黑客入侵检测软件_黑客软件入侵软件下载
瑞星杀毒软件的历史版本
瑞星全功能安全软件2009版
瑞星全功能安全软件(Rising Inter Security)简称RIS.瑞星2009版本增加了一个套装,使用它可以更好地减少系统的占用资源。
瑞星全功能安全软件包含防火墙和杀毒软件。
真正做到一个软件两种防御的能力,既可以防御网络的攻击,也可以保障信息的安全。
最重要的一点就是全功能安全套装对网络有特定的针对性。
它可以实现防火墙与杀毒软件紧密合作。
全功能安全软件2009的设置中有一个“入侵检测”。
它既需要防火墙的功能,也需要杀毒软件的功能。
入侵检测主要针对网络攻击,如2003蠕虫王攻击、灰鸽子、黑洞远程控制等。
真正地运用了防火墙的防御功能,以及杀毒软件的防毒抵御。
瑞星杀毒软件2009
瑞星杀毒软件(Rising Anti-Virus)简称RAV 。
瑞星杀毒软件2009相对于2008版本,变化也非常大。
杀毒方面:如09界面新增了“快速查杀”。
可以快速查杀内存、引导区和系统文件夹等重要区域。
监控方面:09版的瑞星监控更加强大,真正做到主动防御的能力。
如新增自我保护,把“U盘监控”设置得更加广泛和安全,直接把“U盘监控”修改成“木马入侵拦截”。
并且把移动媒体、网络盘、光盘纳入“木马入侵拦截”身上。
真正做到主动防御的成效。
监控模式方面:2009版的瑞星杀毒软件增加了“静默模式”和“常规模式”。
“静默模式”真正让用户轻松使用电脑,不用被杀毒软件的提示妨碍、不用因为选择错误而烦恼。
瑞星的自我判断能力能够帮助你轻松解决病毒的入侵。
查杀方面:以往的瑞星杀毒软件,只要进行扫描的时候,如果设置由用户选择,扫描一旦发现病毒时,必定暂停杀毒,并且提示用户选择清除模式。
但是09版的瑞星杀毒软件真正做到了提示和扫描同时进行。
真正让杀毒软件工作,并且可以让用户选择。
另外,还可以一次性统一查杀病毒。
程序动作监控方面:以外的瑞星只提供了注册表和文件访问的监控,因此实际使用起来,并不方便。
而在新版瑞星2009中,这一功能被大大加强。
在新功能的帮助下,除了能够像老版本一样,快速完成注册表、文件访问、子程序启动等方面的监控限制,还可以通过新增加的“系统动作控制”,对“摄像头使用”、“全局挂钩”、“驱动加载”、“修改系统时间”、“软件关机”等进行专项监控,大大提高了程序监控的实用价值。
瑞星防火墙2009
瑞星防火墙(Rising Firewall)简称RFW。
瑞星防火墙一直一来都是防御能力非常强的。
瑞星防火墙2009除了融入“云安全”的计划以外,防御能力也更加强大。
瑞星2009防火墙已经拥有了某些防水墙的能力,但是它碰到的问题和HIPS系统加固一样用户面对防火墙弹出的交互对话时用户如何分辨那些可以放心那些不可以,虽然瑞星的防火墙对话框可以显示DLL等的签名是否认证,但是要想用户通过这个来分析和判断是否放行程序的对外链接显然不现实(FF等很多程序都无法识别签名)。
换句话说2009防火墙虽然具备某些防水墙的功能但是它的安全性提高只是在理论层面上,因为只有用户能合理准确放行或拒绝这些对外链接理论上的安全才会发挥现实的作用。
瑞星杀毒软件2008版
整体防御体系主动防御
瑞星杀毒软件2008版,在延续瑞星功能强大的整体防御体系同时,率先使用主动防御技术:行为检测、隐藏进程检测、IE功能调用拦截、应用程序访问控制。
对实时监控系统做了重大改进,采用三层主动防御策略,能够主动防御未知病毒,有效抵御各种网络威胁的入侵,智能化、人性化的安全策略,大大减少用户对危险行为的判定,有效应对未知病毒的肆虐,从容面对各种网络威胁。
