国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

移動安全 安全管理 應(yīng)用案例網(wǎng)絡(luò)威脅 系統(tǒng)安全 應(yīng)用安全 數(shù)據(jù)安全 云安全
當(dāng)前位置: 主頁 > 信息安全 > 網(wǎng)絡(luò)威脅 >

進(jìn)入服務(wù)器后隱藏自己的手段

時(shí)間:2011-05-03 15:15來源: 點(diǎn)擊:
本人喜歡東躲西藏,所以總結(jié)出了一些隱藏的方案,具體看情況定了。
Tags服務(wù)器(140)黑客攻擊(93)  

  本人喜歡東躲西藏,所以總結(jié)出了一些隱藏的,具體看情況定了。

  那么一般進(jìn)入一臺后隱藏自己的手段有:

  1。superdoor克隆,但是有bug。榕哥的ca克隆,要依賴ipc,也不是很爽

  2。創(chuàng)建count$這樣的隱藏帳號,netuser看不到,但是在管理》用戶里可以看到,而且在我得電腦屬性》用戶配置文件里顯示未知帳號,而且在document and setting里,會有count$的文件夾,并不是特別好,我在3臺左右機(jī)子上作了結(jié)果都被kill了。

  3。寫一個(gè)guest.vbs啟動時(shí)創(chuàng)建一個(gè)帳號或者激活guest用戶或者tsinternetuser用戶,在注冊表里的winlogon里導(dǎo)入鍵值(事先做好),讓他開

  機(jī)自運(yùn)行g(shù)uest.vbs,這樣就創(chuàng)建了一個(gè)幽靈帳號。

  或者導(dǎo)入在[HKEY_LOCAL_MACHINESoftwareMicrosoftCommand Processor]

  "AutoRun"="C:Program Filesguest.vbs"

  這樣是關(guān)聯(lián)到cmd,只要運(yùn)行就創(chuàng)建。

  4。像冰河那樣關(guān)聯(lián)到txt,exe,運(yùn)行txt就運(yùn)行我們的程序

  5。在里配置自運(yùn)行項(xiàng)。

  6。設(shè)置文件關(guān)聯(lián),重要運(yùn)行記事本或者什么就激活vbs

  7。種植hackdefender,hack’sdoor,winshell,武漢男生之類的后門,但是容易被查殺,如果沒有改造幾乎沒有效果,如果不被殺,那就。。。嘿嘿!!

  8。夾雜文件,把經(jīng)常用到的文件替換成rar自解壓文件,既包含原exe文件又運(yùn)行自己的程序(就是winrar做的不被查殺的捆綁)運(yùn)行后就重復(fù)3,4,5的步驟,誰便你了。

  9。尋尋覓覓之間,發(fā)現(xiàn)hideadmin這個(gè)玩意好不錯(cuò),要求有administrator權(quán)限,隱藏以$結(jié)尾的用戶,帥呆了!命令行,管理界面,用戶配置文件里都找不到他的身影,一個(gè)字,強(qiáng)!強(qiáng)到我搞了好半天都不知道怎么去除了,只有讓他呆著吧!倒~ 接著教主也有一個(gè)工具,有異曲同工之妙。

  10。替換服務(wù),將telnet或者termsvc替換成別的服務(wù)或者建一個(gè)新的~

  11。手工在注冊表中克隆隱藏賬號,網(wǎng)上流傳的一個(gè)看似很爽的方法,但經(jīng)本人的2000 server測試也許是不在域中的原因根本不存在domains或者account這個(gè)鍵值,所以也就無從找起了。

  但還是詳述一下:

  Windows 2000和Windows NT里,默認(rèn)管理員帳號的SID是固定的500(0x1f4),那么我們可以用機(jī)器里已經(jīng)存在的一個(gè)帳號將SID為500的帳號進(jìn)行克隆,在這里我們選擇的帳號是IUSR_MachineName (為了加強(qiáng)隱蔽性)。

  cmd 下

  regedit /e admin.reg HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers0001F4

  將SID為500的管理員帳號的相關(guān)信息導(dǎo)出,然后編輯admin.reg文件,將admin.reg文件的第三行

  [HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers0001F4]

  最后的’1F4’修改為IUSR_MachineName的SID(大部分的機(jī)器該用戶的SID都為0x3E9,如果機(jī)器在最初安裝的時(shí)候沒有安裝,而自己創(chuàng)建了帳號后再安裝IIS就有可能不是這個(gè)值),將Root.reg文件中的’1F4’修改為’3E9’后執(zhí)行然后另外一個(gè)是你需要修改那個(gè)賬號的值

  regedit /e iusr.reg HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers0003E9

  將iusr.reg文件中“’V’=hex:0”開始一直到iusr.reg文件結(jié)束部分復(fù)制下來

  然后替換掉adam.reg中同樣位置的部分.

  最后使用 regedit /s adam.reg 導(dǎo)入該Reg文件

  然后運(yùn)行 net user IUSR_MachineName password 修改IUSR_MachineName的密碼

  hehe,ok,大功告成!

  現(xiàn)在IUSR_MachineName賬號擁有了管理員的權(quán)限,但是你使用net.exe和管理工具中的用戶管理都將看不到任何痕跡,即使你去察看所屬于的組和用戶,都和修改前沒有任何區(qū)別。

  大概就知道這么多了,各位如果有更好的方法不吝賜教。。。。。。。

------分隔線----------------------------

推薦內(nèi)容