攻防入門:趕緊看看你電腦里有沒有后門
當(dāng)黑客入侵一臺(tái)主機(jī)后,會(huì)想方設(shè)法保護(hù)自己的“勞動(dòng)成果”,因此會(huì)在肉雞上留下種種后門來長時(shí)間得控制肉雞,其中使用最多的就是賬戶隱藏技術(shù)���。在肉雞上建立一個(gè)隱藏的賬戶��,以備需要的時(shí)候使用�。賬戶隱藏技術(shù)可謂是最隱蔽的后門���,一般用戶很難發(fā)現(xiàn)系統(tǒng)中隱藏賬戶的存在,因此危害性很大���,本文就對(duì)隱藏賬戶這種黑客常用的技術(shù)進(jìn)行揭密�����。
在隱藏系統(tǒng)賬戶之前���,我們有必要先來了解一下如何才能查看系統(tǒng)中已經(jīng)存在的賬戶����。在系統(tǒng)中可以進(jìn)入“命令提示符”,控制面板的“計(jì)算機(jī)管理”,“注冊(cè)表”中對(duì)存在的賬戶進(jìn)行查看�����,而管理員一般只在“命令提示符”和“計(jì)算機(jī)管理”中檢查是否有異常,因此如何讓系統(tǒng)賬戶在這兩者中隱藏將是本文的重點(diǎn)����。
一����、“命令提示符”中的陰謀
其實(shí)����,制作系統(tǒng)隱藏賬戶并不是十分高深的技術(shù)��,利用我們平時(shí)經(jīng)常用到的“命令提示符”就可以制作一個(gè)簡單的隱藏賬戶。
點(diǎn)擊“開始”→“運(yùn)行”�,輸入“CMD”運(yùn)行“命令提示符”�,輸入“net user piao$ 123456 /add”,回車,成功后會(huì)顯示“命令成功完成”���。接著輸入“net localgroup administrators piao$ /add”回車,這樣我們就利用“命令提示符”成功得建立了一個(gè)用戶名為“piao$”,密碼為“123456”的簡單“隱藏賬戶”,并且把該隱藏賬戶提升為了管理員權(quán)限��。
我們來看看隱藏賬戶的建立是否成功�。在“命令提示符”中輸入查看系統(tǒng)賬戶的命令“net user”����,回車后會(huì)顯示當(dāng)前系統(tǒng)中存在的賬戶��。從返回的結(jié)果中我們可以看到剛才我們建立的“piao$”這個(gè)賬戶并不存在��。接著讓我們進(jìn)入控制面板的“管理工具”�����,打開其中的“計(jì)算機(jī)”�,查看其中的“本地用戶和組”,在“用戶”一項(xiàng)中�����,我們建立的隱藏賬戶“piao$”暴露無疑��。
可以總結(jié)得出的結(jié)論是:這種方法只能將賬戶在“命令提示符”中進(jìn)行隱藏����,而對(duì)于“計(jì)算機(jī)管理”則無能為力����。因此這種隱藏賬戶的方法并不是很實(shí)用�,只對(duì)那些粗心的管理員有效�,是一種入門級(jí)的系統(tǒng)賬戶隱藏技術(shù)。
二�����、在“注冊(cè)表”中玩轉(zhuǎn)賬戶隱藏
從上文中我們可以看到用命令提示符隱藏賬戶的方法缺點(diǎn)很明顯�,很容易暴露自己���。那么有沒有可以在“命令提示符”和“計(jì)算機(jī)管理”中同時(shí)隱藏賬戶的技術(shù)呢��?答案是肯定的���,而這一切只需要我們?cè)凇白?cè)表”中進(jìn)行一番小小的設(shè)置��,就可以讓系統(tǒng)賬戶在兩者中完全蒸發(fā)��。
1�����、峰回路轉(zhuǎn)�,給管理員注冊(cè)表操作權(quán)限
在注冊(cè)表中對(duì)系統(tǒng)賬戶的鍵值進(jìn)行操作�,需要到“HKEY_LOCAL_MACHINE\SAM\SAM”處進(jìn)行修改��,但是當(dāng)我們來到該處時(shí)�����,會(huì)發(fā)現(xiàn)無法展開該處所在的鍵值��。這是因?yàn)橄到y(tǒng)默認(rèn)對(duì)系統(tǒng)管理員給予“寫入D AC”和“讀取控制”權(quán)限��,沒有給予修改權(quán)限,因此我們沒有辦法對(duì)“SAM”項(xiàng)下的鍵值進(jìn)行查看和修改����。不過我們可以借助系統(tǒng)中另一個(gè)“注冊(cè)表編輯器”給管理員賦予修改權(quán)限���。
