AFX Rootkit 2004使用说明文挡

文章翻译：冰血封情
信息来源：est

很简单的东西 有个朋友问到 我一看不长 就翻译了...

警告 -> 仅适用于WINDOWS NT/2000/XP/2003！
此程序通过补在Windows API上来隐藏特定对象
当前版本可以隐藏：
进程
句柄
模块
文件和文件夹
注册表键值
服务
TCP/UDP Sockets
系统托盘图标

在一台计算机上配置这个rootkit的过程很简单

1.建立一个新文件夹c:\winnt\rewt\
2.把root.exe放到此路径c:\winnt\rewt\root.exe
3.配合/i参数执行root.exe
4.把其他的程序或者文件夹放入这个文件夹

现在此文件夹里所有的东西都被隐藏了
如果你把一些服务或程序放到这个文件夹里 那么在进程/文件/动态连接库/句柄/socket等中将被隐藏
然而在此文件夹下的所有程序是可以看见彼此的

注册键名的隐藏不同于其他东西
键名必须包含此文件夹的地址 在其目录之下 比如：rewt\hiddenstartup1

重要的是 这个文件夹的名字必须是整个系统中唯一的
意思就是c:\rewt\和c:\winnt\rewt\以及c:\winnt\system32\rewt\他们都会被隐藏 因为他们都共享同一个根文件夹名rewt
所以老大你选名字的时候可要慎重呀！

注意：
Most RATs have an install method that involves copying the EXE to a system folder, this is bad
很多程序安装的时候喜欢把可执行文件拷贝到一个系统文件夹 这很糟糕 因为 如果进程是在我们的rootkit文件夹外面的其他目录执行的话 那可

就什么都一览无余了！最好把启动项目里的快捷方式也给禁止。

关于程序删除：
这种事情别向我求助！如果你想自己安装请确认你知道怎么删除！

方法1
1.以/u参数运行root.exe
2.删除所有的文件关联
3.重新启动计算机

方法2
1.重新启动到安全模式
2.定位到此根文件夹名的服务
3.删除服务和所有与其相关的文件关联
4.重新启动

剩下的都是广告 冰血封情就不翻译了...HoHo...
冰血封情技术有限 翻译技巧也不咋地 如果有错误 那是肯定的 希望广大高手来戳我的错...HO YE...