(2).帳戶非常規(guī)提權(quán)

　　下面我們通過(guò)注冊(cè)表對(duì)gslw$帳戶進(jìn)行提權(quán)，使其成為一個(gè)比較隱蔽(在命令行和“本地用戶和組”中看不到)的管理員用戶。

　　第一步：打開(kāi)注冊(cè)表編輯器，定位到HKEY_LOCAL_MACHINESAMSAM項(xiàng)。由于默認(rèn)情況下管理員組對(duì)SAM項(xiàng)是沒(méi)有操作權(quán)限的，因此我們要賦權(quán)。右鍵點(diǎn)擊該鍵值選擇“權(quán)限”，然后添加“administrators”組，賦予其“完全控制”權(quán)限，最后刷新注冊(cè)表，就能夠進(jìn)入SAM項(xiàng)下的相關(guān)鍵值了。

　　第二步：定位到注冊(cè)表HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers項(xiàng)，點(diǎn)擊“000001F4”

　　注冊(cè)表項(xiàng)，雙擊其右側(cè)的“F”鍵值，復(fù)制其值，然后點(diǎn)擊“00000404”注冊(cè)表項(xiàng)(該項(xiàng)不一定相同)，雙擊其右側(cè)的“F”鍵值，用剛才復(fù)制鍵值進(jìn)行替換其值。(圖7)

　　第三步：分別導(dǎo)出gslw$、00000404注冊(cè)表項(xiàng)為1.reg和2.reg。在命令行下輸入命令"net user gslw$ /del"刪除gslw$用戶，然后分別雙擊1.reg和2.reg導(dǎo)入注冊(cè)表，最后取消administrators對(duì)SAM注冊(cè)表項(xiàng)的訪問(wèn)權(quán)限。

　　這樣就把gslw$用戶提升為管理員，并且該用戶非常隱蔽，除了注冊(cè)表在命令下及“本地用戶和組”是看不到的。這樣的隱藏的超級(jí)管理員用戶是入侵者經(jīng)常使用的，對(duì)于一個(gè)水平不是很高的管理員這樣的用戶他是很難發(fā)現(xiàn)的。這樣的用戶他不屬于任何組，但卻有管理員權(quán)限，是可以進(jìn)行登錄的。

　　(3).高級(jí)隱藏用戶

　　綜上所述，我們創(chuàng)建的gslw$用戶雖然比較隱蔽，但是通過(guò)注冊(cè)表可以看見(jiàn)。下面我們利用RootKit工具進(jìn)行高級(jí)隱藏，即在注冊(cè)表中隱藏該用戶。

　　可被利用的RootKit工具是非常多的，我們就以Hacker defende危機(jī)進(jìn)行演示，它是個(gè)工具包，其中包含了很多工具，我們隱藏注冊(cè)表鍵值只需其中的兩個(gè)文件，hxdef100.exe和hxdef100.ini。其中hxdef100.ini是配置文件，hxdef100.exe是程序文件。打開(kāi)hxdef100.ini文件定位到[Hidden RegKeys]項(xiàng)下，添加我們要隱藏的注冊(cè)表鍵值gslw$和00000404即用戶在注冊(cè)表的項(xiàng)然后保存退出。(圖8)

　　然后雙擊運(yùn)行hxdef100.exe，可以看到gslw$用戶在注冊(cè)表中的鍵值“消失”了，同時(shí)這兩個(gè)文件也“不見(jiàn)”了。這樣我們就利用RootKit實(shí)現(xiàn)了高級(jí)管理員用戶的徹底隱藏，管理員是無(wú)從知曉在系統(tǒng)中存在一個(gè)管理員用戶的。(圖9)#p#副標(biāo)題#e#

　　2、全面出擊清除RootKit

　　那是否意味著我們就無(wú)能為力呢?俗話說(shuō)“邪不勝正”，與RootKit就有反RootKit。我們就以清除上面的Hacker defende為例揪出剛才創(chuàng)建的隱藏帳戶。

　　(1).深入掃描進(jìn)行驅(qū)動(dòng)級(jí)別分析

　　RootKit往往是驅(qū)動(dòng)級(jí)別的，因此它比一般的應(yīng)用程序更加靠近底層，清除起來(lái)更加的棘手。清除請(qǐng)進(jìn)程掃描是必要的，RootKit Hook Analyzer是一款Rookit分析查詢工具，利用它可以掃描分析出系統(tǒng)中存在的RooKit程序。該工具是英文程序，安裝并運(yùn)行點(diǎn)擊其界面中下方的“Analyze”按鈕就可以進(jìn)行掃描分析，列出系統(tǒng)中的RooKit程序，勾選“Show hooked services only”就可以進(jìn)行篩選值列出RooKit ervices。當(dāng)然，類(lèi)似這樣的工具還有很多，我們可以根據(jù)自己的需要進(jìn)行選擇。(圖10)

　　(2).通通透透看進(jìn)程

　　RootKit的程序進(jìn)程往往是隱藏性或者嵌入型的，通過(guò)Windows的“任務(wù)管理器”是無(wú)法看到的。我們可以利用一款強(qiáng)大的進(jìn)程工具IceSword(冰刃)來(lái)查看。運(yùn)行IceSword點(diǎn)擊“進(jìn)程”按鈕，就可以列出當(dāng)前系統(tǒng)中的進(jìn)程，其中紅色顯示的是可疑進(jìn)程。我們可以看到hxdef100.exe進(jìn)程赫然其中，這真是我們剛才運(yùn)行的RootKit。在該進(jìn)程上點(diǎn)擊右鍵選擇“結(jié)束”進(jìn)程。這時(shí)hxdef100.exe和hxdef100.ini文件顯身了，再刷新并查看注冊(cè)表，剛才消失的兩個(gè)鍵值有重現(xiàn)了。(圖11)

　　(3).專(zhuān)業(yè)工具查殺

　　利用IceSword進(jìn)行RooKit的分析和并結(jié)束其進(jìn)程不失為反RooKit的一種方法，但有的時(shí)候冰刃并不能分析出RootKit，因此我們就要比較專(zhuān)業(yè)的工具。比如卡巴斯基、超級(jí)巡警等都是不錯(cuò)的選擇。下圖就是通過(guò)超級(jí)巡警檢測(cè)到的RootKit病毒。(圖12)

　　總結(jié)：當(dāng)然，在Windows系統(tǒng)中“正”與“邪”此消彼長(zhǎng)，戰(zhàn)爭(zhēng)中沒(méi)有永遠(yuǎn)的勝利者。我們只有深入了解，主動(dòng)出擊才能掌握主動(dòng)權(quán)。