Solo Estoy

前几天买了本Windows Internals第四版的中文译版，现在还在努力啃书中。因为这几年的学习成果，能力见长，对这类书还算是能看懂个七八成。粗粗看来，现在的Windows NT架构中所包含的技术比起Linux或者BSD等开源系统一点也不少，时髦得一蹋糊涂，有些设计思想甚至更为激进。如果能有幸掌握里面的主流架构和知识，也可称为宗师一级的人物了。又感叹之，反向工程也能把系统底层细节研究得如此细致，看来死读源代码也不仅仅是唯一的高效的路了。
前两天Windows漏洞爆得比较厉害，同时exploit公布的速度也很快，导致这几个月有大量中招的机器。再加上某些无良的所谓“黑客”团体有商业目的地大量种植肉鸡，搞DDOS，ARP欺骗等行为，最近可谓是乌烟瘴气了，国内的网络环境也严重到了有史以来最坏的程度。就好像满大街开得都不是车，而是浩浩荡荡的“木”马和蠕“虫”大军。
前两天接受一台疑似被入侵的Windows2003的机器，发现入侵者没有放置明显的自启动程序，后台服务，或者是网络连接后门，但却每每都能进来。后来用SRENG2检查发现有3个enum类的API被Hook了，而Hook的Dll竟然是无法找到的文件，遂知道是被放了Rootkit，由于是生产机且在机房，无法进入安全模式处理，但正常模式下因为Rootkit的自加载又隐藏了其自身的文件，无计可施。后来发现可以调出这个文件的file properties，灵机一动将其NTFS权限设置为everyone deny all，reboot后发现Rootkit的dll出来了，同时也多出了Dll加载的注册表项。最后又发现竟然还多出来了一个隐藏的administrator权限的帐户。遂想起那3个API恐怕分别是用于Hook枚举文件、注册表项、用户的。如果再Hook上File Properties的API，恐怕就没这么好办了，现在这些个玩意儿真的是越做越恐怖了。咱堂堂中国人的智慧都用在这些小聪明上了？？！！