统管理员企图弥补系统漏洞的时候也可以给hacker系统的访问权限。 SupeSite/X-Space官方站zY jAUxM)SI,wJ J3E&j$u,T#{"jlQ:E0入侵者通过:设置uid程序, 系统木马程序, cron后门等方法来实现入侵者以后从非特权用户使用root权限。 `TC%d;z+O1V"O.]&n{0SupeSite/X-Space官方站c8Ai/Jh,K 设置uid程序。 黑客在一些文件系统理放一些设置uid脚本程序。无论何时它们只要执行这个程序它们就会成为root。 V.W M.B#L4p t1FD0G4~8t:rC0y0系统木马程序。黑客替换一些系统程序,如"login"程序。因此, 只要满足一定的条件,那些程序就会给黑客最高权限。 qg6kb#F SeC0s"w.I D Vc5R~0Cron后门。黑客在cron增加或修改一些任务,在某个特定的时间程序运行,他们就可以获得最高权限。 SupeSite/X-Space官方站*j/y#t{6RGt-~具体可能通过以下方法给予远程用户以最高访问权限: ".rhost" 文件, ssh认证密钥, bind shell, 木马服务程序。 SupeSite/X-Space官方站m ~?3^8x/B".rhosts" 文件。一旦 "+ +"被加入某个用户的.rhosts文件里, 任何人在任何地方都可以用这个账号来登陆进来而不需要密码。 SupeSite/X-Space官方站"t+cR-B_^J N8U9X @SupeSite/X-Space官方站:l#]_S4ssh认证密钥。黑客把他自己的公共密钥放到目标机器的ssh配置文件"authorized_keys"里, 他可以用该账号来访问机器而不需要密码。 SupeSite/X-Space官方站XJ:?0pp.JSupeSite/X-Space官方站6TCoY9a}YBind shell。黑客绑定一个shell到一个特定的tcp端口。任何人telnet这个端口都可以获得交互的shell。更多精巧的这种方式的后门可以基于udp,或者未连接的tcp, 甚至icmp协议。 SupeSite/X-Space官方站Ix_F~R MSupeSite/X-Space官方站&~3[+[4?L"h1j"{aTrojaned服务程序。任何打开的服务都可以成为木马来为远程用户提供访问权限。例如, 利用inetd服务在一个特定的端口来创建一个bind shell,或者通过ssh守护进程提供访问途径。 XF5Q ~u}u0在入侵者植入和运行后门程序之后, 他会设法隐藏自己存在的证据,这主要涉及到两个方面问题: 如何来隐藏他的文件且如何来隐藏他的进程。 Yk g"e*|I s0为了隐藏文件, 入侵者需要做如下事情: 替换一些系统常用命令如"ls", "du", "fsck"。在底层方面, 他们通过把硬盘里的一些区域标记为坏块并把它的文件放在那里。或者如果他足够疯狂,他会把一些文件放入引导块里。 SupeSite/X-Space官方站8~tG5q7f?JfJ;@,w,s%KSTGJB;N[ Zz0为了隐藏进程, 他可以替换 "ps"程序, 或者通过修改argv[]来使程序看起来象一个合法的服务程序。有趣的是把一个程序改成中断驱动的话,它就不会出现在进程表里了。
Rootkit病毒是什么?
破坏性软件
特洛伊木马和rootkit木马的区别?
