مثال تطبيقي ل RootKit وندوز NT

الناقل : elmasry | الكاتب الأصلى : JAAS | المصدر : www.arabteam2000-forum.com

مثال تطبيقي ل RootKit
-
في هذا الموضوع سنناقش مفهوم rootkit لأنه بدأ ينتشر في عدة مجالات أهمها الأمن والحماية
وكما تلاحظ فإن اخطر الفايروسات تستخدم هذة الطريقة للتخفي
وظهرت عدة شركات تستخدمها في الحماية ؟ مثل حماية الاقراص والملفات
وبدأ إنتشار RootKit ليشمل برامج مكافحة الفايروسات
-
كما قلنا سابقا مفهوم rootkit يعني التخفي و الصلاحيات وهو الشكل المرئي من موضوع الامتيازات في النظام
نعرف بأن أنظمة التشغيل تعمل في عدة مستويات او امتيازات لتعطي البرامج الاحقية في الوصول
اما rootkit فيكم تقسيمها كالتالي
1- إخفاء Files & Folders
2- اخفاء Processes
3- اخفاء Handles
4- اخفاء Registry Keys & Values
5- اخفاء Services
6- اخفاء TCP/UDP Sockets
7- اخفاء Systray Icons
-
وفي مثالنا تستطيع تطبيق كل هذة الامور
ملاحظة: هذا المثال يعمل تحت WINDOWS NT/2000/XP/2003
-
قبل ان نبدأ قم بتخزين الملف المرفق , تجد بداخلة ملف root.exe وملف readme.txt والكود المصدري
الآن توجه إلى اي درايفر وليكن d وبعد ذلك اضف مجلد جديد بإسم RootKit بهذة الطريقة d:\RootKit
بداخل المجلد الجديد ادخل الملف root.exe وملف readme.txt
بعد ذلك اضف اي ملف تنفيذ إلى المجلد وليكن ملفtest.exe بهذة الطريقة d:\rootkit\test.exe
بعد إضافة الثلاث ملفات ,,, تابع الموضوع
-
اولا: اخفاء الملفات والمجلدات
قم بالدخول إلى المجلد d:\RootKit
الآن من خلال الدوس او من قائمة start ثم run
نفذ الامر التالي D:\RootKit\root.exe /i
وهو عبار عن تنفيذ برنامج root بإستخدام البارمتر i
ستلاحظ ظهور المكتبة hook.dll في نفس المجلد ,هل تريد ان تعرف ما عملها
-
الآن اخرج من المجلدD:\RootKit يعني اغلق النوافذ الظاهرة وارجع للدسك توب
الحين توجهة لل My Computer ثم الدرايفر D ؟ ماذا تلاحظ
هل المجلد d:\RootKit موجود !! وين اختفى ..... تابع
حاول الدخول من address bar اكتب d:\rootkit سيظهر لك مسج خطأ بأن المجلد غير موجود؟
تعرف ليش ؟ ليس للنظام نفسة احقية الوصول! بتوضيح اكثر ليس ل explorer.exe احقيه الدخول للمجلد
حاول إظهار او اخفاء المجلدات ؟ حاول بالدوس بأي شيء بمستوى المستخدم ما بتقدر تدخل
هذا بإختصار مفهوم اخفاء الملفات والمجلدات ,,, مع الملاحظةان المجلد مازال موجود
-
تابع.. اخفاء العمليات والمقابض و...
الحين من خلال start ثم run او من خلال الدوس نفذ برنامج المثال الذي وضعناه بالمجلد
كما يلي : D:\RootKit\test.exe
سيعمل البرنامج ...لو كانت النافذة الرئيسية مخفية ( كما هو الحال في كل الفايروسات )
هل ستلاحظ وجود البرنامج ؟ توجه لل task Manager او اي برنامج مستعرض Processes لن تجد اي اثر
لبرنامجنا test.exe
وهكذا مع بقية خصائص الاخفاء ,,, بمجرد ادخال اي ملف او برنامج إلى مجلد d:\rootkit
سيكون له امتيازات خاصة للأخفاء كل مما يلي:
Files & Folders
Processes
Handles
Registry Keys & Values
Services
TCP/UDP Sockets
Systray Icons
-
تريد تتأكد من وجود الملفات!! الطريقة الوحيدة لكشفها هي بإستخدام برنامج RootkitRevealer
http://www.sysintern...kitRevealer.zip
كما في الصورة:

Resized to 93% (was 701 x 410) - Click image to enlargePosted Image

-
وبعد هذة الأمثلة بالتأكيد تريد تعرف كيف يعمل برنامج root.exe
الجواب على ذلك ملفات الكود المصدري ... ملاحظة الكود بلغة الباسكال
لاتهمنا اي لغة برمجة أهم شيء دوال API المستخدمة هي التي توضح الصورة وهي نفسها في اي لغة ,,, وبالتأكيد إذا وجدت نقطة غير مفهومة في هذا الموضوع سنحاول حلها
-
-
وفي النهاية أمثلة عن rootkit وإستخدامة في الحماية
http://www.sysinternals.com/blog/2005/10/s...tal-rights.html

وبالتوفيق ,,,
 
ملف مرفق(ملفات)
 
ملف مرفق  AFXRootkit.zip (266.04كيلو )