本人喜歡東躲西藏,所以總結出了一些隱藏的方案,具體看情況定了: 那麼一般進入一臺伺服器後隱藏自己的手段有:
1、superdoor克隆,但是有bug。榕哥的ca克隆,要依賴ipc,也不是很爽
2、建立count$這樣的隱藏帳號,netuser看不到,但是在管理》使用者裡可以看到,而且在我得電腦屬性》使用者配置檔案裡顯示未知帳號,而且在document and setting裡,會有count$的資料夾,並不是特別好,我在3臺左右機子上作了結果都被kill了。
3、寫一個guest.vbs啟動時建立一個帳號或者啟用guest使用者或者tsinternetuser使用者,在登錄檔裡的winlogon裡匯入鍵值(事先做好),讓他開機自執行guest.vbs,這樣就建立了一個幽靈帳號。 或者匯入在[HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor] "AutoRun"="C:\\Program Files\\guest.vbs" 這樣是關聯到cmd,只要執行就建立。
4、像冰河那樣關聯到txt,exe,執行txt就執行我們的程式
5、在組策略裡配置自執行項。
6、設定檔案關聯,重要執行記事本或者什麼就啟用vbs
7、種植hackdefender,hack’sdoor,winshell,武漢男生之類的後門,但是容易被查殺,如果沒有改造幾乎沒有效果,如果不被殺,那就。。。嘿嘿!!
8、夾雜檔案,把經常用到的檔案替換成rar自解壓檔案,既包含原exe檔案又執行自己的程式(就是winrar做的不被查殺的捆綁)執行後就重複3,4,5的步驟,誰便你了。
9、尋尋覓覓之間,發現hideadmin這個玩意好不錯,要求有administrator許可權,隱藏以$結尾的使用者,帥呆了!命令列,管理介面,使用者配置檔案裡都找不到他的身影,一個字,強!強到我搞了好半天都不知道怎麼去除了,只有讓他待著吧!倒~ 接著教主也有一個工具,有異曲同工之妙。
10、替換服務,將telnet或者termsvc替換成別的服務或者建一個新的~
11、手工在登錄檔中克隆隱藏賬號,網上流傳的一個看似很爽的方法,但經本人的2000 server測試也許是不在域中的原因根本不存在domains或者account這個鍵值,所以也就無從找起了。 但還是詳述一下: Windows 2000和Windows NT裡,預設管理員帳號的SID是固定的500(0x1f4),那麼我們可以用機器裡已經存在的一個帳號將SID為500的帳號進行克隆,在這裡我們選擇的帳號是IUSR_MachineName (為了加強隱蔽性)。 cmd 下 regedit /e admin.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4 將SID為500的管理員帳號的相關資訊匯出,然後編輯admin.reg檔案,將admin.reg檔案的第三行 [HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4] 最後的’1F4’修改為IUSR_MachineName的SID(大部分的機器該使用者的SID都為0x3E9,如果機器在最初安裝的時候沒有安裝IIS,而自己建立了帳號後再安裝IIS就有可能不是這個值),將Root.reg檔案中的’1F4’修改為’3E9’後執行然後另外一個是你需要修改那個賬號的值regedit /e iusr.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000003E9,將iusr.reg檔案中“’V’=hex:0”開始一直到iusr.reg檔案結束部分複製下來,然後替換掉adam.reg中同樣位置的部分.最後使用 regedit /s adam.reg 匯入該Reg檔案,然後執行 net user IUSR_MachineName password,修改IUSR_MachineName的密碼hehe,ok,大功告成!現在IUSR_MachineName賬號擁有了管理員的許可權,但是你使用net.exe和管理工具中的使用者管理都將看不到任何痕跡,即使你去察看所屬於的組和使用者,都和修改前沒有任何區別。大概就知道這麼多了,各位如果有更好的方法不吝賜教
本人喜歡東躲西藏,所以總結出了一些隱藏的方案,具體看情況定了: 那麼一般進入一臺伺服器後隱藏自己的手段有:
1、superdoor克隆,但是有bug。榕哥的ca克隆,要依賴ipc,也不是很爽
2、建立count$這樣的隱藏帳號,netuser看不到,但是在管理》使用者裡可以看到,而且在我得電腦屬性》使用者配置檔案裡顯示未知帳號,而且在document and setting裡,會有count$的資料夾,並不是特別好,我在3臺左右機子上作了結果都被kill了。
3、寫一個guest.vbs啟動時建立一個帳號或者啟用guest使用者或者tsinternetuser使用者,在登錄檔裡的winlogon裡匯入鍵值(事先做好),讓他開機自執行guest.vbs,這樣就建立了一個幽靈帳號。 或者匯入在[HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor] "AutoRun"="C:\\Program Files\\guest.vbs" 這樣是關聯到cmd,只要執行就建立。
4、像冰河那樣關聯到txt,exe,執行txt就執行我們的程式
5、在組策略裡配置自執行項。
6、設定檔案關聯,重要執行記事本或者什麼就啟用vbs
7、種植hackdefender,hack’sdoor,winshell,武漢男生之類的後門,但是容易被查殺,如果沒有改造幾乎沒有效果,如果不被殺,那就。。。嘿嘿!!
8、夾雜檔案,把經常用到的檔案替換成rar自解壓檔案,既包含原exe檔案又執行自己的程式(就是winrar做的不被查殺的捆綁)執行後就重複3,4,5的步驟,誰便你了。
9、尋尋覓覓之間,發現hideadmin這個玩意好不錯,要求有administrator許可權,隱藏以$結尾的使用者,帥呆了!命令列,管理介面,使用者配置檔案裡都找不到他的身影,一個字,強!強到我搞了好半天都不知道怎麼去除了,只有讓他待著吧!倒~ 接著教主也有一個工具,有異曲同工之妙。
10、替換服務,將telnet或者termsvc替換成別的服務或者建一個新的~
11、手工在登錄檔中克隆隱藏賬號,網上流傳的一個看似很爽的方法,但經本人的2000 server測試也許是不在域中的原因根本不存在domains或者account這個鍵值,所以也就無從找起了。 但還是詳述一下: Windows 2000和Windows NT裡,預設管理員帳號的SID是固定的500(0x1f4),那麼我們可以用機器裡已經存在的一個帳號將SID為500的帳號進行克隆,在這裡我們選擇的帳號是IUSR_MachineName (為了加強隱蔽性)。 cmd 下 regedit /e admin.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4 將SID為500的管理員帳號的相關資訊匯出,然後編輯admin.reg檔案,將admin.reg檔案的第三行 [HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4] 最後的’1F4’修改為IUSR_MachineName的SID(大部分的機器該使用者的SID都為0x3E9,如果機器在最初安裝的時候沒有安裝IIS,而自己建立了帳號後再安裝IIS就有可能不是這個值),將Root.reg檔案中的’1F4’修改為’3E9’後執行然後另外一個是你需要修改那個賬號的值regedit /e iusr.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000003E9,將iusr.reg檔案中“’V’=hex:0”開始一直到iusr.reg檔案結束部分複製下來,然後替換掉adam.reg中同樣位置的部分.最後使用 regedit /s adam.reg 匯入該Reg檔案,然後執行 net user IUSR_MachineName password,修改IUSR_MachineName的密碼hehe,ok,大功告成!現在IUSR_MachineName賬號擁有了管理員的許可權,但是你使用net.exe和管理工具中的使用者管理都將看不到任何痕跡,即使你去察看所屬於的組和使用者,都和修改前沒有任何區別。大概就知道這麼多了,各位如果有更好的方法不吝賜教