针对目前流行的网络病毒日益庞大,黑客攻击日益频繁,瑞星首先使用即时升级策略,使病毒库保持最新,更有效的抵御网络威胁。
全新木马强杀技术,彻底查杀100余万种木马病毒。
并集成了强悍账号保险柜功能,保护百余种网游、网银、聊天、股票等软件,是互联网时代保护计算机系统安全的必备工具。
瑞星杀毒软件2007版
整体防御体系立体防护
瑞星杀毒软件2007版,是瑞星推出的功能强大的整体防御体系,从容面对各种网络威胁。
针对目前流行的网络病毒和黑客攻击研制开发。
采用第八代虚拟机脱壳引擎(VUE),病毒库减小1/3,极大降低资源消耗,快速查杀各类病毒、木马。
Startup Scan 独占式抢先杀毒,对未知病毒、变种病毒、黑客木马、恶意网页程序、间谍程序快速杀灭的能力大大增强。
内嵌木马墙,保护网游、银行、QQ账号,根除恶意软件、流氓软件,拦截钓鱼网站、恶意网站,是互联网时代保护计算机系统安全的必备工具。
瑞星杀毒软件2006版
网络威胁粉碎机
瑞星杀毒软件2006版,是采用最新技术开发的新一代信息安全产品。
使用第七代极速引擎,查杀毒速度提升30%,对各种网络病毒、木马、黑客攻击具有全面的查杀和防御能力,能够快速杀灭已知病毒、未知病毒、黑客木马、恶意网页、间谍程序等各种有害程序。
同时提供漏洞扫描、系统修复、硬盘备份、木马墙、账号保护等各种功能,配合随时在线升级和在线门诊服务,是互联网时代保护个人信息安全的必备工具软件。
瑞星杀毒软件2005版
8合1套装
瑞星杀毒软件2005版,是针对目前流行的网络病毒和黑客攻击研制开发的全新产品。
全新的第六代模块化智能反病毒引擎,对未知病毒、变种病毒、黑客木马、恶意网页程序、间谍程序快速杀灭的能力大大增强。
软件采用全新的体系结构,拥有及时便捷的升级服务和技术支持,是互联网时代保护计算机系统安全的必备工具。
瑞星杀毒软件2004版
PC安全新标准
瑞星杀毒软件2004版,是针对目前流行的网络病毒研制开发的最新产品,全新的病毒查杀引擎和多项最新技术电话应用,有效提升对位置病毒、变种病毒、黑客木马、恶意网页等新型病毒的查杀能力,在降低系统资源消耗、提升查杀毒速度、快速智能升级等多方面进行了改进,是保护计算机系统安全的必备工具软件。
瑞星杀毒软件2003版
网络病毒粉碎机
瑞星杀毒软件2003版,是专门针对目前流行的网络病毒研制开发产品,多项最新技术的应用,有效提升对未知病毒、变种病毒、黑客木马、恶意网页等新型病毒的查杀能力,在降低系统资源消耗、提升查杀毒速度、快速智能升级等多方面进行了改进,是保护计算机系统安全的必备工具软件。
瑞星杀毒软件2002增强版
概述:2002增强版在2002版突破性的国际专利技术基础上,又取得了一些关键性的技术突破,尤其是对未知邮件病毒具有极强的查杀能力和邮件泄密防范功能。
全新的邮件病毒防范体系使得用户能够更加方便、有效地使用杀毒软件, 从根本上扼制了邮件病毒的大规模传播和邮件泄密问题,从而确保用户的信息安全。
带有未知邮件病毒防范功能的高效增强型邮件病毒监控功能
用户友善的智能化邮件泄密拦截系统
恶意网页监控系统
内存监控系统
2002版继承来的优异功能特点
瑞星杀毒软件2002版
国际专利行为判断查杀未知病毒
全球监测查杀6万种已知病毒
前置式无毒收件箱
闪电智能升级
高效数据拯救
无忧个人防火墙
独创内存杀毒采用实时内存监控技术
DOS版本支持NT/2000系统
瑞星杀毒软件2001版
邮件系统实时保护
支持众多压缩格式
病毒隔离系统
瑞星杀毒软件千禧世纪版
提供智能的病毒实时监控(防火墙)功能
定时查杀病毒功能
智能升级
其他版本
瑞星杀毒软件99世纪版
瑞星杀毒软件98标准版
瑞星杀毒软件OEM版
什么杀毒软件能检测电脑被监视?
