⭐ 欢迎来到虫虫下载站! | 📦 资源下载 📁 资源专辑 ℹ️ 关于我们
⭐ 虫虫下载站
📤 上传资源

📄 readmecz.txt

📁 Hacker Defender
💻 TXT
字号:
🔍 
=======================[ Hacker defender - Czech readme ]=======================

                                  NT Rootkit
                                  ----------

 Autori:         Holy_Father <holy_father@phreaker.net>
                 Ratter/29A <ratter@atlas.cz>
 Verze:          1.0.0
 Datum:          01.01.2004
 Home:           http://rootkit.host.sk, http://hxdef.czweb.org

 Betatesteri:    ch0pper <THEMASKDEMON@flashmail.com>
                 aT4r <at4r@hotmail.com>
                 phj34r <phj34r@vmatrics.net>
                 unixdied <0edfd3cfd9f513ec030d3c7cbdf54819@hush.ai>
                 rebrinak
                 GuYoMe
                 ierdna <ierdna@go.ro>
                 Afakasf <undefeatable@pobox.sk>

 Readme:         ceske & anglicke napsal holy_father
                 francouzske napsal GuYoMe



=====[ 1. Obsah ]===============================================================

 1. Obsah
 2. Uvod
	2.1 Idea
	2.2 Licence
 3. Pouziti
 4. Inifile
 5. Backdoor
	5.1 Redirector
 6. Technicke otazky
	6.1 Verze
	6.2 Hookovane API
	6.3 Zname chyby
 7. Faq
 8. Soubory



=====[ 2. Uvod ]========================================================

	Hacker defender (hxdef) je rootkit pro Windows NT 4.0, Windows 2000 
a Windows XP, muze take fungovat in na pozdejsich verzich systemu zalozenem 
na NT technologii. Hlavni telo programu je napsano v Delphi 6. Nove funkce 
jsou nasapsany v assembleru. Driver je napsan v C. Klienti backdooru 
a redirectoru jsou programovani prevazne v Delphi 6.

program pouziva upraveny LDE32
LDE32, Length-Disassembler Engine, 32-bit, (x) 1999-2000 Z0MBiE
special edition for REVERT tool
version 1.05

program pouziva Superfast/Supertiny Compression/Encryption library
Superfast/Supertiny Compression/Encryption library.
(c) 1998 by Jacky Qwerty/29A.


=====[ 2.1 Idea ]===============================================================

	Zakladni myslenka tohoto programu spociva v prepsani casti pameti
u vsech procesu bezicich v systemu. Prepsanim funkcni zakladnich modulu
se docili zmeny chovani procesu. Prepsani nesmi nijak ovlivnit stabilitu 
systemu ani jednotlivych procesu.
	Program musi byt absolutne neviditelny. Nyni umoznuje uzivateli skryt 
soubory, procesy, systemove sluzby a drivery, klice a hodnoty v registru, 
otevrene porty, umoznuje zmenu volneho mista na disku. Take maskuje zmenu 
prepsane pameti a skryva handly skrytych procesu. Program nainstaluje 
neviditelne backdoory a zaregistruje se jako neviditelna systemova sluzba 
a take nainstaluje neviditelny driver. Technologie backdooru pak umoznila 
i implantaci redirectoru.


=====[ 2.2 Licence ]============================================================

	Ve verzi 1.0.0 je projekt open source.

	A samozrejme, ze autori nejsou zodpovedni za nasledky vasi cinnosti 
nebo pouzivanim Hacker defender.



=====[ 3. Pouziti ]===============================================================

	Pouziti hxdefu je celkem snadne:

	>hxdef100.exe [inifile]
nebo 
	>hxdef100.exe [switch] 


	Pokud neni inifile zadan nebo se spousti se switchem, bere se defautne 
jako inifile EXENAME.ini, kde EXENAME je jmeno hlavniho programu bez pripony
(defaultne tedy hxdef100.ini).

