我是想在r0上查看系统进程以找到那些可能被rootkit技术隐藏起来的进程

和入侵检测术语字典( NSA Glossary of Terms Used in Security and Intrusion Detection)对rootkit的定义如下：A hacker security tool that captures passwords and message traffic to and from a computer. A collection of tools that allows a hacker to provide a backdoor into a system, collect information on other systems on the network,mask the fact that the system is compromised, and much more. Rootkit is a classic example of Trojan Horse software. Rootkit is available for a wide range of operating systems.

x7d3]1G!?2Rz0SupeSite/X-Space官方站OvP%T}:t_0NEw

好多人有一个误解，他们认为rootkit是用作获得系统root访问权限的工具。实际上，rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。通常，攻击者通过远程攻击获得root访问权限，或者首先密码猜测或者密码强制破译的方式获得系统的访问权限。进入系统后，如果他还没有获得root权限，再通过某些安全漏洞获得系统的root权限。接着，攻击者会在侵入的主机中安装rootkit，然后他将经常通过rootkit的后门检查系统是否有其他的用户登录，如果只有自己，攻击者就开始着手清理日志中的有关信息。通过rootkit的嗅探器获得其它系统的用户和密码之后，攻击者就会利用这些信息侵入其它的系统。 SupeSite/X-Space官方站J l+br [0x-V

bX#[H5^*`G!r0什么是rootkit

i*Q i [3tj*y3s0@(j0

8mh iuy}D0Rootkit出现于二十世纪90年代初，在1994年2月的一篇安全咨询报告中首先使用了rootkit这个名词。这篇安全咨询就是CERT-CC的CA-1994-01，题目是Ongoing Network Monitoring Attacks，最新的修订时间是1997年9月19日。从出现至今，rootkit的技术发展非常迅速，应用越来越广泛，检测难度也越来越大。其中针对SunOS和Linux两种操作系统的rootkit最多(树大招风:P)。所有的rootkit基本上都是由几个独立的程序组成的，一个典型rootkit包括： SupeSite/X-Space官方站:Rd]#m+a0]X l

SupeSite/X-Space官方站c yNmQO M

以太网嗅探器程程序，用于获得网络上传输的用户名和密码等信息。 SupeSite/X-Space官方站"V'wz,

特洛伊木马程序，例如：inetd或者login，为攻击者提供后门。

;S

可能还包括一些日志清理工具

)M@H3uF/F}0一些复杂的rootkit还可以向攻击者提供telnet、shell和finger等服务。

o_k(F{;Z |#k0还包括一些用来清理/var/log和/var/adm目录中其它文件的一些脚本。

OUzU6R9j q h0Ocrf0SupeSite/X-Space官方站 gerx*eNjl(n,e

入侵者入侵后往往会进行清理脚印和留后门等工作，最常使用的后门创建工具就是rootkit。不要被名字所迷惑，这个所谓的“rootkit”可不是给超级用户root用的，它是入侵者在入侵了一太主机后，用来做创建后门并加以伪装用的程序包。这个程序包里通常包括了日志清理器，后门等程序。同时，程序包里通常还带有一些伪造的ps、ls、who、w、netstat等原本属于系统本身的程序，这样的话，程序员在试图通过这些命令查询系统状况的时候，就无法通过这些假的系统程序发觉入侵者的行踪。 SupeSite/X-Space官方站(m yZ1e3~(L1|

SupeSite/X-Space官方站2dPq+S1| GW/w.Ew l

在一些黑客组织中,rootkit (或者backdoor) 是一个非常感兴趣的话题。各种不同的rootkit被开发并发布在internet上。在这些rootkit之中, LKM尤其被人关注, 因为它是利用现代操作系统的模块技术。作为内核的一部分运行,这种rootkit将会越来越比传统技术更加强大更加不易被发觉。一旦被安装运行到目标机器上, 系统就会完全被控制在hacker手中了。甚至系统管理员根本找不到安全隐患的痕迹, 因为他们不能再信任它们的操作系统了。后门程序的目的就是甚至系统管理员企图弥补系统漏洞的时候也可以给hacker系统的访问权限。 SupeSite/X-Space官方站zY jAUxM)SI\,\w

J J3Ej$u,T#{"jlQ:E0入侵者通过：设置uid程序, 系统木马程序, cron后门等方法来实现入侵者以后从非特权用户使用root权限。

`TC%d;z+O1V'O.]n{0SupeSite/X-Space官方站c8Ai/Jh,K \

设置uid程序。 黑客在一些文件系统理放一些设置uid脚本程序。无论何时它们只要执行这个程序它们就会成为root。

V.W M.B#L4p t1FD0

G4~8t:rC0y0系统木马程序。黑客替换一些系统程序,如"login"程序。因此, 只要满足一定的条件，那些程序就会给黑客最高权限。

qg6kb#F SeC0

s'w.I D Vc5R\~0Cron后门。黑客在cron增加或修改一些任务,在某个特定的时间程序运行，他们就可以获得最高权限。 SupeSite/X-Space官方站*j/y#t{6RGt-~

具体可能通过以下方法给予远程用户以最高访问权限: ".rhost" 文件, ssh认证密钥, bind shell, 木马服务程序。 SupeSite/X-Space官方站m ~?3^8x/B

".rhosts" 文件。一旦 "+ +"被加入某个用户的.rhosts文件里, 任何人在任何地方都可以用这个账号来登陆进来而不需要密码。 SupeSite/X-Space官方站"t+cR-B_^J N8U9X @

