网络安全(黑客攻防)_脚本攻击与后门2.ppt

三、实验步骤（5） 5、调用系统函数： 在010136ff处写上“push 010136b0” 写上“call WinExec”， 写上“push 010136cf”， 在0101370e处写上“call WinExec”， 图5－36 调用系统函数 三、实验步骤（6） 6、修改程序的入口点语句：回到程序的入口点地，将此处的汇编语句修改为“jmp 010136ff”，发现0101247a和0101247b处的原始语句均被nop语句修改了，如图5－37。 图5－37 修改程序的入口点语句 三、实验步骤（7） 7、还原程序入口点语句：回到010136ff处，将原程序入口点处被破坏的语句重新填充上──即写上“push 70”，写上“ push 010015e0”，在0101371a处写上“jmp 0101247c”，如图5－38。 图5－38 还原入口点语句 三、实验步骤（8、9） 8、保存并运行calc.exe，如图5－39。 图5-39 运行带后门的计算器程序 9、测试：计算器程序正常运行，然后进入控制面板，发现多了名为zrrqsdwb口令为123的具有管理员权限的用户帐号，如图5-40。 图5-40 查看用户帐号 三、实验步骤（10） 10、验证：在B机上用这个新建的zrrqsdwb帐号身份可以与A机进行连接。 四、实验小结 免费软件的制作者使用插入后门的方法在使用者主机上偷偷建立后门帐号，如果黑客将带有后门帐号的程序打包，那么使用了该程序包的主机就会留有后门帐号。用户使用免费软件时要注意经常查看有无自己不认识的帐号被添加进来。 五、防御措施 用户如果想要加强个人主机的安全性，不仅需要减少非正版软件的使用次数，而且需要经常留意自己的主机上有无后门帐号。当然，用户还需要让自己的主机处于一种安全配置状态（非默认配置状态），这样才能最大限度地保证自己主机的安全，防止用户主机上的重要资料因各种技术原因而泄密。 三、实验步骤（3） 3、在“开始”任务栏中－运行regedit打开注册表编辑器，依次展开HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users。先查看注册表当前有哪些用户，其权限对应的是哪些项。可以看到Names下的administrator帐号对应的权限为000001f4，hacker$帐号对应的权限为000003f5(注意在注册表中我们新建立的hacker$帐号是非默认存在的用户帐号，无论在HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Names中hacker$排在第几位，对应的权限为注册表中HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users下那些默认帐号之后的新增项)，如图5－25。 图5－25 注册表中帐号与权限的对应关系 三、实验步骤（4） 4、将hacker$，000001f4，000003f5这三项导出并分别命名为 hacker$.reg，000001f4.reg，000003f5.reg。再用记事本对这几个导出的注册表文件进行编辑，将000001f4.reg下的F键值进行复制，并覆盖000003f5.reg中的F键的键值。然后将hacker$.reg与000003f5.reg合并至hacker$250.reg。 三、实验步骤（5、6） 5、DOS命令行下运行net user hacker$ /del，删除hacker$。 6、双击hacker$250.reg，隐藏重建hacker$帐号。 三、实验步骤（7、8） 7、运行regedt32，选中HKEY_LOCAL_MACHINE\SAM\SAM―右击―权限―去掉administrator的权限（权限还原为默认设置）并关闭。 8、B机给自己的administrator帐号设置复杂口令。 三、实验步骤（9） 9、测试：A机重新以hacker$帐号连接至B机的3389端口，连接成功且具有管理员权限。在B机的DOS命令行、控制面板、注册表中都无法发现hacker$帐号的痕迹。 四、实验小结 微软的操作系统中所做的一切操作在注册表中都能找到配置痕迹，利用注册表的导入就可以增加一个管理员权限的用户帐号。 五、防御措施 用户使用主机时要经常查看注册表的信息，以免被黑客采用注册表导入的方式隐藏建立管理员权限的用户帐号。 实验5－7：在免费软件中建立后门帐号