您好,亲,请按照以下步骤操作。
一.安装腾讯电脑管家。腾讯电脑管家官网
二.使用腾讯电脑管家对您的电脑进行全盘的查杀。
三.对您的电脑进行漏洞修复,开启电脑防护等操作。
腾讯电脑管家企业平台:
360检测非法网站安全吗
是的,360检测可以帮助您检测非法网站,并且可以提供安全保护。360检测可以帮助您检测网站中的恶意代码,以及检测网站是否存在漏洞,以及检测网站是否被黑客入侵。此外,360检测还可以帮助您检测网站是否存在恶意广告,以及检测网站是否存在木马病毒等安全隐患。因此,360检测可以为您提供全面的安全保护,让您的网站更加安全可靠。
火绒杀毒软件怎样打开对外攻击检测功能?
随着企业业务对网络的依赖不断加大,企业对于网络安全的重视程度也在不断提升,但近年来各种网络攻击可以说是屡禁不止,且大有愈演愈烈之势。木马病毒、安全漏洞、勒索软件等一个个耳熟能详的名词成为企业的“噩梦”。
面对不断恶化的网络安全形势,不少企业都纷纷寻求行之有效的网络安全防御工具和方式,但面对纷杂的网络安全市场无从下手。一众病毒查杀软件大都为用户所诟病,类似于“流氓式”的捆绑销售、广告弹窗让用户烦不胜烦。小编一直在想,有没有一款软件能够真正做到纯粹、专注的病毒查杀呢?偶然的机会小编自家IT168的文章页的一条小广告吸引了我:
火绒安全我知道,就在前不久其宣布正式进军to B安全市场,发布火绒首款企业级安全产品——火绒终端安全管理系统1.0,我想我要的真正专注安全的企业软件来了!
申请试用
根据官网消息,火绒最新发布的企业级安全产品将面向全部企业开放三个月的免费试用期,这么大的“便宜”小编自然不会放过,自然是第一时间点开了试用申请界面(点击文末“了解更多”申请试用):
进入试用申请界面,按照要求填写企业信息和联系人信息,并进行验证并点击提交。
提交完成后,火绒安全会发送一封邮件到联系人邮箱,打开邮箱按照要求点击“确认”按键即跳转至下一界面。
此时会发现试用申请已提交完成,到了这一步用户只需要保持联系方式畅通的情况下等待即可。
服务器端部署
试用申请信息审核通过后,火绒或通过手机短信和邮件的形式进行反馈,给到试用产品序列号和密码,点击登录地址即完成跳转。
跳转到登录界面后,输入邮件显示的序列号和密码进行登录。
登录成功后,出现授权信息界面,按照要求点击“下载安装包”即可完成服务器端安装包的下载,此外按照提示点击“下载授权文件”(后面用的到)。
下载完安装包后进行安装,勾选“打开配置向导工具”并点击确定完成安装,跳转到配置界面。
界面跳转后,运行配置工具进行地址、端口等配置,并对超级管理员密码进行修改。
修改完成后点击保存,服务会自动进行重启。
服务重启后,浏览器会自动进行web后台管理界面,在管理界面有客户端下载按钮,可以为企业员工下载客户端软件。输入用户名和密码点击登录即可进入配置界面。(默认用户名为admin,密码为修改后的超级管理员密码)。
进入后台界面会发现授权状态显示未授权,此时刚刚下载的授权文件派上了用场。
将提前下载好的授权文件进行更新,即可完成授权,授权后显示授权终端数及剩余天数。
至此,火绒火绒终端安全管理系统1.0服务器端初始化部署基本完成,想关注更多服务器端配置内容,后期将会继续更新。
客户端部署
部署完服务器端再来对客户端进行部署。
首先回到之前的登录界面点击下载客户端完成下载。
下载完成后运行客户端安装包。(管理控制中心的IP或域名、端口如有变化,将安装包名称后半部分中带有的IP或域名、端口地址更换为管理控制中心IP或域 名、端口。)
安装完成后,客户端会自动与服务器端的控制中心进行连接。
在管理工具界面下载域部署工具,并且在域服务器上部署开机或者登录脚本,即 可对域内用户完成自动安装部署。
由此看来,无论是服务器端还是客户端,其部署安装都十分便捷,能够给用户带来很好的部署体验,那在功能方面火绒终端安全管理系统1.0又有着怎样的表现呢?