SupeSite/X-Space官方站:l#]_S4\

ssh认证密钥。黑客把他自己的公共密钥放到目标机器的ssh配置文件"authorized_keys"里, 他可以用该账号来访问机器而不需要密码。 SupeSite/X-Space官方站XJ:?0pp.J

SupeSite/X-Space官方站6T\CoY9a}Y

Bind shell。黑客绑定一个shell到一个特定的tcp端口。任何人telnet这个端口都可以获得交互的shell。更多精巧的这种方式的后门可以基于udp,或者未连接的tcp, 甚至icmp协议。 SupeSite/X-Space官方站Ix_F~R M

SupeSite/X-Space官方站~3[+[4?L'h\1j'{a

Trojaned服务程序。任何打开的服务都可以成为木马来为远程用户提供访问权限。例如, 利用inetd服务在一个特定的端口来创建一个bind shell，或者通过ssh守护进程提供访问途径。

XF5Q ~u}u0在入侵者植入和运行后门程序之后, 他会设法隐藏自己存在的证据，这主要涉及到两个方面问题: 如何来隐藏他的文件且如何来隐藏他的进程。

Yk g"e*|I s0为了隐藏文件, 入侵者需要做如下事情: 替换一些系统常用命令如"ls", "du", "fsck"。在底层方面, 他们通过把硬盘里的一些区域标记为坏块并把它的文件放在那里。或者如果他足够疯狂，他会把一些文件放入引导块里。 SupeSite/X-Space官方站8~tG5q7f?JfJ;@,w,s

%KSTGJB;N[ Zz0为了隐藏进程, 他可以替换 "ps"程序, 或者通过修改argv[]来使程序看起来象一个合法的服务程序。有趣的是把一个程序改成中断驱动的话，它就不会出现在进程表里了。

Backdoor.Win32.Hupigon.rc

您好高正，不用担心；

既然杀毒软件能查出来就一定能杀，所谓杀不了，是因为病毒在运行；正在运行的程序不能修改或删除的。

从新启动，按住F8，进入安全模式，再从安全模式中启动杀毒软件就可以轻松杀毒了。

另外请问您计算机中病毒的位置是不是在：

C:\Documents and Settings\用户名\Local Settings\Temporary Internet Files\

如果是，请照以下方法操作即可删除病毒文件，

1、右击Internet Explorer，选择"属性"；

2、在"常规"选项卡中点击"删除文件(F)..."；

3、在弹出的对话框中选中"删除所有脱机内容(D)"复选框；

4、单击"确定"按钮即可。

祝您好运。

黑客之门怎么关闭啊！！！！！！！！

进入Windows vista，运行组策略器，依次定位到计算机配置→Windows设置→本地策略→安全选项，然后在右侧窗口中找到并双击账户:重命名来宾账户。

在弹出的对话框空白栏中将Guest改为其他名字(字母组合即可)，比如zolvista。

修改完毕后，保存设置退出组策略器。此后，即可以避免黑客直接Guest，也不会影响互连互通，一举两得!

杀完毒后，开机会出现一个对话框，提示如下：

开机加载错误

出现这样的提示，说明不是这个文件没有得到清除，就是虽然清除了但因为其注册表里信息还在导致了开机加载错误。

你可以分别用下面2个方法清理下

方法一：

用这个软件到安全模式下去处理试试：

按杀毒软件提供的路径，记下来

1.下载一个软件：冰刃()

这是一个绿色软件，下载解压缩后即可使用。

点击：进程 逐个右击右侧的进程－－模块信息，仔细查看这个dll到底对哪些进程进行了插入（特别是那些系统进程），尝试用右侧的“强制解除”试试，能不能将这个dll文件从进程中解除出来（可能会碰上在某个进程中强制解除时机器会重启的现象,如果出现这种情况，相对就麻烦了。还需要用到一些其它的软件了，这里就不说了）。

2.在冰刃左侧的栏里通过“文件”直接定位到这个文件所在的文件夹下，找到这个文件（木马文件一般在system32下）

3.通过按钮“创建时间”对这个文件夹下的文件进行排序，仔细查看与这个文件在创建时间是同一天的所有文件（但是不是都是与它一样是病毒文件，需要你判断）。右击它们一一删除。

4.搜索注册表里这些文件的键值，删除搜索到的。

5.重启电脑，这个东西应该清除干净了。

方法二：

开机加载错误，可能是这个dll因为某些原因（最大的可能是因为它是个病毒文件，被杀软删除了）丢失了，但其相关的注册信息却还在，导致系统开机时还加载它，却又找不到它的文件，所以报错。

如果你点击“确定”后，系统没有什么不正常，并且可以正常运行的话，你可以用这个软件清理掉这个开机加载项，以后开机就不会出现这个信息了。

Autoruns：开机启动项管理

hide toolz软件中的rootkit是病毒吗，每次一使用它时，360就说有这个木马要攻击

rootkit 是一种很强的后门工具，具有很强的权限，能够隐藏指定的（包括自身）进程名、端口名、注册表名、文件夹内容、远程上传、借用端口等功能，是很好的木马辅助工具，所以也可以说是木马工具。毕竟要通过改写内存的内部参数来实现效果，自然会被360查杀。 但是也不排除你的 rootkit 里面有别人的后门，要小心使用。不放心的话可以去下载“黑客之门”。PS：“hide toolz”意思是 “隐藏 工具”