درخواست های ارتباط
جستجو
لیست دوستان من
صندوق پیام
همه را دیدم
  • در حال دریافت لیست پیام ها
صندوق پیام
رویدادها
همه را دیدم
  • در حال دریافت لیست رویدادها
همه رویدادهای من

معرفی FU Rootkit برای تست و لابراتوار

0 نظرات
41 بازدیدها
قبلا در خصوص Rootkit ها و نحوه عملکرد آنها صحبت کرده ایم ، با هم بحث کردیم که بصورت کلی در ویندوز دو نوع Rootkit در لایه User Mode و Kernel Mode داریم اما به هر حال در خصوص کار کردن عملی این نوع Rootkit ها صحبت نکردیم . امروز می خواهیم در خصوص یکی از قدیمی ترین Rootkit هایی که در سیستم عامل ویندوز XP فعال می شد و کار می کرد صحبت می کنیم و هدف از معرفی این ابزار در حال حاضر شناختن نحوه عملکرد یک Rootkit است بیشتر تا اینکه بخواهیم از آن در محیط های عملیاتی استفاده کنیم . امروزه این Rootkit براحتی با آنتی ویروس هایی که Signature Based هستند و حتی انتی ویروس پیشفرض ویندوز قابل شناسایی هستند اما به هر حال برای کار کردن در ویندوز XP و یادگیری عملکرد آن بسیار جالب هستند . نام این Rootkit بصورت FU نوشته و خوانده می شود. FU Rootkit از جمله ابزارهای آموزشی امروزه محسوب می شود که به دانشجویان بتواند به خوبی نحوه عملکرد Rootkit را متوجه شوید و سورس کد و binary های آن نیز براحتی در اینترنت وجود دارند.

تصویر FU Rootkit


FU Rootkit یکی از انواع Kernel Mode Rootkit ها است که در قالب مکانیزم DKOM یا Direct Kernel Object Manipulation کار می کند و دارای دو Component یا جزء است که یکی از آنها فایل اجرایی fu.exe و دیگری فایل درایوری به نام msdirectx.sys است که به همراه هم فعالیت می کنند. طبیعتا نحوه عملکرد این روتکیت شبیه Kernel Mode Rootkit های دیگر است و با اعمال تغییر بر روی کرنل ویندوز و پردازش ها آنها را دستکاری و مخفی می کند. تمامی اشیاء پردازش شده در کرنل به داخل این روتکیت لینک می شوند و زمانیکه یک کاربر پردازشی را فراخوانی کند و برای مثال Task Manager را اجرا کند درخواست ها از طریق API ای که توسط FU لینک شده اند ارسال می شوند و به همین دلیل امکان فیلتر کردن درخواست های کاربر و نمایش پردازش های دلخواه از طرف آن وجود دارد . شما براحتی می توانید با FU لیستی از پردازش ها را مشاهده و آنهایی که دوست دارید را مخفی کنید تا کاربران و آنتی ویروس ها نتوانند از آنها استفاده کنند و مخفی بمانند. جالب است بدانید که حتی امکان اعمال تغییر در Event Viewer سیستم عامل را نیز دارد . FU برای اجرا شدن نیاز به دسترسی مدیریتی دارد و پس از اینکه به درستی بر روی سیستم قربانی نصب شد درایور خودش را Load می کند و نتیجه را در آدرس زیر در رجیستری ثبت می کند :
HKLM\SYSTEM\CurrentControlSet\Services\[driver_name]
قسمت driver__name همان نام درایور است با حذف شدن پسوند sys ای که بر روی فایل اصلی وجود داشته است . شما می توانید با اجرا کردن این ابزار به خوبی نحوه عملکرد یک Rootkit واقعی را احساس کنید . این ابزار جزو ابزارهای هک می باشد و لینک مستقیمی برای دانلود کردن آن وجود ندارد ولی با یک جستجوی ساده می توانید آن را دانلود و درون ویندوز XP اجرا و تست کنید با استفاده از دستور زیر در ویندوز XP می توانید یک پردازش را مخفی کنید :
fu –ph 1272
با اجرای دستور بالا دیگر پردازشی با Process ID ای به شکل 1272 در خروجی Task Manager و البته دستور task list نمایش داده نمی شود.

نویسنده : محمد نصیری
منبع : جزیره امنیت وب سایت توسینسو
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد
برچسب ها
مطالب مرتبط

در حال دریافت اطلاعات

نظرات
هیچ نظری ارسال نشده است

    برای ارسال نظر ابتدا به سایت وارد شوید

    arrow