Rootkit是一個或者多個用于隱藏、控制一臺計算機的工具包，該技術被越來越多地應用于一些惡意軟件中。在基于Windows的系統中Rootkit更多地用于隱藏程序或進程，系統被注入Rootkit后就可以在不為用戶察覺的情況下進行某些操作。因此，其隱蔽性極高，危害也極大。下面筆者結合實例解析RootKit及其反RooKit技術。

　　實驗環境：Windows XP SP2

　　工具：

　　Hacker defende(RootKit工具)

　　RootKit Hook Analyzer(RootKit分析工具)

　　IceSword(冰刃)

　　一、RootKit

　　筆者以用RootKit進行管理員高級隱藏為例，解析RootKit技術。超級隱藏的管理員用戶。

　　1、創建帳戶

　　在命令提示符(cmd.exe)下輸入如下命令：

　　net user gslw$ test168 /add

　　通過上面的兩行命令建立了一個用戶名為gslw$，密碼為test168的普通用戶。為了達到初步的隱藏我們在用戶名的后面加了“$”號，這樣在命令提示符下通過net user是看不到該用戶的，當然在“本地用戶和組”及其注冊表的“SAM”項下還可以看到。(圖1)

　　2、用戶提權

　　下面我們通過注冊表對gslw$用戶進程提權，使其成為一個比較隱蔽(在命令行和“本地用戶和組”中看不到)的管理員用戶。

　　第一步：打開注冊表編輯器，定位到HKEY_LOCAL_MACHINESAMSAM項。由于默認情況下管理員組對SAM項是沒有操作權限的，因此我們要賦權。右鍵點擊該鍵值選擇“權限”，然后添加“administrators”組，賦予其“完全控制”權限，最后刷新注冊表，就能夠進入SAM項下的相關鍵值了。

　　第二步：定位到注冊表HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers項，點擊“000001F4”

　　注冊表項，雙擊其右側的“F”鍵值，復制其值，然后點擊“00000404”注冊表項(該項不一定相同)，雙擊其右側的“F”鍵值，用剛才復制鍵值進行替換其值。(圖2)

　　第三步：分別導出gslw$、00000404注冊表項為1.reg和2.reg。在命令行下輸入命令"net user gslw$ /del"刪除gslw$用戶，然后分別雙擊1.reg和2.reg導入注冊表，最后取消administrators對SAM注冊表項的訪問權限。

　　這樣就把gslw$用戶提升為管理員，并且該用戶非常隱蔽，除了注冊表在命令下及“本地用戶和組”是看不到的。這樣的隱藏的超級管理員用戶是入侵者經常使用的，對于一個水平不是很高的管理員這樣的用戶他是很難發現的。這樣的用戶他不屬于任何組，但卻有管理員權限，是可以進行登錄的。

　　3、高級隱藏用戶

　　綜上所述，我們創建的gslw$用戶雖然比較隱蔽，但是通過注冊表可以看見。下面我們利用RootKit工具進行高級隱藏，即在注冊表中隱藏該用戶。

　　在Hacker defende工具包中也很多工具，我們隱藏注冊表鍵值只需其中的兩個文件，hxdef100.exe和

　　hxdef100.ini。其中hxdef100.ini是配置文件，hxdef100.exe是程序文件。打開hxdef100.ini文件定位到[Hidden RegKeys]項下，添加我們要隱藏的注冊表鍵值gslw$和00000404即用戶在注冊表的項然后保存退出。(圖3)

　　然后雙擊運行hxdef100.exe，可以看到gslw$用戶在注冊表中的鍵值“消失”了，同時這兩個文件也“不見”了。這樣我們就利用RootKit實現了高級管理員用戶的徹底隱藏，管理員是無從知曉在系統中存在一個管理員用戶的。(圖4)

　　二、反RootKit

　　那是否意味著我們就無能為力呢?俗話說“邪不勝正”，與RootKit就有反RootKit。我們就以該管理員為例進行演示。

　　1、RootKit Hook Analyzer驅動分析

　　RootKit Hook Analyzer是一款Rookit分析查詢工具，利用它可以掃描分析出系統中存在的RooKit程序。該工具是英文程序，安裝并運行點擊其界面中下方的“Analyze”按鈕就可以進行掃描分析，列出系統中的RooKit程序，勾選“Show hooked services only”就可以進行篩選值列出RooKit services。(圖5)

　　2、IceSword進程查看

　　運行IceSword，點擊“進程”按鈕，就可以列出當前系統中的進程，其中紅色顯示的是可疑進程。我們可以看到hxdef100.exe進程赫然其中，這真是我們剛才運行的RootKit。在該進程上點擊右鍵選擇“結束”進程。這時hxdef100.exe和hxdef100.ini文件顯身了，再刷新并查看注冊表，剛才消失的兩個鍵值有重現了。(圖6)

　　3、專業工具查殺

　　利用IceSword進行RooKit的分析和并結束其進程不失為反RooKit的一種方法，但有的時候冰刃并不能分析出RootKit，因此我們就要比較專業的工具。比如卡巴斯基、超級巡警等都是不錯的選擇。(圖7)

　　總結：本文以利用RootKit工具進行帳戶的隱藏為例解析了其基本的運行機制，并結合上面的實例演示了反RootKit的方法。當然，RootKit的形式是非常多樣的，但是其原理和防范措施都大同小異，希望這篇文章對大家防范RootKit有所幫助。