永远不会被发现的系统后门

来源 :网友世界 | 被引量 : 0次 | 上传用户:jinhui4620
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  在上期的文章中,我们讲解了如何利用系统自动登录的漏洞,揪出被记录在注册表中的密码。拿到了管理员的密码,肯定是要为自己建一个后门了,许多小黑们往往都是直接开始新建帐户,提升权限,然后隐藏新建的管理员帐号,又或者直接进行帐号克隆。其实这些方法用的人多了,也就不是那么隐蔽可靠了。今天,我就把自己平时隐藏后门的方法介绍给小黑们,看看怎样发挥自己的聪明才智,打造自己的后门……
  
  无可检测与删除的“隐藏”后门
  这里我们要给别人的电脑,设置一个永远都检测不到。也无法删除的管理员帐户后门。建立后门的方法是利用开关机脚本,但是与普通的开关机脚本后门有很大的不同!我们先来看看建后门的方法,最后再来看效果。
  
  准备开关机脚本
  首先,获得管理员密码并登录后,打开记事本程序,在里面输入如下内容:
  @echo off
  net user xlaoyao 123456/add
  net localgroup administrators xlaoyao/add
  这段语句的作用是,新建—个帐户,并将新建的帐户加入管理员组中。其中,“xiaoyao”是用户名。“123456”是密码。在这段语句中。还有一个“@echo off”,是在批处理中。用于禁止命令执行后的回显信息的。
  输入完毕后。将文件保存为“关机.bat”。然后再打开记事本程序,在其中输入如下语句:
  @echo off
  net user xiaoyao/del
  这条语句的作用是,删除系统中名为“xiaoyao”的帐户名,也就是删除我们刚才新建的帐户名。最后,保存文件名为“启动.bat”。
  
  启用开关机脚本
  点击“开始”菜单-“运行”,输入命令“Gpedit.msc”,回车后打开组策略编辑器程序窗口。依次展开“计算机配置”-“windows设置”-“脚本(启动/关机)”项目。双击右侧的“启动”。打开启动脚本设置对话框。点击“显示文件”按钮,将会自动打开系统启动脚本目录“C:\WINDOWS\System32\GroupPoLicykMachine\ScriptskStartup”。将刚才建立的“启动.bat”移动到此文件夹中。然后关闭文件夹窗口。在启动脚本对话框中。点击“添加”按钮,浏览指定当前目录下的开机脚本文件“启动.bat”。
  点击确定按钮。完成添加。再点击“应用”按钮,使用当前启动设置。关闭启动脚本设置对话框。然后双击组策略编辑器中的“关机”项目,打开关机脚本设置对话框,用同样的方法添加关机脚本为“关机.bat”。最后关闭组策略编辑器。无可检测删除的后门就创建成功了!
  
  开关机后门的不同之处
  我们创建的这个开关机后门。与普通的开关机脚本后门有很大的不同。普通的后门,往往都是在开机启动脚本中。设置添加管理员帐户的语句。让管理员一登录就会自动创建后门。这样的方法有很大的弊病。管理员登录后,肯定会检测系统中的帐户列表,一旦发现非法用户。肯定会将用户删除。即使他下一次登录后,又自动将被删除的帐户创建,但必定会引起管理员的注意,从而揪出后门的根源——开机脚本。
  因此,我们的目的是创建一个特殊的帐户——管理员登录后。检测用户列表,根本发现不了有非法用户。即使检测克隆帐户,也一无所获!但是我们却可以用这个帐户正常的登录!
  这是为什么呢?因为我们设置的关机脚本,是自动创建一个管理员权限的帐户。也就是说,只要管理员登录过系统,当他关机退出后,就会自动在系统中创建一个管理员权限的帐户。然而当管理员登录系统时。却由于开机脚本的作用,自动将我们添加的帐户删除掉了,因此管理员无法检测到根本不存在的非法帐户。也就是说。创建的帐户后门,只存在于系统启动到登录成功之前的这个过程。也就是登录前帐户是存在的,登录后就会被删除,够隐蔽吧!巧妙的3389后门
  除了在本机登录外,我们可能还想留下一个帐户后门,让我们可以从远程3389终端登录。直接建立帐户名是比较危险的方法。我们可以利用Windows系统中特殊的辅助工具来完成这个任务。
  点击“开始”菜单-“运行”,输入命令“CMD”。回车后打开命令提示符窗口。在命令提示符窗口中,执行如下命令:
  copy c:\wmdows\explorer.exe c:\windows\system32\sethc.exe
  copy c:\wmdows\system32\sethc.exe c:\windows\system32\dUcache\sethc.exe
  attrib c:\windows\system32\sethc.exe+h
  atmb c:\wmdows\svstem32\dUcache\sethc.exe+h
  这几句命令的作用,是将系统中的辅助工具“sethc.exe”。替换成为“explerer.exe”,这样就可以在3389或本地登录界面中打开粘滞键开关了。以后在3389远程连接窗口中,连续按下5次Shift键。即可自动打开资源管理器。点击工具栏“向上”按钮。返回到桌面,右键点击“我的电脑”。在弹出菜单中选择“管理”命令,打开管理工具,直接添加用户名即可。也可以打开控制面板中的用户帐户,添加管理员帐户。用同样的原理,也可将“sethc.exe”。替换成为“cmd.exe”,即可在CMDSHELL中执行帐户添加命令。
  小提示
  在windows 2000/xp/vista下,连续按shift键5次,可以运行“sethc,exe”打开粘滞键,而且在登录界面里也可以打开。采用替换“sethc.exe”的文件的方法,就可以实现运行任意程序的目的。其原理类似于将Windows系统的屏保程序替换成“cmd.exe”。就可以打开shell了。
  