功能介绍
在软件功能方面,火绒终端安全管理系统1.0可谓是一应俱全,根据官方介绍显示,其功能主要包括以下几个方面:
●病毒查杀:病毒查杀是安全软件的基础功能。用户主动扫描即可检测电脑中是否存在病毒、木马等威胁。当用户使用病毒查杀功能,火绒终端安全管理系统将通过自主研发的反病毒引擎高效扫描系统文件,及时发现病毒、木马,并高效处理清除相关威胁。
●终端管理:通过终端管理功能,管理员可以自由分组管理终端电脑,并对所有或个别终端进行扫描病毒、发送消息、关机、重启等多种操控。终端接到控制中心下发的查杀指令后,将在后台自动进行扫描任务,终端接到控制中心发送的消息时,会用弹窗提示。
●防护策略管理:管理员可以查看所有终端的防护策略现状,并为指定终端设置相应的防护策略,使终端能够自动处理威胁事件。部署防护策略的实质是调控终端防护中心模块的各个项目,包括:文件实时监控、恶意行为监控、U盘保护、下载保护、邮件监控、系统加固、软件安装拦截、浏览器保护、黑客入侵防御、对外攻击检测、恶意网站拦截等。
●文件管理:管理员不仅可以查看所有终端的软件安装情况,还可以要求终端卸载某软件。除此之外,管理员可以通过文件下发功能,向指定终端下发某文件,或推送安装某软件。
●漏洞修复:管理员可以查看所有终端的漏洞情况,包括高危漏洞、功能漏洞以及忽略漏洞,对终端进行统一的漏洞扫描以及修复任务,保障终端安全。
●事件日志:管理员可以按详情、终端两种排序方式,以病毒防御、系统防御、网络防御、历史任务四个标签查看某段时间发生的全部事件,包括文件监控、邮件监控、恶意行为监控等。管理员可以自由设置所要查看的终端分组和时间段,并搜索想要的关键词,用来分析终端电脑的安全状况非常方便。
●管理工具:管理员可以在管理工具页面看到日志数据大小,并及时清理日志。也可以统一部署软件,向域用户强制推送安装火绒终端安全软件。
●账号管理:可以通过“超级管理员”账户,添加、管理“管理员”账户,给其他“管理员”授权操作模块的权限,令其协助管理控制中心以及终端。
可以说,作为企业级病毒查杀软件来讲,火绒终端安全管理系统1.0能够很好的满足用户的安全需求。
简单快捷的安装部署,完备的安全功能,对于企业来讲这就是最好的安全选择,目前火绒安全企业级产品面向所有机构用户推行90天免费试用活动,有兴趣的小伙伴可以进行试用申请。
Rootkit病毒是什么?
rootkit 在网络安全中经常会遇到rootkit,NSA安全和入侵检测术语字典( NSA Glossary of Terms Used in Security and Intrusion Detection)对rootkit的定义如下:A hacker security tool that captures passwords and message traffic to and from a computer. A collection of tools that allows a hacker to provide a backdoor into a system, collect information on other systems on the network,mask the fact that the system is compromised, and much more. Rootkit is a classic example of Trojan Horse software. Rootkit is available for a wide range of operating systems.