你好,关于特洛伊木马和rootkit木马的区别,首先我们来看什么是特洛伊木马和rootkit木马?特洛伊木马(Trojan Horse):是指寄宿在计算机里的一种非授权的远程控制程序。它可用于在计算机系统中设置后门,使入侵者能够在以后获得访问权限。这个名字指的是来自特洛伊战争的马,其概念上类似于欺骗防御者将入侵者带入保护区的功能。Rootkit病毒:是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。Rootkit通过加载特殊的驱动,修改系统内核,进而达到隐藏信息的目的。其中 病毒、蠕虫、后门、特洛伊木马、Rootkit技术等 是黑客们通常采用的网络攻击手段。特洛伊木马和rootkit木马的区别:Rootkit与特洛伊木马的区别一般来说,Rootkit可以运行在两个不同的的层次上。这取决于它替换或者修改了目标系统中的哪种程序。一种是“用户模式Rootkit”,因为Rootkit可以修改系统中现有的二进制可执行程序或者库文件,也就是说它可以修改用户和管理员运行的程序,控制了操作系统的用户级工具组件。另一种叫“内核模式Rootkit“,Rootkit直接进攻系统最深处,操作系统的内核本身。这两个层次上的Rootkit有着明显不同的特征。
电脑中了RootKit.Win32.Agent.nfr
你是用杀毒软件扫描出来的吧!但是每次杀的时候说重启后删除.重启又不行吧!那你按照这个方法来试试吧:1:先用杀毒软件把病毒扫描出来,别进行处理2:拿出任务管理器,找到Explorer.exe进程项,结束它(注意事项:不要把杀毒软件最小化),这时会出现异常现象,不要怕,进行第三步3:用杀毒软件把病毒杀掉.这时应该能删了吧4:点击任务管理器的文件/新建任务,输入explorer.exe点确定,电脑恢复正常.现在应该把病毒全都搞定了吧,而且不用重启.如果这个方法不行你就用这个方法吧:这个病毒在目前的杀毒软件是杀不了的,因为它一开机就启动拉(安全模式也一样)。虽然你在进程里看不到可疑进程,但它好像是在别的进程里运行。只能在dos里面杀毒。 杀毒方法如下: 1、用杀毒软件杀一下(肯定杀不了),不用急。先把其病毒文件的名称和路径用笔记下来。 2、重启。进入dos。(进入dos方法一:1、进入blos设置光驱启动。2、插入系统碟,进入dos,不是进入安装界面. 方法二:在网上下载一个vfoppy之类的虚拟软驱,安装后,重启,进入dos) 3、输入del 【盘符】【路径】【文件名】。例如:我中的毒是eqjtoh(发现这个病毒都是在C:windowssystem32drivers下有一个sys文件和在C:windowssystem32下有一个dll文件),那你就输入del C:windowssystem32eqjtoh.dll然后按回车(这是删除system32下的eqjtoh文件),再输入del C:windowssystem32driverseqjtoh.sys按回车.如果还有其它毒的话就如此类推。跟着是按ctrl+alt+del进行重启,用光驱启动的当然要设置回硬盘启动拉。 注意:在del和盘符之间有空格 4、重启系统之后它会显示加载eqjtoh(你的病毒文件名)出错,不用怕也不用急。点击开始-运行 输入regedit回车进入注册表,点击编辑-查找输入eqjtoh(病毒文件名),选中项、值、数据,去掉全字匹配,搜索。把搜索到的东西都删除掉,删不了的就在左边的项右击-选中权限,在完全控制里选中允许,不放心的话就先备份。 OK 其实还有一种更简单直接的方法是格式化系统盘,重装系统
求助: 特洛伊木马 Rootkit.Win32.Agent.bo 的查杀办法
请使用瑞星2006的光盘,配合U盘来清除它,效果很好。如果没有加我的QQ:252015952,我告诉你怎么弄
rootkit.win32.apent.awk是什么木马
那位大侠快说怎么杀啊,卡巴司机不是牛马?怎么也杀不了,害我白花冤枉钱
cisco ios rootkit工具该怎么写
一个人如何能相对简单地利用自己的固件来创建一个rootkit工具。HT文本编辑器:apt-get install ht hexedit Dynamips + GDB Stub: git clone https://github.com/Groundworkstech/dynamips-gdb-mod 程序员计算器:http://pcalc.sourceforge.net/ Binutils / Essentials: apt-get install gcc gdb build-essential binutils binutils-powerpc-linux-gnu binutils-multiarch 其他依赖项:apt-get install libpcap-dev uml-utilities libelf-dev libelf1 QEMU: apt-get install qemu qemu-common qemuctl qemu-system qemu-system-mips qemu-system-misc qemu-system-ppc qemu-system-x86 Debian PowerPC 镜像:wget https://people.debian.org/~aurel32/qemu/powerpc/debian_wheezy_powerpc_standard.qcow2 QEME还需要下面的额外设置:# cd /usr/share/qemu/# mkdir ../openbios/# mkdir ../slof/# mkdir ../openhackware/ # cd ../openbios/# wget https://github.com/qemu/qemu/raw/master/pc-bios/openbios-ppc# wget https://github.com/qemu/qemu/raw/master/pc-bios/openbios-sparc32 # wget https://github.com/qemu/qemu/raw/master/pc-bios/openbios-sparc64# cd ../openhackware/# wget https://github.com/qemu/qemu/raw/master/pc-bios/ppc_rom.bin # cd ../slof/# wget https://github.com/qemu/qemu/raw/master/pc-bios/slof.bin# wget https://github.com/qemu/qemu/raw/master/pc-bios/spapr-rtas.binQEME客户机应如下设置:qemu-host# qemu-system-ppc -m 768 -hda debian_wheezy_powerpc_standard.qcow2qemu-guest# apt-get updateqemu-guest# apt-get install openssh-server gcc gdb build-essential binutils-multiarch binutils qemu-guest# vi /etc/ssh/sshd_configqemu-guest# GatewayPorts yesqemu-guest# /etc/init.d/ssh restartqemu-guest# ssh -R 22222:localhost:22 <you>@<qemu-host>把你的开发设备SSH到端口22222,并作为根用户登录到QEMU客户机。