  留个放大镜后门
  上面利用的是粘滞键辅助工具。其实系统中还有其它的辅助工具。比如“放大镜”——按下Win+U组合键,即可打开放大镜辅助工具。可以用与上面相同的方法来创建一个后门。不过这里我们利用工具来完成操作,并且还要为后门加上一个密码。
  运行“放大镜后门生成器”,在“后门启动密码”中输入要设置的后门密码。然后点击“生成”按钮,指定生成文件名路径为“C:\ivy.exe”。然后点击“开始”菜单-“运行”。输入命令“CMD”。回车后打开命令提示符窗口。在命令窗口中执行如下命令:
   copy %systemroot%\system32\magnify.exe %systemroot%\system32\nagnify.exe    copy C \ivy exe %systemroot%\system32\magmfy.exe
   copy C:\ivy.exe %systemroot%\system32\dllcache\magnify.exe
  执行命令成功后,后门就创建成功了。以后在本地或3389远程登录界面中。按下Win+U组合键,打开辅助工具对话框,选择“放大镜”,点击“启动”按钮,要求输入设定的后门启动密码。确定后。打开后门程序,可执行“cmd.exe”和程序自己添加自定义用户。直接输入要添加的用户名和密码。点击“添加”按钮即可。要执行CMD命令的话,可点击“执行CMD命令”按钮,即可打开CMD命令提示符窗口。
  
