网络后门与隐身.doc

网络后门与隐身 1、 开启远程计算机的TELNET 查看虚拟机TELNET 服务状态，控制面板/管理工具/服务/ 在本地机上执行 cscript RTCS.vbe 192.168.1.9 y 123 1 23”， n 其中cscript是操作系统自带的命令 n RTCS.vbe是该工具软件脚本文件 n IP地址是要启动Telnet的主机地址 n administrator是用户名123456是密码 n 1是登录系统的验证方式23是Telnet开放的端口 在次查看虚拟机TELNET状态，发现已经启动 执行完成后，对方的Telnet服务就被开启了。在DOS提示符下，登录目标主机的Telnet服务，首先输入命令“Telnet 192.168.1.9”，因为Telnet的用户名和密码是明文传递的，首先出现确认发送信息对话框，如图所示 输入用户名密码，有时要几次才能登陆 登陆成功，如界面 这个时候就进入对方的命令行，可进行拷贝、IPCONGFIG、net use 等功能了 2、 建立WEB、TELNET服务 在虚拟机运行NETSTAT -AN查看计算机端口状态，发现707、808端口开放 在本地主机的IE地址栏输入HTTP：//192.168.1.9：808，可看到远程主机磁盘内容 将本地机C盘的文件1.txt和REG.EXE文件上传到对方的计算机系统目录下 （也可以利用IPC$连接后上传文件，见下图）， 也可以下载远程主机的文件,下面将上传得文件加入到对方主机的启动项中 在本地机中打开对方的命令行状态，执行 reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v service /d 1.txt 在本地机的命令行输入telnet 192.168.1.9 707可登陆到对方计算机，进行TELNET，但此时对方的23号端口或服务中TELNET 可以没有打开（请思考原因） 请清除打开开启707、808端口的后门程序 3、 删除日志 查看主机系统日志和IIS日志 查看虚拟机IIS日志 system32\logfiles，可以看到本地主机多次访问它，以下操作设法删除它 上传工具软件CLEANIISLOG 利用工具获得目标计算机的用户名和密码 利用IPC$与目标主机建立连接 net use \\目标IP\ipc$ password /user:name，连接成功 将工具软件CLEANIISLOG上传对方主机的系统目录下，命令为： copy CLEANIISLOG.exe\\192.168.1.9\ c$\winnt\system32 如图 清除远程主机IIS日志 在对方主机的命令行CLEANIISLOG..exe ex050625.log 要删除的IP 删除前部分远程主机日志 删除成功的界面 n 使用工具软件clearel.exe，可以方便的清除系统日志，首先将该文件上传到对方主机，然后删除这三种日志的命令格式为： n Clearel System n Clearel Security n Clearel Application n Clearel All 观察删除前后远程计算机日志