好多人有一个误解,他们认为rootkit是用作获得系统root访问权限的工具。实际上,rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。通常,攻击者通过远程攻击获得root访问权限,或者首先密码猜测或者密码强制破译的方式获得系统的访问权限。进入系统后,如果他还没有获得root权限,再通过某些安全漏洞获得系统的root权限。接着,攻击者会在侵入的主机中安装rootkit,然后他将经常通过rootkit的后门检查系统是否有其他的用户登录,如果只有自己,攻击者就开始着手清理日志中的有关信息。通过rootkit的嗅探器获得其它系统的用户和密码之后,攻击者就会利用这些信息侵入其它的系统。
什么是rootkit
Rootkit是指其主要功能为隐藏其他程式进程的软件,可能是一个或一个以上的软件组合;广义而言,Rootkit也可视为一项技术。最早Rootkit用于善意用途,但后来Rootkit也被黑客用在入侵和攻击他人的电脑系统上,电脑病毒、间谍软件等也常使用Rootkit来隐藏踪迹,因此Rootkit已被大多数的防毒软件归类为具危害性的恶意软件。Linux、Windows、Mac OS等操作系统都有机会成为Rootkit的受害目标。
[1]Rootkit出现于二十世纪90年代初,在1994年2月的一篇安全咨询报告中首先使用了rootkit这个名词。这篇安全咨询就是CERT-CC的CA-1994-01,题目是Ongoing Network Monitoring Attacks,最新的修订时间是1997年9月19日。从出现至今,rootkit的技术发展非常迅速,应用越来越广泛,检测难度也越来越大。
rootkit介绍Rootkit是一种奇特的程序,它具有隐身功能:无论静止时(作为文件存在),还是活动时,(作为进程存在),都不会被察觉。换句话说,这种程序可能一直存在于我们的计算机中,但我们却浑然不知,这一功能正是许多人梦寐以求的——不论是计算机黑客,还是计算机取证人员。黑客可以在入侵后置入Rootkit,秘密地窥探敏感信息,或等待时机,伺机而动;取证人员也可以利用Rootkit实时监控嫌疑人员的不法行为,它不仅能搜集证据,还有利于及时采取行动。!
一、背景知识
我们通常所说的智能机器,大至超级计算机,中到个人PC,小至智能手机,通常都有两部分组成:硬件和软件。并且,设备的智能是通过软件来实现的。所有软件中,有一种是必不可少的,那就是操作系统。操作系统可以简单理解为一组高度复用的核心程序,一方面,它要管理低层的硬件设备,另一方面,为上层其它程序提供一个良好的运行环境。真是同人不同命,同为软件,操作系统却享有至高无上的特权:它不仅管理硬件,而且其他所有软件也都受制于它。
因为在应用程序和硬件之间隔着操作系统,所以应用程序不能直接访问硬件,而是通过调用操作系统提供的接口来使用硬件。也就是说,对应用程序而言,硬件是不可见的。当然,凡事是没有绝对的,应用程序绕过操作系统来直接访问硬件也不是不可能的,但这样做会付出高昂的代价。设想一个软件开发商在开发一款功能丰富的软件,功能本身就够他头痛得了,现在他还得操心某个数据在某个磁道的某个簇上,某个字符在某品牌显示器上的颜色的二进制代码等等繁琐的事情,不用说财力和物力,单说开发周期就是无法容忍的。所以,现在的应用程序都是使用操作系统提供的简单明了的服务来访问系统的,因为毕竟没有谁愿意自讨苦吃。
二、内核的主要功能
从上文中我们已经了解,内核在系统中处于核心枢纽的地位,下面我们具体介绍内核中与Rootkit紧密相关的几个主要功能,更重要的是这些功能对Rootkit的意义所在:
进程管理。进程可以简单理解为运行中的程序,它需要占用内存、CPU时间等系统资源。现在的操作系统大多支持多用户多任务,也就是说系统要并行运行多个程序。为此,内核不仅要有专门代码来负责为进程或线程分配CPU时间,另一方面还要开辟一段内存区域存放用来记录这些进程详细情况的数据结构。内核是怎么知道系统中有多少进程、各进程的状态等信息的?就是通过这些数据结构,换句话说它们就是内核感知进程存在的依据。因此,只要修改这些数据结构,就能达到隐藏进程的目的。
文件访问。文件系统是操作系统提供的最为重要的功能之一。内核中的驱动程序把设备的柱面、扇区等原始结构抽象成为更加易用的文件系统,并提供一个一致的接口供上层程序调用。也就是说,这部分代码完全控制着对硬盘的访问,通过修改内核的这部分代码,攻击者能够隐藏文件和目录。