  后备绝招——请空系统密码
  在无可意料的情况下。如果所有的后门都被清除了,那么可以使用这个后备的绝招。Windows系统的“system32”和“dllcache”目录下。都有一个名为“msv1_0.dll”的文件,此文件决定着用户的登录密码。只需对其进行小小的修改,就可以清空所有密码。
  首先。在一台正常的电脑上,运行WinHEX,打开两个目录下的“msv1_0.dll”文件,搜索“F8 10 75 11B0 01 8B 4D”字符串。将其替换为“E0 00 75 11 B001 8B 4D”。这个修改是针对Windows XP SP2系统的。如果是其它的系统。可分别进行如下修改:
  Windows 2000 professional:将“F8 10 0F 84 71 FF FF”修改为“EO 00 0F 84 71 FF FF”;
  Windows 2000 sp4:将“F8 10 75 11 bO 01 8b 4D”修改为“E0 00 75 11 b0 01 8b 4D”;
  Windows 2003 spl:将“F8.10 0F 84 DO B8 FF FF”修改为“E0 00 0F 84DOB8 FF FF”:
  Windows vista:将“F8 10 75 13 B0 01 8B 4D”修改“E0 00 75 1380 01 8B 4D”
  只要修改后,全部管理员帐号无须密码即可本地登录或进行远程登录。将修改后的“msv1-0.dll”复制后,进入要登录主机的DOS环境,替换相应的文件即可。
其他文献
现在网易相册、百度相册等网络相册的用户是越来越多了,在这些相册中都提供了方便的上传工具,但却不能方便地将在相册中的照片批量保存。特别是看到相册中有很多漂亮MM照片集,清晰的壁纸,还有许多动漫、漫画等,一张一张的保存是一件折磨人的事情。如果有这样的需求,可以通过“Albumcon”软件,快速批量下载这些照片。  现在网络相册非常流行,网易163相册、百度相册等网络相册的用户是越来越多了,在这些相册中
期刊
如果你愿意公布自己的IP地址,那么可以参与腾讯的“IP分享计划”,相关页面是http://ip.qq.com。在这里可以查看到当前的IP。单击“分享IP”链接,即可将你的当前IP信息提供给腾讯,通过相应的处理与验证,它将进入腾讯的IP数据库,以后可以获得更为准确的天气信息,同时还可以自动获得更为优化的文件传输速度和语音视频质量。如果发现当前显示的IP有错误。可以单击“更新IP信息”按钮,随后会进入
期刊
当所使用的计算机上没有安装截图工具。而又不想使用系统自带的,“画图”,那么不妨试一试在线截图。Super Screenshot是一个很有意思的在线截图站点,可以方便的截取任意网站的界面。  步骤1 首先进入“http://www.superscreenshot.com/”网站。在首页的文本框中输入相关站点的URL地址,注意只需要提供“http://”后面的内容,例如这里输入“sports.sina
期刊
版主手记  又错过了一次北京车展,真是遗憾。在今年的北京车展之前,都拿到免费票了,可还是没去成。本想带着相机去拍拍新车、拍点美女(其实主要是想认识点美女)。唉,看来机会又得等到明年的北京车展了。虽然自己没去成,不过我们编辑部里有同事抽空去看了看,据说除了停车位紧张以外,其他的还是非常不错的。尤其是车模美女,比上一届车展有进步哦!其实听这些是没用的,重要是向同事要来去车展拍的DVVX及照片,这才是迫
期刊
新浪在几年前就收购了一款一直不温不火的IM软件--UC,但是UC在新浪的怀里也没有得到什么长足的发展。也许是新浪打算放弃UC,重新打造统一的品牌形象,或者是新浪意识到“平台化”的重要性。在最新推出了一款平台化软件“新浪魔方”,并开始小范围的内测,在本文将为大家奉上对此软件的第一手评测。    “面子”点评    “面子”很重要,这是谁都知道的事,不仅仅要容易被大众接受,并且还要有个性。正如手机一样
期刊
Foxit Reader是一款非常不错的PDF文档浏览软件,与个头庞大的Adobe Reader相比,Foxit Reader的各项功能并不输于它。难能可贵的是个头不大的FoxitReader还具有一些特色功能,比如它能以多标签的名义浏览PDF文档。这项功能可以让你在一个窗口下随意浏览、切换多个不同的PDF文档。非常方便。当然你需要使用2.3版本才能实现此功能,官方下载页面为http://www.
期刊
QQ音乐播放器是腾讯推出的一款在线音乐播放工具,它方便使用、曲库丰富、新歌更新及时,如果你不愿意一首首地下载音乐又想听遍新老歌曲,并且你的电脑能经常处于联网状态,那么QQ音乐播放器一定是最好的选择。最近QQ音乐又出重拳,推出“QQ音乐播放器2008”,那么它会带给我们怎样的新面貌和新功能呢?    时尚新外观布局更合理    如果你是QQ音乐播放器的老用户,那么打开2008新版本一定会有眼前一亮之
期刊
俗话说,常在网上飘,哪能不挨乃?小菜们的防范意识差,机器的漏洞百出,而自己不会补上,往往成了黑客抓的“肉鸡”却浑然不觉。写惯了攻击的文章。今天写篇防守的文章,希望对大家有帮助,让大家放心地在网上冲浪,在黑客眼皮底下溜走。  首先说下一般的抓鸡软件的工作流程:扫描IP段-发现存活主机-扫描存活主机的端口号-发掘漏洞-针对存活主机的漏洞进行入侵。我们要让他在第二个阶段就断下来,不发现我们的主机IP是存
期刊
到了大学里本以为可以轻松地“混”几年的,但没想到考试真是多啊!这不刚考完JAVA。几个同学叫我请他们包夜,现在的社会啊!我无奈地摸了口袋,只有十元钱,长叹一声:跟我来……    免费上网的前奏    首先我用十元钱开了一台电脑,叫那些同学先坐一会儿。接着我下载了两个小软件:网吧防锁专家和Ushut。这里我要重点介绍一下“网吧防锁专家”:本软件完全采用汇编语言编写,程序启动后没用任何界面。只会再创建
期刊
怎么样才能得知一台电脑的实际性能是否强弱呢?看硬件配置只能对电脑性能有一个大概的了解。要想准确判,断其性能,最好的方法使用测试软件评测。测试软件测出的分数是评价电脑性能最直观、最有效的手段,也是消费者购买产品之前必找的资料。下面,就让我们来细品一下两位熟悉又陌生的伙伴——PCMark与3DMark。  测试软件能够模拟电脑的实际工作场景。轻松测出电脑整体或者某一方面的实际性能,并以分数形式显示。让
期刊