|
以下的文章主要向大家講述的是黑客進(jìn)入服務(wù)器隱藏自己的實(shí)際操作方法�����,以下的這些隱藏方案是本人在實(shí)際操作中自我總結(jié)出來的��,具體看情況定了����。 那么一般進(jìn)入一臺(tái)服務(wù)器后隱藏自己的手段有:
本人喜歡東躲西藏,所以總結(jié)出了一些隱藏的方案�,具體看情況定了。
那么一般進(jìn)入一臺(tái)服務(wù)器后隱藏自己的手段有:
1�、superdoor克隆,但是有bug���。榕哥的ca克隆���,要依賴ipc,也不是很爽�。
2、創(chuàng)建count$這樣的隱藏帳號(hào)���,netuser看不到��,但是在“管理->用戶”里可以看到����,而且在“我的電腦->屬性->用戶配置文件”里顯示未知帳號(hào)��,而且在document and setting里���,會(huì)有count$的文件夾���,并不是特別好�,我在3臺(tái)左右機(jī)子上作了結(jié)果都被kill了�。
3、寫一個(gè)guest.vbs啟動(dòng)時(shí)創(chuàng)建一個(gè)帳號(hào)或者激活guest用戶或者tsinternetuser用戶�����,在注冊(cè)表里的winlogon里導(dǎo)入鍵值(事先做好)���,讓他開機(jī)自運(yùn)行g(shù)uest.vbs�����,這樣就創(chuàng)建了一個(gè)幽靈帳號(hào)����。
或者導(dǎo)入在[HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor]
"AutoRun"="C:\\Program Files\\guest.vbs"
這樣是關(guān)聯(lián)到cmd��,只要運(yùn)行就創(chuàng)建���。
4、像冰河那樣關(guān)聯(lián)到txt��、exe,運(yùn)行txt就運(yùn)行我們的程序����。
5、在組策略里配置自運(yùn)行項(xiàng)����。
6、設(shè)置文件關(guān)聯(lián)��,重要運(yùn)行記事本或者什么就激活vbs�����。
7����、種植hackdefender、hack'sdoor�、winshell、武漢男生之類的后門��,但是容易被查殺��。如果沒有改造幾乎沒有效果��,如果不被殺,那就……嘿嘿!
8�����、夾雜文件����,把經(jīng)常用到的文件替換成rar自解壓文件。既包含原exe文件����,又運(yùn)行自己的程序(就是winrar做的不被查殺的捆綁),運(yùn)行后就重復(fù)3�����,4��,5的步驟�,隨便你了。
9����、尋尋覓覓之間����,發(fā)現(xiàn)hideadmin這個(gè)玩意好不錯(cuò)����,要求有administrator權(quán)限�����,隱藏以$結(jié)尾的用戶�����,帥呆了!命令行�����,管理界面��,用戶配置文件里都找不到他的身影�,一個(gè)字,強(qiáng)!強(qiáng)到我搞了好半天都不知道怎么去除了�����,只有讓他呆著吧!接著教主也有一個(gè)工具,有異曲同工之妙����。
10、替換服務(wù)���,將telnet或者termsvc替換成別的服務(wù)或者建一個(gè)新的��。
11�、手工在注冊(cè)表中克隆隱藏賬號(hào)��,網(wǎng)上流傳的一個(gè)看似很爽的方法�����,但經(jīng)本人的2000 server測(cè)試也許是不在域中的原因����,根本不存在domains或者account這個(gè)鍵值,所以也就無從找起了�����。
但還是詳述一下:
Windows 2000和Windows NT里��,默認(rèn)管理員帳號(hào)的SID是固定的500(0x1f4)�����,那么我們可以用機(jī)器里已經(jīng)存在的一個(gè)帳號(hào)將SID為500的帳號(hào)進(jìn)行克隆���,在這里我們選擇的帳號(hào)是IUSR_MachineName (為了加強(qiáng)隱蔽性)����。
在cmd下����,
regedit /e admin.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4
將SID為500的管理員帳號(hào)的相關(guān)信息導(dǎo)出,然后編輯admin.reg文件���,將admin.reg文件的第三行
[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4]
最后的’1F4’修改為IUSR_MachineName的SID(大部分的機(jī)器該用戶的SID都為0x3E9�����,如果機(jī)器在最初安裝的時(shí)候沒有安裝IIS�����,而自己創(chuàng)建了帳號(hào)后再安裝IIS就有可能不是這個(gè)值)���,將Root.reg文件中的’1F4’修改為’3E9’后執(zhí)行然后另外一個(gè)是你需要修改那個(gè)賬號(hào)的值�。
regedit /e iusr.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000003E9
將iusr.reg文件中“'V'=hex:0”開始一直到iusr.reg文件結(jié)束部分復(fù)制下來�,然后替換掉adam.reg中同樣位置的部分。最后使用 regedit /s adam.reg 導(dǎo)入該Reg文件�����,然后運(yùn)行 net user IUSR_MachineName password 修改IUSR_MachineName的密碼�。ok,大功告成!
現(xiàn)在IUSR_MachineName賬號(hào)擁有了管理員的權(quán)限�,但是你使用net.exe和管理工具中的用戶管理都將看不到任何痕跡,即使你去察看所屬于的組和用戶���,都和修改前沒有任何區(qū)別�。
以上的相關(guān)內(nèi)容就是對(duì)黑客進(jìn)入服務(wù)器隱藏自己的方法的介紹�����,望你能有所收獲���。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商���!15年品質(zhì)保障��!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
