概述-看雪安全论坛.docVIP

概述 此附录主要介绍用来开发和测试rootkit的免费工具。 主要包括下面的工具 ·DebugView ·RegistryMonitor ·FileMonitor ·TCPView ·IDA ·Samurai ·Rootkit Unhooker ·RootkitRevealer ·F_Secure BlackLight ·Rootkit Hook Analyzer ·IceSword ·Sophos Ant-Rootkit 这些工具可以在Wrox/Wiley-Professional Rootkits 下载的Chapter1 Tools目录里找到。 DebugView DebugView,如图 A-1所示，是一个可以监视本地系统或者网络上的任一台计算机的调试输出的程序。它可以同时显示内核模式和用户模式的调试输出，所以既你不需要用一个调试器来捕获你的程序或者调试驱动的调试输出，也不需要修改你的程序或者驱动来使用非标准的输出API。 图A-1 在Windows NT，2000，XP，Server 2003和Vista下，DebugView会捕获下面这些信息： ·Win32 OutputDebugString ·内核模式 DbgPrint ·在Windows XP和Server 2003上所有DbgPrint的变形 如果在Windows NT/2000/XP上造成崩溃时DebugView正在进行捕获，那么DebugView还会从崩溃文件里收集产生的内核模式调试输出信息。 简单地执行DebugView程序文件(dbgview.exe)后DebugView会马上开始捕获调试输出，注意如果是在Windows NT/2K/XP下运行DebugView，查看内核模式的调试输出必须要有管理员权限。菜单，快捷键，和工具栏按钮可以用来清除窗口中已记录的信息，保存已记录的信息到一个文件里，打开之前保存的文件，记录所有调试输出到文件，搜索调试调试输出，过滤调试输入，改变窗口字体等等。 我要提醒一下你，在输出窗口搜索一个字符串是非常不明智的行为，如果你真的需要在一个很长的输出列表里搜索一个调试字符串，我建议你把记录到的信息保存到一个文件里然后使用你喜欢的编辑工具来搜索一个字符串。 RegistryMonitor 如图 A-2所示，RegMon是一个对注册表进行实时监控并能显示出访问注册表的程序名、被访问的注册表项和读取或者写入的数据的工具。 图 A-2 RegMon会捕获一台主机上的所有注册表活动，在Windows NT、2000和XP上，RegMon会加载一个挂钩了内核系统调用表的设备驱动来截获和加入注册表系统服务。 对于Windows .NET服务，RegMon使用了新操作系统的注册表回调机制来接收注册表活动信息。 RegMon在发现一个打开、创建或者是关闭调用时，它会更新内部维护的一个hash表，这个hash表是在项句柄和注册表路径名称之间进行映射的桥梁，当发现一个基于句柄的调用时，RegMon会在hash表里查找对应的全路径名并且显示出来，如果一个基于句柄的访问引用了一个在RegMon运行之前就已经打开了的注册表项，RegMon在索引句柄表时就会失败，然后只会简单地显示项的值。 所有监控到的注册信息都存放在一个ASCII缓冲区里并且会定期的把它们显示到RegMon的主窗口里。用户只需要简单地执行RegMon(regmon.exe)，RegMon马上就会捕获注册表活动。 菜单项和工具栏按钮可以用来在开始监视和停止监视之间进行切换，启用事件捕获，控制主窗口的滚动栏，保存主窗口内容到一个ASCII文件等等。 通过工具栏或者菜单中的选项-过滤/高亮菜单选项打开过滤窗口，选择要显示的数据，其中“*”通配符会匹配所有的字符串，并且这些都是区分大小写的。只有那些在“包含”里但不在“排除”里的匹配选项会显示出来，如果有多个匹配字符串就要用“;”号把它们隔开（如：“regmon;software”）。 举个例子，如果包含里面是“HKLM”而排除里面是“HKLM\Software”，那么除了在HKLM\Software下面的，其它的引用了HKLM下面的项和值的条目都会被监控。 通配符使得我们可以使用复杂的匹配模式，举个例子，匹配指定的程序访问指定的注册表项，如：包含里面是“Winword*Windows”就会使得regmon只显示Micosoft Word访问了包含“Windows”的项和值的条目。 使用高亮过滤器选项来指定你想高亮显示的输出，可以在选项-高亮颜色里选择高亮颜色。 Regmon的时间属性还可以显示从上次清空输出窗口（或者启动regmon）到事件产生时的时间间隔，选项菜单的时钟选项和工具栏上的按钮可以让你在两种模式之间进行切换，工具栏上的按钮使用一个时