解析rootkit远控的生存能力 (开启root远程访问权限)

无意间发现了一款自称是rootkit的远控，就试了一下感觉非常不错。有关木*配置及运用我就不多说了，既然是rootkit，那我们就来看看它的生存能力如何。　　首先生成一个服务端，生成后双击运行，安全卫士没有任何反应。然后我们看到木马上线了。打开Xuetr，这时提示程序试图加载驱动Xuetr.sys，我们点击允许。通过Xuetr，我们发现*中多了一个驱动sfcp.sys，且这个sfcp.sys还挂钩了SSDT中的NtDeviceIoControIFile函数（我对内核函数了解不多，不知道hook这个函数有什么作用，从名字上看像是一个与文件有关的函数，还请高手帮忙解释下）。这足以证明木马成功突破了安全卫士驱动防御。

整理分享解析rootkit远控的生存能力 (开启root远程访问权限)，希望有所帮助，仅作参考，欢迎阅读内容。

内容相关其他词:远程root软件,远程root有风险吗,开启root远程访问权限,远程root有风险吗,root远程控制,开启root远程访问权限,开启root远程访问权限,root远程控制,内容如对您有帮助，希望把内容链接给更多的朋友！

　　接下来我们运用禹盾HIPS进行测验。双击运行木马，禹盾弹出一些有关进程的提示，我们都点击允许。接下来到了最关键的地方，禹盾弹出一条提示，询问是否允许加载驱动sfcp.sys，不过动作宿主已经变成了services.exe。可见木*精明，利用*进程来加载自己的驱动。我们点击禁止加载此驱动。木马依然正常上线。打开xuetr查看，驱动没有被加载，函数也没有被挂钩。重新启动后，木马依然上线。打开xuetr，发现这次sfcp.sys已经躺在那里了，NtDeviceIoControlFile也被hook了。看来木马很顽强，利用意志战胜了禹盾。　　检验一个木*生存能力最好的方式就是查杀。我首先解除了木马对NtDeviceIoControlFile的hook，然后删除了sfcp.sys（文件和注册表），接着卸载了木马寄生在explorer.exe里的Sysldt.dll模块。重新启动电脑后，木马还很顽强，又上线了。我打开xuetr一看，驱动是没有恢复，但是Sysldt.dll模块却恢复了。查看端口，发现木马正利用svchost.exe通信。查看所有svchost.exe进程，均没有发现可疑模块。这次我先删除Sysldt.dll模块文件，再卸载模块，最后重新启动电脑，木马终于被清除干净了。　　由此可见，这个木*确是一个不一般的木马。由于我用的是pojie版，所以不需要注册就可以享受所有功能。在此把这个好马提供给大家。