安全控制。对大部分操作系统来说,因为系统中同时存在多个进程,为了避免各进程之间发生冲突,内核必须对各进程实施有效的隔离措施。比如,在MS-Windows系统中,每个进程都被强制规定了具体的权限和单独的内存范围。因此,对攻击者而言,只要对内核中负责安全事务的代码稍事修改,整个安全机制就会全线崩溃。
内存管理。现在的硬件平台(比如英特尔的奔腾系列处理器)的内存管理机制已经复杂到可以将一个内存地址转换成多个物理地址的地步。举例来说,进程A按照地址 0x0030030读取内存,它得到值的是“飞机”;然而,进程B也是按照同样的地址0x0030030来读取内存,但它取得的值却是“大炮”。像上面这样,同一个地址指向截然不同的两个物理内存位置,并且每个位置存放不同的数据这种现象并不足以为怪——只不过是两个进程对虚拟地址到物理地址进行了不同的映射而已。如果这一点利用好了,我们可以让Rootkit躲避调试程序和取证软件的追踪。
上面介绍了内核的主要功能,以及它们对 Rootkit的重大意义。说到这里,我们就要切入正题了,即:只要我们颠覆(即修改)了操作系统的核心服务(即内核),那么整个系统包括各种应用就完全处于我们的掌控之下了。要想颠覆内核,前提条件是能把我们的代码导入内核。
其中针对SunOS和Linux两种操作系统的rootkit最多(树大招风:P)。所有的rootkit基本上都是由几个独立的程序组成的,一个典型rootkit包括:
1 以太网嗅探器程程序,用于获得网络上传输的用户名和密码等信息。
2 特洛伊木马程序,例如:inetd或者login,为攻击者提供后门。
3 隐藏攻击者的目录和进程的程序,例如:ps、netstat、rshd和ls等。
4 可能还包括一些日志清理工具,例如:zap、zap2或者z2,攻击者使用这些清理工具删除wtmp、utmp和lastlog等日志文件中有关自己行踪的条目。
一些复杂的rootkit还可以向攻击者提供telnet、shell和finger等服务。
还包括一些用来清理/var/log和/var/adm目录中其它文件的一些脚本。
攻击者使用rootkit中的相关程序替代系统原来的ps、ls、netstat和df等程序,使系统管理员无法通过这些工具发现自己的踪迹。接着使用日志清理工具清理系统日志,消除自己的踪迹。然后,攻击者会经常地通过安装的后门进入系统查看嗅探器的日志,以发起其它的攻击。如果攻击者能够正确地安装rootkit并合理地清理了日志文件,系统管理员就会很难察觉系统已经被侵入,直到某一天其它系统的管理员和他联系或者嗅探器的日志把磁盘全部填满,他才会察觉已经大祸临头了。但是,大多数攻击者在清理系统日志时不是非常小心或者干脆把系统日志全部删除了事,警觉的系统管理员可以根据这些异常情况判断出系统被侵入。不过,在系统恢复和清理过程中,大多数常用的命令例如ps、df和ls已经不可信了。许多rootkit中有一个叫做FIX的程序,在安装rootkit之前,攻击者可以首先使用这个程序做一个系统二进制代码的快照,然后再安装替代程序。FIX能够根据原来的程序伪造替代程序的三个时间戳(atime、ctime、mtime)、date、permission、所属用户和所属用户组。如果攻击者能够准确地使用这些优秀的应用程序,并且在安装rootkit时行为谨慎,就会让系统管理员很难发现。
LINUX ROOTKIT IV
前面说过,大部分rootkit是针对Linux和SunOS的,下面我们介绍一个非常典型的针对Linux系统的rootkit--Linux Rootkit IV。Linux Rootkit IV是一个开放源码的rootkit,是Lord Somer编写的,于1998年11月发布。不过,它不是第一个Linux Rootkit,在它之前有lrk、lnrk、lrk2和lrk3等Linux Rootkit。这些rootkit包括常用的rootkit组件,例如嗅探器、日志编辑/删除工具、和后门程序的。
经过这么多年的发展,Linux Rootkit IV功能变的越来越完善,具有的特征也越来越多。不过,虽然它的代码非常庞大,却非常易于安装和使用,只要执行make install就可以成功安装。如果你还要安装一个shadow工具,只要执行make shadow install就可以了。注意:Linux Rootkit IV只能用于Linux 2.x的内核。下面我们简单地介绍一下Linux Rootkit IV包含的各种工具,详细的介绍请参考其发布包的README文件。
隐藏入侵者行踪的程序