	Tyto switche je mozne pouzit pouzit:

	-:installonly	-	pouze nainstaluje sluzbu, ale nespusti se
	-:refresh	-	slouzi k updatovani nastaveni z inifilu
	-:noservice	-	neinstaluje se jako sluzba a spusti se normalne
	-:uninstall	-	uplne odstrani hxdef z pameti a ukonci vsechna 
				bezici spojeni backdooru
				zastaveni systemove sluzby hxdefu dela totez

Priklad: 
	>hxdef100.exe -:refresh

	Hxdef se svym defaultnim inifilem je pripraven k pouziti bez zmen 
inifilu. Je ale doporuceno vytvorit vlastni nastaveni. Pro vice informaci viz 
sekce 4. Inifile.
	Switche -:refresh a -:uninstall lze zavolat pouze z originalniho 
exe souboru. To znamena, ze musite znat presnou cestu a jmeno souboru beziciho 
hxdefu, abyste mohli zmenit jeho nastaveni, nebo ho odinstallovat.



=====[ 4. Inifile ]=============================================================

	Inifile musi obsahovat devet casti: [Hidden Table], [Root Processes], 
[Hidden Services], [Hidden RegKeys], [Hidden RegValues], [Startup Run], 
[Free Space], [Hidden Ports] a [Settings]. V seznamech jsou mezery na pocatku 
a na konci jmena polozky ignorovany. V [Hidden Table], [Root Processes], 
[Hidden Services] a [Hidden RegValues] je moznost pouziti znaku * jako 
zastupneho znaku za konec retezce. Hvezdicku lze pouzit pouze na konci, vse za 
prvni hvezdickou se ignoruje.

Priklad:
[Hidden Table]
hxdef* 

skryje vsechny soubory, adresare a procesy zacinajici "hxdef".


	Hidden Table obsahuje vycet souboru, adresaru a procesu, ktere se maji 
skryt. Pokud se jedna o soubory a adresare, nebude moznost je videt ve file 
managerech. Pokud se jedna o programy, budou neviditelne v tasklistu. Ujistete 
se, ze jmena souboru hlavniho programu, inifilu, backdooru a driveru jsou 
v tomto vyctu uvedeny.

	Root Processes obsahuje vycet programu, ktere budou imuni vuci infekci.
Pouze temito programy je mozne videt skryte soubory, slozky a programy. Tyto 
programy jsou tedy urceny pro spravce rootkitu. Je mozne mit root proces, 
ktery neni skryty a naopak.
                           
	Hidden Services je seznam nazvu systemovych sluzeb, ktere maji byt 
skryty v tabulce systemovych sluzeb. Defaultni jmeno systemove sluzby hlavniho 
programu rootkitu je HackerDefender100, jmeno driveru je defaultne nastaveno 
na HackerDefenderDrv100. Obe tato jmena lze zmenit v inifilu.

	Hidden RegKeys je seznam klicu v registru, ktere budou skryty. Rootkit 
ma v registru ctyri klice: HackerDefender100, LEGACY_HACKERDEFENDER100, 
HackerDefenderDrv100, LEGACY_HACKERDEFENDERDRV100 defaultne. Pokud zmenite 
jmeno sluzby nebo driveru, meli byste take zmenit tyto polozky.
	Prvni dva klice registru jsou shode se jmenem sluzby a driveru. Dalsi 
dva jsou LEGACY_JMENO. Pokud tedy zmenite jmeno sluzby na BoomTotoJeMojeSluzba, 
vase jmeno klice v registru bude LEGACY_BOOMTOTOJEMOJESLUZBA.

	Hidden RegValues je seznam hodnot v registru, ktere budou skryty. 

