آموزش :: معرفی FU Rootkit برای تست و لابراتوار
درخواست های ارتباط
جستجو
لیست دوستان من
صندوق پیام
همه را دیدم
  • در حال دریافت لیست پیام ها
صندوق پیام
رویدادها
همه را دیدم
  • در حال دریافت لیست رویدادها
همه رویدادهای من
تخفیف های وب سایت
همه تخفیف ها

عضویت در

کانال تلگرام

توسینسو

اطلاعات مطلب
مدرس/نویسنده
محمد نصیری
امتیاز: 588834
رتبه:1
371
1706
809
10872
محمد نصیری ، بنیانگذار TOSINSO ، کارشناس امنیت اطلاعات و ارتباطات و کشف جرائم رایانه ای ، هکر کلاه سفید ، تخصص در حوزه امنیت سیستم عامل و تست های نفوذسنجی ، لینوکس ، مجازی سازی ، سرویس های کاربردی سرور و ... سابقه همکاری در بیش از 40 سازمان دولتی ، خصوصی و نظامی در حوزه پروژه ، مشاوره و آموزش ، بیش از 10 هزار ساعت سابقه آموزشی در طی 12 سال فعالیت حرفه ای ... پروفایل کاربر

ویدیوهای پیشنهادی

شناسایی و تست نفوذ آسیب پذیری Sql Injection با استفاده از ابزار SQLMap
شناسایی و تست نفوذ آسیب پذیری Sql Injection با استفاده از ابزار SQLMap
مدرس: Nima karimi
6,000 تومان
راه های مقابله و تشخیص حمله arpspoofing با استفاده از ابزار DAI , Xarp
راه های مقابله و تشخیص حمله arpspoofing با استفاده از ابزار DAI , Xarp
مدرس: Nima karimi
7,000 تومان
توضیح کامل حمله Arpspoofing و MITM با استفاده از GNS3
توضیح کامل حمله Arpspoofing و MITM با استفاده از GNS3
مدرس: Nima karimi
7,000 تومان
پنهان نمودن فایل متنی و صوتی در یک تصویر  با استفاده از ابزار S-Tool در مبحث Steganography
پنهان نمودن فایل متنی و صوتی در یک تصویر با استفاده از ابزار S-Tool در مبحث Steganography
مدرس: Nima karimi
5,000 تومان
شناسایی آسیب پذیری در هدر مربوط به Web Server
شناسایی آسیب پذیری در هدر مربوط به Web Server
مدرس: Nima karimi
6,000 تومان
شناسایی SubDomain های یک دامنه با استفاده از ابزار Sublist3r
شناسایی SubDomain های یک دامنه با استفاده از ابزار Sublist3r
مدرس: Nima karimi
7,000 تومان
شناسایی و جستجو Exploit ها با استفاده از ابزار Findsploit
شناسایی و جستجو Exploit ها با استفاده از ابزار Findsploit
مدرس: Nima karimi
6,000 تومان
آشنایی با ابزار فوق العاده D-Tect برای شناسایی آسیب پذیری های XSS , Sql injection , Wordpress و انجام Port scan
آشنایی با ابزار فوق العاده D-Tect برای شناسایی آسیب پذیری های XSS , Sql injection , Wordpress و انجام Port scan
مدرس: Nima karimi
8,000 تومان
توضیح و آموزش کامل انجام حمله dnsspoofing با استفاده از ابزارهای dnsspoof و arpspoof در BackTrack
توضیح و آموزش کامل انجام حمله dnsspoofing با استفاده از ابزارهای dnsspoof و arpspoof در BackTrack
مدرس: Nima karimi
12,000 تومان
مسدود سازی پورت های USB و دستگاه های ذخیره سازی جانبی در شبکه با نرم افزار GFI Endpoint Security
مسدود سازی پورت های USB و دستگاه های ذخیره سازی جانبی در شبکه با نرم افزار GFI Endpoint Security
مدرس: امیرحسین کریم پور
11,000 تومان