这样在编辑文件,进行复制和粘贴操作时会更容易,因为不需要切换到QEMU窗口上。Dynamips + GDB Stub需要进行编译。接下来的操作也需要在amd64机器上进行:更改配置以满足开发设备的要求。# git clone https://github.com/Groundworkstech/dynamips-gdb-mod Cloning into "dynamips-gdb-mod"...remote: Counting objects: 290, done.remote: Total 290 (delta 0), reused 0 (delta 0), pack-reused 290 Receiving objects: 100% (290/290), 631.30 KiB | 0 bytes/s, done. Resolving deltas: 100% (73/73), done.Checking connectivity... done.# cd dynamips-gdb-mod/src# DYNAMIPS_ARCH=amd64 makeLinking rom2ccc: error: /usr/lib/libelf.a: No such file or directory make: *** [rom2c] Error 1# updatedb# locate libelf.a /usr/lib/x86_64-linux-gnu/libelf.a# cat Makefile |grep "/usr/lib/libelf.a"LIBS=-L/usr/lib -L. -ldl /usr/lib/libelf.a $(PTHREAD_LIBS)LIBS=-L. -ldl /usr/lib/libelf.a -lpthread# cat Makefile | sed -e "s#/usr/lib/libelf.a#/usr/lib/x86_64-linux-gnu/libelf.a#g" >Makefile.1# mv Makefile Makefile.bak# mv Makefile.1 Makefile# DYNAMIPS_ARCH=amd64 make接下来,我们需要使用一个简单的脚本来计算二进制的校验和,因为随后我们还会用到这些二进制。把校验和保存到chksum.pl文件中,并放到开发目录下。通过chmod +x把这个文件转换成一个可执行文件。12345678910111213141516171819202122232425262728293031 #!/usr/bin/perlsub checksum {my $file = $_[0];open(F, "< $file") or die "Unable to open $file ";print " [!] Calculating the checksum for file $file ";binmode(F);my $len = (stat($file))[7];my $words = $len / 4;print "[*] Bytes: $len ";print "[*] Words: $words ";printf "[*] Hex: 0x%08lx ",$len;my $cs = 0;my ($rsize, $buff, @wordbuf);for(;$words; $words -= $rsize) {$rsize = $words < 16384 ? $words : 16384;read F, $buff, 4*$rsize or die "Can"t read file $file : $! "; @wordbuf = unpack "N*",$buff;foreach (@wordbuf) {$cs += $_;$cs = ($cs + 1) % (0x10000 * 0x10000) if $cs > 0xffffffff;}}printf "[*] Checksum: 0x%lx ",$cs;return (sprintf("%lx", $cs));close(F);}if ($#ARGV + 1 != 1) {print " Usage: ./chksum.pl <file> ";exit;}checksum($ARGV[0]);另外还有几个资源也是必需的,但是我们无法在文章中给出链接。不过,你应该能找到这些资源,并且在设置上也不会遇到任何问题。接着,你需要把这些资源安装到用于开发的虚拟机上,然后创建一个Windows7客户机。一旦你完成了设置,就登录到你的Windows虚拟机,并安装“IDA Pro 6.6 + Hex-Rays Decompiler”或其他的任意版本——确保你安装的是完整版,能支持x86/x64以外的架构,因为我们主要使用的是PowerPC汇编语言。请不要破解IDA软件,IDA是一款非常好用的程序,值的我们的购买。最后,你需要一个IOS镜像。我们使用的镜像来自我们购买的Cisco 2600,文件名是 “c2600-bino3s3-mz.123-22.bin”。我们强烈建议你登录你的Cisco账户,然后下载这一个镜像-使用同一个镜像能保证你完全根据我们的要求进行操作,并且偏移、校验和、长度等也都是一致的。众所周知,在一些社区中下载到的一些所谓“仅供学习”的IOS镜像,以及具有更多功能的IOS镜像,实际上都植入了木马。除了通过哈希来验证,我们还建议你使用FX的‘Cisco Incident Response"来验证你的IOS镜像。对于我们的开发设备,提示是 "[ 3812149161f@decay ]# “;QEMU请求,提示是"[debian@ppc ]#。0x03 开发