hxdef100.exe

hxdef100.exe

プロセス・ファイル・レジストリ等を隠す

http://www.rootkit.com/vault/hf/hxdef100r.zip
http://www.rootkit.com/board_project_fused.php?did=proj5

http://hxdef.net.ru/
登録していないので、確認していない

1.0.0 revisited

hxdef100.exe [inifile] or hxdef100.exe [switch]

既定の iniファイルは EXENAME.ini

-:installonly サービスを導入する。実行はしない
-:refresh     iniファイルの設定を読み込む
-:noservice   サービスを導入せず、実行する
-:uninstall   メモリからhxdefを除去し、hxdefサービスと、それが実行している全ての裏口の接続を殺します

|<>:\/"、の文字は、iniファイルで無視される
mbsed "s@[|<>:\/\x22]@@g" hxdef100.ini > hxdef100.2.ini

[Hidden Table] 隠したいファイル・ディレクトリ
[Hidden Processes] 隠したいプロセス
[Root Processes]
免疫を付けるプロセス。子プロセスも免疫が付く。
NT AUTHORITY\SYSTEM権限になっている

-:refreshで再読み込みした時、感染済みのプロセスに対しては効果が無かった

hxdef100.exe -:uninstall
しても、HXD Service 100が自動になっている
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HackerDefender100
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HackerDefenderDrv100
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HACKERDEFENDER100
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HACKERDEFENDERDRV100