معرفی FU Rootkit برای تست و لابراتوار

تاریخ 7 ماه قبل
نظرات 0
بازدیدها 152
قبلا در خصوص Rootkit ها و نحوه عملکرد آنها صحبت کرده ایم ، با هم بحث کردیم که بصورت کلی در ویندوز دو نوع Rootkit در لایه User Mode و Kernel Mode داریم اما به هر حال در خصوص کار کردن عملی این نوع Rootkit ها صحبت نکردیم . امروز می خواهیم در خصوص یکی از قدیمی ترین Rootkit هایی که در سیستم عامل ویندوز XP فعال می شد و کار می کرد صحبت می کنیم و هدف از معرفی این ابزار در حال حاضر شناختن نحوه عملکرد یک Rootkit است بیشتر تا اینکه بخواهیم از آن در محیط های عملیاتی استفاده کنیم . امروزه این Rootkit براحتی با آنتی ویروس هایی که Signature Based هستند و حتی انتی ویروس پیشفرض ویندوز قابل شناسایی هستند اما به هر حال برای کار کردن در ویندوز XP و یادگیری عملکرد آن بسیار جالب هستند . نام این Rootkit بصورت FU نوشته و خوانده می شود. FU Rootkit از جمله ابزارهای آموزشی امروزه محسوب می شود که به دانشجویان بتواند به خوبی نحوه عملکرد Rootkit را متوجه شوید و سورس کد و binary های آن نیز براحتی در اینترنت وجود دارند.

تصویر FU Rootkit


FU Rootkit یکی از انواع Kernel Mode Rootkit ها است که در قالب مکانیزم DKOM یا Direct Kernel Object Manipulation کار می کند و دارای دو Component یا جزء است که یکی از آنها فایل اجرایی fu.exe و دیگری فایل درایوری به نام msdirectx.sys است که به همراه هم فعالیت می کنند. طبیعتا نحوه عملکرد این روتکیت شبیه Kernel Mode Rootkit های دیگر است و با اعمال تغییر بر روی کرنل ویندوز و پردازش ها آنها را دستکاری و مخفی می کند. تمامی اشیاء پردازش شده در کرنل به داخل این روتکیت لینک می شوند و زمانیکه یک کاربر پردازشی را فراخوانی کند و برای مثال Task Manager را اجرا کند درخواست ها از طریق API ای که توسط FU لینک شده اند ارسال می شوند و به همین دلیل امکان فیلتر کردن درخواست های کاربر و نمایش پردازش های دلخواه از طرف آن وجود دارد . شما براحتی می توانید با FU لیستی از پردازش ها را مشاهده و آنهایی که دوست دارید را مخفی کنید تا کاربران و آنتی ویروس ها نتوانند از آنها استفاده کنند و مخفی بمانند. جالب است بدانید که حتی امکان اعمال تغییر در Event Viewer سیستم عامل را نیز دارد . FU برای اجرا شدن نیاز به دسترسی مدیریتی دارد و پس از اینکه به درستی بر روی سیستم قربانی نصب شد درایور خودش را Load می کند و نتیجه را در آدرس زیر در رجیستری ثبت می کند :
HKLM\SYSTEM\CurrentControlSet\Services\[driver_name]
قسمت driver__name همان نام درایور است با حذف شدن پسوند sys ای که بر روی فایل اصلی وجود داشته است . شما می توانید با اجرا کردن این ابزار به خوبی نحوه عملکرد یک Rootkit واقعی را احساس کنید . این ابزار جزو ابزارهای هک می باشد و لینک مستقیمی برای دانلود کردن آن وجود ندارد ولی با یک جستجوی ساده می توانید آن را دانلود و درون ویندوز XP اجرا و تست کنید با استفاده از دستور زیر در ویندوز XP می توانید یک پردازش را مخفی کنید :
fu –ph 1272
با اجرای دستور بالا دیگر پردازشی با Process ID ای به شکل 1272 در خروجی Task Manager و البته دستور task list نمایش داده نمی شود.

نویسنده : محمد نصیری
منبع : جزیره امنیت وب سایت توسینسو
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد
برچسب ها
مطالب مرتبط

در حال دریافت اطلاعات

نظرات
هیچ نظری ارسال نشده است

    برای ارسال نظر ابتدا به سایت وارد شوید