大三下分析课件.pptxVIP

留后门与清脚印技术伍淳华北京邮电大学计算机学院

概述?后门：黑客入侵用户主机之后，为了可随时占用这些计算机资源，会增设漏洞、建立帐号、种植木马等，达到更有效的控制系统的目的；脚印：为了在入侵计算机后不会轻易被管理员发现，会及时断开与远程主机/服务器的连接，删除引用的过渡日志文件，抹去入侵的一切痕迹；

后门技术?手工克隆帐号技术克隆帐号：把管理员权限复制给一个普通用户，即把系统中原有的帐号变成管理员帐号。直接赋予管理权限的帐号，可以使用“命令”和“帐号管理”来查看其直接权限，而被克隆出来的帐号无法用“帐号管理”查看其真实权限。克隆帐号常被入侵者作为“后门帐号”。

后门技术?手工克隆帐号技术WINDOWS中对用户帐号的管理：1.[HKEY_LOCAL_MACHINE\SAM\Domains\Account\Users\]下的子键名；帐户查询时使用；2.[HKEY_LOCAL_MACHINE\SAM\Domains\Account\Users\]下的子键的[F]子项的值，WINDOWS系统登陆时用该项的值；手工克隆帐号的原理：用[administrator]的[F]子项的值覆盖其它帐号的[F]子项的值，其结果是帐号是管理员权限，但查询还是原来的状态；

后门技术?手工克隆帐号技术对注册表的[HKEY_LOCAL_MACHINE\SAM]进行访问：SAM关系到整个系统中帐号的安全，一般在WINDOWS中，只有拥有System权限才可以对注册表中的SAM进行访问。

后门技术?手工克隆帐号技术对注册表的[HKEY_LOCAL_MACHINE\SAM]进行访问：XP，WIN7等：点击“开始”→“运行”，输入“regedt32.exe”后回车，弹出“注册表编辑器”。在regedt32.exe中来到“HKEY_LOCAL_MACHINESAMSAM”处，点击“编辑”菜单→“权限”，在弹出的“SAM的权限”编辑窗口中选“administrators”帐户，在下方的权限设置处勾寻完全控制”，完成后点击“确定”，重启注册表即可。WINNT，WIN2000：

后门技术?手工克隆帐号技术对注册表的[HKEY_LOCAL_MACHINE\SAM]进行访问：WINNT，WIN2000：借助于工具软件psu.exe;

后门技术?手工克隆帐号技术对注册表的[HKEY_LOCAL_MACHINE\SAM]进行访问：WINNT，WIN2000：查看System的进程号

后门技术?手工克隆帐号技术对注册表的[HKEY_LOCAL_MACHINE\SAM]进行访问：WINNT，WIN2000：利用PSU提升权限：psu–pregedit–i8

后门技术?手工克隆帐号技术在[HKEY_LOCAL_MACHINE\SAM\Domains\Account\Users\]下找到对应于Administrator的子项：

后门技术?

后门技术?手工克隆帐号技术用[HKEY_LOCAL_MACHINE\SAM\Domains\Account\Users\000001F4]下的[F]子项值替换其他帐号的[F]值，完成帐号克隆；禁用帐号：为了使后门帐号更加隐蔽，还需要将后门帐号禁用。netuserguest/active:no

后门技术?

后门技术?

后门技术?手工克隆帐号技术演示

后门技术?程序克隆帐号技术（自学）

后门技术?在命令提示符中制作后门帐号psu.exe:提升权限，修改注册表中的SAM；reg:WIN自带的基于命令行的注册表编辑工具，可备份、修改复制相应的键值；tasklist:WIN自带的基于命令行的进程查看工具；

后门技术?在命令提示符中制作后门帐号基本思路：由tasklist获取远程机器的SYSTEM进程号；编写BAT文件，完成由Administator用户的[F]复制到Guest的[F]值；删除Guest用户的[F]值；拷贝Administator用户的[F]到Guest的[F]值；禁用Guest帐号并添加密码删除工具文件

后门技术?在命令提示符中制作后门帐号由tasklist获取远程机器的SYSTEM进程号；tasklist/sip/uusername/ppassword

后门技术?在命令提示符中制作后门帐号编写BAT文件，完成由Administator用户的[F]复制到Guest的[F]值；reg命令

后门技术?在命令提示符中制作后门帐号reg命令

后门技术?在命令提示符中制作后门帐号删除Guest用户的[F]值:reg命令：regdeletehklm\sam\sam\domains\account\users\000001f5/vf/freg命令+权限提升：psu–p“reg