點(diǎn)擊“開始”→“運(yùn)行”�,輸入“regedt32.exe”后回車,隨后會(huì)彈出另一個(gè)“注冊(cè)表編輯器”�����,和我們平時(shí)使用的“注冊(cè)表編輯器”不同的是它可以修改系統(tǒng)賬戶操作注冊(cè)表時(shí)的權(quán)限(為便于理解�����,以下簡稱regedt32.exe)�。在regedt32.exe中來到“HKEY_LOCAL_MACHINE\SAM\SAM”處,點(diǎn)擊“安全”菜單→“權(quán)限”��,在彈出的“SAM的權(quán)限”編輯窗口中選中“administrators”賬戶�,在下方的權(quán)限設(shè)置處勾選“完全控制”��,完成后點(diǎn)擊“確定”即可�。然后我們切換回“注冊(cè)表編輯器”,可以發(fā)現(xiàn)“HKEY_LOCAL_MACHINE\SAM\SAM”下面的鍵值都可以展開了���。
提示:上文中提到的方法只適用于Windows NT/2000系統(tǒng)。在Windows XP系統(tǒng)中�,對(duì)于權(quán)限的操作可以直接在注冊(cè)表中進(jìn)行,方法為選中需要設(shè)置權(quán)限的項(xiàng)��,點(diǎn)擊右鍵,選擇“權(quán)限”即可����。
2、偷梁換柱�,將隱藏賬戶替換為管理員
成功得到注冊(cè)表操作權(quán)限后�,我們就可以正式開始隱藏賬戶的制作了。來到注冊(cè)表編輯器的“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names”處�����,當(dāng)前系統(tǒng)中所有存在的賬戶都會(huì)在這里顯示�����,當(dāng)然包括我們的隱藏賬戶。點(diǎn)擊我們的隱藏賬戶“piao$”����,在右邊顯示的鍵值中的“類型”一項(xiàng)顯示為0x3e9����,向上來到“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\”處��,可以找到“000003E9”這一項(xiàng)���,這兩者是相互對(duì)應(yīng)的���,隱藏賬戶“piao$”的所有信息都在“000003E9”這一項(xiàng)中�。同樣的��,我們可以找到“administrator”賬戶所對(duì)應(yīng)的項(xiàng)為“000001F4”。
將“piao$”的鍵值導(dǎo)出為piao$.reg���,同時(shí)將“000003E9”和“000001F4”項(xiàng)的F鍵值分別導(dǎo)出為user.reg��,admin.reg��。用“記事本”打開admin.reg���,將其中“F”值后面的內(nèi)容復(fù)制下來�,替換user.reg中的“F”值內(nèi)容,完成后保存��。接下來進(jìn)入“命令提示符”���,輸入“net user piao$ /del”將我們建立的隱藏賬戶刪除�����。最后�����,將piao$.reg和user.reg導(dǎo)入注冊(cè)表��,至此��,隱藏賬戶制作完成�。
3��、過河拆橋�,切斷刪除隱藏賬戶的途徑
雖然我們的隱藏賬戶已經(jīng)在“命令提示符”和“計(jì)算機(jī)管理”中隱藏了,但是有經(jīng)驗(yàn)的系統(tǒng)管理員仍可能通過注冊(cè)表編輯器刪除我們的隱藏賬戶�����,那么如何才能讓我們的隱藏賬戶堅(jiān)如磐石呢���?
打開“regedt32.exe”,來到“HKEY_LOCAL_MACHINE\SAM\SAM”處,設(shè)置“SAM”項(xiàng)的權(quán)限��,將“administrators”所擁有的權(quán)限全部取消即可���。當(dāng)真正的管理員想對(duì)“HKEY_LOCAL_MACHINE\SAM\SAM”下面的項(xiàng)進(jìn)行操作的時(shí)候?qū)?huì)發(fā)生錯(cuò)誤����,而且無法通過“regedt32.exe”再次賦予權(quán)限。這樣沒有經(jīng)驗(yàn)的管理員即使發(fā)現(xiàn)了系統(tǒng)中的隱藏賬戶����,也是無可奈何的�。