为了隐藏入侵者的行踪,Linux Rootkit IV的作者可谓煞费心机,编写了许多系统命令的替代程序,使用这些程序代替原由的系统命令,来隐藏入侵者的行踪。这些程序包括:
ls、find、du
这些程序会阻止显示入侵者的文件以及计算入侵者文件占用的空间。在编译之前,入侵者可以通过ROOTKIT_FILES_FILE设置自己的文件所处的位置,默认是/dev/ptyr。注意如果在编译时使用了SHOWFLAG选项,就可以使用ls -/命令列出所有的文件。这几个程序还能够自动隐藏所有名字为:ptyr、hack.dir和W4r3z的文件。
ps、top、pidof
这几个程序用来隐藏所有和入侵者相关的进程。
netstat
隐藏出/入指定IP地址或者端口的网络数据流量。
killall
不会杀死被入侵者隐藏的进程。
ifconfig
如果入侵者启动了嗅探器,这个程序就阻止PROMISC标记的显示,使系统管理员难以发现网络接口已经处于混杂模式下。
crontab
隐藏有关攻击者的crontab条目。
tcpd
阻止向日志中记录某些连接
syslogd
过滤掉日志中的某些连接信息
木马程序
为本地用户提供后门,包括:
chfn
提升本地普通用户权限的程序。运行chfn,在它提示输入新的用户名时,如果用户输入rookit密码,他的权限就被提升为root。默认的rootkit密码是satori。
chsh
也是一个提升本地用户权限的程序。运行chsh,在它提示输入新的shell时,如果用户输入rootkit密码,他的权限就被提升为root。
passwd
和上面两个程序的作用相同。在提示你输入新密码时,如果输入rookit密码,权限就可以变成root。
login
允许使用任何帐户通过rootkit密码登录。如果使用root帐户登录被拒绝,可以尝试一下rewt。当使用后门时,这个程序还能够禁止记录命令的历史记录。
木马网络监控程序
这些程序为远程用户提供后门,可以向远程用户提供inetd、rsh、ssh等服务,具体因版本而异。随着版本的升级,Linux Rootkit IV的功能也越来越强大,特征也越来越丰富。一般包括如下网络服务程序:
inetd
特洛伊inetd程序,为攻击者提供远程访问服务。
rshd
为攻击者提供远程shell服务。攻击者使用rsh -l rootkitpassword host command命令就可以启动一个远程root shell。
sshd
为攻击者提供ssh服务的后门程序。
工具程序
所有不属于以上类型的程序都可以归如这个类型,它们实现一些诸如:日志清理、报文嗅探以及远程shell的端口绑定等功能,包括:
fix
文件属性伪造程序
linsniffer
报文嗅探器程序。
sniffchk
一个简单的bash shell脚本,检查系统中是否正有一个嗅探器在运行。
wted
wtmp/utmp日志编辑程序。你可以使用这个工具编辑所有wtmp或者utmp类型的文件。
z2
utmp/wtmp/lastlog日志清理工具。可以删除utmp/wtmp/lastlog日志文件中有关某个用户名的所有条目。不过,如果用于Linux系统需要手工修改其源代码,设置日志文件的位置。
bindshell rootkit
在某个端口上绑定shell服务,默认端口是12497。为远程攻击者提供shell服务。
如何发现rootkit
很显然,只有使你的网络非常安全让攻击者无隙可乘,才能是自己的网络免受rootkit的影响。不过,恐怕没有人能够提供这个保证,但是在日常的网络管理维护中保持一些良好的习惯,能够在一定程度上减小由rootkit造成的损失,并及时发现rootkit的存在。
首先,不要在网络上使用明文传输密码,或者使用一次性密码。这样,即使你的系统已经被安装了rootkit,攻击者也无法通过网络监听,获得更多用户名和密码,从而避免入侵的蔓延。
使用Tripwire和aide等检测工具能够及时地帮助你发现攻击者的入侵,它们能够很好地提供系统完整性的检查。这类工具不同于其它的入侵检测工具,它们不是通过所谓的攻击特征码来检测入侵行为,而是监视和检查系统发生的变化。Tripwire首先使用特定的特征码函数为需要监视的系统文件和目录建立一个特征数据库,所谓特征码函数就是使用任意的文件作为输入,产生一个固定大小的数据(特征码)的函数。入侵者如果对文件进行了修改,即使文件大小不变,也会破坏文件的特征码。利用这个数据库,Tripwire可以很容易地发现系统的变化。而且文件的特征码几乎是不可能伪造的,系统的任何变化都逃不过Tripwire的监视(当然,前提是你已经针对自己的系统做了准确的配置:P,关于Tripwire和aide的使用请参考本站的相关文章)。最后,需要能够把这个特征码数据库放到安全的地方。