	Startup Run je seznam programu, ktere rootkitu spusti po svem spusteni.
Tyto programy pobezi pod stejnymi pravy jako rootkit. Jmeno programu je 
oddeleno otaznikem od jeho parametru. Nepouzivaji se znaky ". Tyto programy 
jsou ukonceny pri prihlaseni uzivatele. Ke spusteni programu po kazdem 
prihlaseni uzivatele pouzijte klasicke metody. V tomto seznamu muzete pouzit 
tyto zkratky:
	%cmd%		- zkratka pro soubor systemoveho shellu + cesta
			  (napr. C:\winnt\system32\cmd.exe)
	%cmddir%	- zkratka pro adresar systemoveho shellu
			  (napr. C:\winnt\system32\)
	%sysdir%	- zkratka pro systemovy adresar
			  (napr. C:\winnt\system32\)
	%windir%	- zkratka pro adresar Windows
			  (napr. C:\winnt\)
	%tmpdir%	- zkratka pro docasny adresar
			  (napr. C:\winnt\temp\)


Priklad:
1)
[Startup Run]
c:\sys\nc.exe?-L -p 100 -t -e cmd.exe

pri spusteni rootkitu se spusti netcat-shell poslouchajici na portu 100

2)
[Startup Run]
%cmd%?/c echo Rootkit started at %TIME%>> %tmpdir%starttime.txt

pri kazdem spusteni rootkitu zapise cas do souboru 
temporary_directory\starttime.txt (napr. do C:\winnt\temp\starttime.txt)
(%TIME% funguje pouze pro Windows 2000 a vyssi)


	Free Space je seznam disku a poctu bytu, ktere maji byt pridany 
k volnemu mistu na tomto disku. Format jedne polozky seznamu je X:NUM, kde X 
oznacuje jmeno jednotky a NUM je pocet bytu, ktere budou pricteny k volnemu 
mistu na tomto disku.

Priklad:
[Free Space]
C:123456789

prida asi 123 MB k volnemu mistu na disku C, ktere se ukazuje ve vlastnostech 
disku


	Hidden Ports je seznam otevrenych portu, ktere nemaji byt videt 
v programech jako jsou OpPorts, FPort, Active Ports, Tcp View atd. Tento seznam 
ma maximalne 2 radky. Format prvni radky je TCP:tcpport1, tcpport2, 
tcpport3 ..., format druhe radky pak UDP:udpport1, udpport2, udpport3 ...

Priklad:
1)
[Hidden Ports]
TCP:8080,456

toto skryje dva porty: 8080/TCP a 456/TCP

2)
[Hidden Ports]
TCP:8001
UDP:12345

toto skryje dva porty: 8001/TCP a 12345/UDP

3)
[Hidden Ports]
TCP:
UDP:53,54,55,56,800

toto skryje pet portu: 53/UDP, 54/UDP, 55/UDP, 56/UDP a 800/UDP


	Settings obsahuji osm hodnot: Password, BackdoorShell, FileMappingName, 
ServiceName, ServiceDisplayName, ServiceDescription, DriverName 
a DriverFileName.
	Password je heslo slozene z 16 znaku, ktere je pak nutno zadavat pri 
praci s backdoorem a redirectorem. Heslo muze byt i kratsi, zbytek se doplni 
mezerami. 
	BackdoorShell je jmeno kopie shellu, ktera se vytvori pri spusteni 
backdooru v docasnem adresari.
	FileMappingName je jmeno sdilene pameti, kde je uchovano nastaveni 
z inifilu pro hooknute procesy.
	ServiceName je jmeno sluzby rootkitu.
	ServiceDisplayName je zobrazovane jmeno sluzby.
	ServiceDescription je popis sluzby.
	DriverName je jmeno driveru.
	DriverFileName je jmeno souboru pro driver hxdefu.

Priklad:
[Settings]
Password=hxdef-rulez
BackdoorShell=hxdef

⌨️ 快捷键说明

复制代码 Ctrl + C
搜索代码 Ctrl + F
全屏模式 F11
切换主题 Ctrl + Shift + D
显示快捷键 ?
增大字号 Ctrl + =
减小字号 Ctrl + -