محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

FU Rootkit چیست؟ معرفی ابزار شبیه ساز و تست روتکیت

قبلا در خصوص Rootkit ها و نحوه عملکرد آنها صحبت کرده ایم ، با هم بحث کردیم که بصورت کلی در ویندوز دو نوع Rootkit در لایه User Mode و Kernel Mode داریم اما به هر حال در خصوص کار کردن عملی این نوع Rootkit ها صحبت نکردیم . امروز می خواهیم در خصوص یکی از قدیمی ترین Rootkit هایی که در سیستم عامل ویندوز XP فعال می شد و کار می کرد صحبت می کنیم و هدف از معرفی این ابزار در حال حاضر شناختن نحوه عملکرد یک Rootkit است بیشتر تا اینکه بخواهیم از آن در محیط های عملیاتی استفاده کنیم .

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

امروزه این Rootkit براحتی با آنتی ویروس هایی که Signature Based هستند و حتی انتی ویروس پیشفرض ویندوز قابل شناسایی هستند اما به هر حال برای کار کردن در ویندوز XP و یادگیری عملکرد آن بسیار جالب هستند . نام این Rootkit بصورت FU نوشته و خوانده می شود. FU Rootkit از جمله ابزارهای آموزشی امروزه محسوب می شود که به دانشجویان بتواند به خوبی نحوه عملکرد Rootkit را متوجه شوید و سورس کد و binary های آن نیز براحتی در اینترنت وجود دارند.

تصویر FU Rootkit

FU Rootkit یکی از انواع Kernel Mode Rootkit ها است که در قالب مکانیزم DKOM یا Direct Kernel Object Manipulation کار می کند و دارای دو Component یا جزء است که یکی از آنها فایل اجرایی fu.exe و دیگری فایل درایوری به نام msdirectx.sys است که به همراه هم فعالیت می کنند. طبیعتا نحوه عملکرد این روتکیت شبیه Kernel Mode Rootkit های دیگر است و با اعمال تغییر بر روی کرنل ویندوز و پردازش ها آنها را دستکاری و مخفی می کند. تمامی اشیاء پردازش شده در کرنل به داخل این روتکیت لینک می شوند و زمانیکه یک کاربر پردازشی را فراخوانی کند .

برای مثال Task Manager را اجرا کند درخواست ها از طریق API ای که توسط FU لینک شده اند ارسال می شوند و به همین دلیل امکان فیلتر کردن درخواست های کاربر و نمایش پردازش های دلخواه از طرف آن وجود دارد . شما براحتی می توانید با FU لیستی از پردازش ها را مشاهده و آنهایی که دوست دارید را مخفی کنید تا کاربران و آنتی ویروس ها نتوانند از آنها استفاده کنند و مخفی بمانند. جالب است بدانید که حتی امکان اعمال تغییر در Event Viewer سیستم عامل را نیز دارد . FU برای اجرا شدن نیاز به دسترسی مدیریتی دارد و پس از اینکه به درستی بر روی سیستم قربانی نصب شد درایور خودش را Load می کند و نتیجه را در آدرس زیر در رجیستری ثبت می کند :

HKLM\SYSTEM\CurrentControlSet\Services\[driver_name]

قسمت driver__name همان نام درایور است با حذف شدن پسوند sys ای که بر روی فایل اصلی وجود داشته است . شما می توانید با اجرا کردن این ابزار به خوبی نحوه عملکرد یک Rootkit واقعی را احساس کنید . این ابزار جزو ابزارهای هک می باشد و لینک مستقیمی برای دانلود کردن آن وجود ندارد ولی با یک جستجوی ساده می توانید آن را دانلود و درون ویندوز XP اجرا و تست کنید با استفاده از دستور زیر در ویندوز XP می توانید یک پردازش را مخفی کنید :

fu –ph 1272

با اجرای دستور بالا دیگر پردازشی با Process ID ای به شکل 1272 در خروجی Task Manager و البته دستور task list نمایش داده نمی شود.


محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 50 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم و مقیم کشور ترکیه هستم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات