第18章  保留一把钥匙—后门技术黑客必备cmd命令大全
18.1  什么后门
后门程序又称特洛伊木马,
其潜伏在目标计算机中,从事搜集信息或便于黑客进入的动作。后门是一种登录系统的方法,它不仅绕过系统已有的安全设置,而且还能挫败系统上各种增强
的安全设置。后门从简单到奇特,包括很多的类型,如账号后门、系统服务后门等。简单的后门可能只是建立一个新账号或接管一个很少使用的账号;复杂的后门(包括木马)可能会绕过系统的安全认证,而对系统有安全存取权。
18.2  账号后门
黑客为了能够长期控制目标计算机,往往会在第一次入侵成功后,在该主机内建立一个备用的管理员账号,
这种账号就是最简单的后门账户。对于一般用户来说,好在这些后门账号,不但有密码过期的麻烦,而且管理员只要稍微小心点,就很容易发现这种账号。除封杀该账号外,管理员还可以对自己的计算机进行彻底杀毒、打补丁以及修复修改漏洞等来防范这些简单
的后门账号。
而克隆账号就不那么简单了,它是把管理员权限复制给一个普通用户,即把系统内原有的账号变成管理员权限的账号。克隆出来的账号与直接赋予管理员权限的账号区别在于:直接赋予管理员权限的账号,可以使用命令和账号管理来看出该账号的权限,而被克隆出现的账号却无法直接被查出,所以克隆账号可以被黑客用作后门账号。
18.2.1  手动克隆账号
克隆帐号就是把管理员权限复制给一个普通用户,让普通用户具有管理员的权限,如把Gue 克隆账号就是把系统中存在的某一个账号,设置为拥有系统管理员权限的账号,克隆出来的账号无法用“账号管理”来查出该账号的真实权限,所以,克隆账号常被入侵者作为“后门账号”。
保存了账号的SID 标志符,一处是SAM\Domains \Account\Users 下的子项名,另一处在该子项的F 项值中。这里微软犯了个不同步的错误,登录时用的是后者,查询时用前者。因此,当用administrator 子
项的F 项覆盖其他账号F 项后,就造成了账号是管理员权限,但查询还是原来状态的情况,这就是所谓的克隆账号。
通常情况下,对管理员账号的克隆是通过修改注册表中的SAM 来实现的,用户可以通过修改注册表中的SAM 的信息,对
提示
SID 是唯一身份编号,存在于本地SAM 数据库中,系统就是通过查看它来确定是不是管理员的。
18.1
什么后门
本节视频教学录像:3分钟
18.2
账号后门本节视频教学录像:8分钟
黑客攻防从新手到高手
Windows系统的账号进行管理,但由于SAM 关系到整个操作系统的安全,所以总是会成为系统的重点保护对象,并且Windows中即使使用了管理员权限,也不能对注册表中的SAM进行访问,因为在【注册表编辑】窗口中看不到SAM的内容。
SAM是专门用来管理操作系统中的账号的数据库,所以里面存放有账号的所有属性,当然包含账号的权限密码等信息,这是一个非常关键的部分。
手工克隆账号技术因其操作系统的不同会有不同的方法,大体上有At命令法和regedt32两种方法,下面对At命令法进行详细的介绍。
At命令法是应用最为广泛的一种克隆技术,不仅方法简单,而且任何版本的操作系统都可以运用此方法
实现克隆操作。
具体的操作步骤如下。
➊利用远程桌面连接程序或其他方法入侵到对方计算机中。在被入侵的计算机中右击【我的电脑】图标,从弹出的快捷菜单中选择【管理】菜单命令,即可打开【计算机管理】窗口。
➋单击【服务和应用程序】中的【服务】选项,即可进入【服务】设置界面。
➌双击【Task Scheduler】选项,即可打开【Task Scheduler的属性】对话框。将【Task Scheduler】的启动类型设置为【手动】之后,单击【启动】按钮,即可将此服务启动。
➍在【运行】对话框中输入“cmd”命令,单击【确定】按钮,即可打开【cmd命令符】窗口,再在命令行下运行“time”命令,即可查看当前系统的时间。