Rootkit 是一种特殊类型的 malware(恶意软件)。Rootkit 之所以特殊是因为您不知道它们在做什么事情。Rootkit 基本上是无法检测到的,而且几乎不可能删除它们。虽然检测工具在不断增多,但是恶意软件的开发者也在不断寻找新的途径来掩盖他们的踪迹。
Rootkit 的目的在于隐藏自己以及其他软件不被发现。它可以通过阻止用户识别和删除攻击者的软件来达到这个目的。Rootkit 几乎可以隐藏任何软件,包括文件服务器、键盘记录器、Botnet 和 Remailer。许多 Rootkit 甚至可以隐藏大型的文件集合并允许攻击者在您的计算机上保存许多文件,而您无法看到这些文件。
Rootkit 本身不会像病毒或蠕虫那样影响计算机的运行。攻击者可以找出目标系统上的现有漏洞。漏洞可能包括:开放的网络端口、未打补丁的系统或者具有脆弱的管理员密码的系统。在获得存在漏洞的系统的访问权限之后,攻击者便可手动安装一个 Rootkit。这种类型的偷偷摸摸的攻击通常不会触发自动执行的网络安全控制功能,例如入侵检测系统。
找出 Rootkit 十分困难。有一些软件包可以检测 Rootkit。这些软件包可划分为以下两类:基于签名的检查程序和基于行为的检查程序。基于签名(特征码)的检查程序,例如大多数病毒扫描程序,会检查二进制文件是否为已知的 Rootkit。基于行为的检查程序试图通过查找一些代表 Rootkit 主要行为的隐藏元素来找出 Rootkit。一个流行的基于行为的 Rootkit 检查程序是 Rootkit Revealer.
在发现系统中存在 Rootkit 之后,能够采取的补救措施也较为有限。由于 Rootkit 可以将自身隐藏起来,所以您可能无法知道它们已经在系统中存在了多长的时间。而且您也不知道 Rootkit 已经对哪些信息造成了损害。对于找出的 Rootkit,最好的应对方法便是擦除并重新安装系统。虽然这种手段很严厉,但是这是得到证明的唯一可以彻底删除 Rootkit 的方法。
防止 Rootkit 进入您的系统是能够使用的最佳办法。为了实现这个目的,可以使用与防范所有攻击计算机的恶意软件一样的深入防卫策略。深度防卫的要素包括:病毒扫描程序、定期更新软件、在主机和网络上安装防火墙,以及强密码策略等。
什么叫做入侵检测?入侵检测系统的基本功能是什么?
入侵检测系统(Intrusion-detection system,下称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。 IDS最早出现在1980年4月。该年,James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》的技术报告,在其中他提出了IDS的概念。 1980年代中期,IDS逐渐发展成为入侵检测专家系统(IDES)。 1990年,IDS分化为基于网络的IDS和基于主机的IDS。后又出现分布式IDS。目前,IDS发展迅速,已有人宣称IDS可以完全取代防火墙。 我们做一个形象的比喻:假如防火墙是一幢大楼的门卫,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。 IDS入侵检测系统以信息来源的不同和检测方法的差异分为几类。根据信息来源可分为基于主机IDS和基于网络的IDS,根据检测方法又可分为异常入侵检测和滥用入侵检测。不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。在这里,"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中,已经很难找到以前的HUB式的共享介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。因此,IDS在交换式网络中的位置一般选择在: (1)尽可能靠近攻击源 ( 2)尽可能靠近受保护资源 这些位置通常是: ·服务器区域的交换机上 ·Internet接入路由器之后的第一台交换机上 ·重点保护网段的局域网交换机上 由于入侵检测系统的市场在近几年中飞速发展,许多公司投入到这一领域上来。Venustech(启明星辰)、Internet Security System(ISS)、思科、赛门铁克等公司都推出了自己的产品。系统分类根据检测对象的不同,入侵检测系统可分为主机型和网络型。
