远控只要知道对方苹果id和密码的电脑名就可以了吗?要密码吗?又有什么方法能知道
点击联系发帖人
时间:2016-10-25 11:56
请完成以下验证码
查看: 21459|回复: 74
电脑总是被人远控 到底怎么回事 求大神......
blackboy123
笔记本被人装了VPN远控或者类似的东西 具体我不知道 求解除办法 或者反监控它 谁帮我搞定这事情 能救很多人 这是一个专业诈骗团伙 专在电脑 智能手机里 盗窃个人隐私 然后用网银转账盗窃 网下用复制的银行卡盗窃 他们有这种技术 只要知道你的卡号 就可以复制普通的银行磁条卡 什么借记卡 信用卡 等等等等 只要没有IC芯片的磁条卡 都可以复制 这一步下来 就差密码了 所以大家一定要保管好自己的取款密码 关闭手机银行 电话银行 网银转账等服务 我所说的都是真实的事情 中国各个银行的磁条卡太操蛋了 如果是新出来的芯片卡就难以复制 你去银行问他们一定不承认 为什么自己想吧 谁会公开说自己家的东西有问题呢 反正一定是类似远程监控的东西
----------------------------------------------------
还有提醒大家 特别是用智能手机的朋友 现在的犯罪分子有很多方法在你电话里安装间谍软件 窃取隐私 JAVA这东西太危险了 包括iphone里的javaScript最好关掉 不安全。
如果是非智能手机 比如只能打电话和发文本形式短消息的电话 当心自己的GSM网络 并不如你所想的
那么安全 现在的诈骗分子有一种设备 GSM信号阻截器 具体原理我不清楚 我猜大概是通过抓包的方式分析上下行信号的数据 以求在里面找到隐私数据 还有一种 类似DOS断网攻击 把你的GSM信号通过一个私自建立的小型中转基站发射
也就是说 比如A给C打电话 本来是通过国家电信部门基站B进行信号传送 现在突然冒出来一个X 也就是A&X&B&C 如果反向监听C 那么就是C&X&B&A 所有的数据都通过类似重定向技术在这个不合法的X这个转了一圈 那么你的这些通信数据几乎就全部被X截获了 虽然GSM是加密信号 但是到底有么有被解密 多数人是不知道的 我也不清楚 我是外行 但是我觉得他们既然这么操作了 就一定有原因 如果大家以后碰到手机莫名其妙发出电磁噪音 类似兹兹的声音 不是手机放在音响边发出的那种信号噪声&&区别很大 一听就能分辨 这种情况 大家一定要当心注意。
----------------------------------------------------
第三种,复制你的SIM卡 这件事情直接在我身上发生 虽然我不清白是怎么做到的 但是我可以告诉大家这个操作的过程
人物3个分别是 X:诈骗者 B:本人 C:本人的朋友 (事后才知道C是X的同谋)X B C 三个人都是认识的。
诈骗者X 打电话给B&&说有急事找C 谎称C不接它的电话,于是要我帮忙找C 于是我打电话给C (电话绝对是没人接或者关机)就是在我拨打C电话的时候 我的电话听筒就发出这个奇怪的电子噪音 兹兹兹叽矶 语言无法描述 反正和正常情况下手机放电器边的那总噪音完全不一样 一听就能区分 从没听到过电话有这种声音,我补了5次卡 每次都是这个过程 大家想想吧,那个号码我都扔了 建议大家自备一个非智能电话 最好是CDMA网络的 这个电话和卡号 连家人也不要联系 至于为什么自己想 就是用来操作比较重要的二次认证使用的
过程就是这样 之后电话异常 之后去营业厅补卡 恢复正常 我一补卡 这个诈骗者X就知道了 它是怎么知道的?没错 短消息通知 现在很多支付宝 网银的操作都是通过短消息二次认证的 如果.....后果......自己想。
----------------------------------------------------
以上所言 不是我从网上论坛上抄来的 自己亲身经历 绝没多想 句句大实话 希望大家在以后的信息化时代 要多留一份心眼&&
GSM网络真的不安全
CDMA网络的相对安全一些
大家自己可以网上查询相关资料
说了一大堆 好了 求大侠帮忙看看目前我要解决的问题吧......
一下是一些情况 有一些可能是我计算机知识匮乏而错误提出 但是部分绝对有问题.
----------------------------------------------------
1.说一下我的网络情况 用路由器上网的情况下 楼道上一台二层交换机 10M网线从交换机拉到家里 上网方式是PPPoE拨号上网 可以直接插入电脑拨号上网,有时候我要用无线 就把网线插入自己的无线路由器 无线上了一会网 我就会看路由日志 显示:
remote management is disabled
anti-spoofing enabled
block WANG PING enabled
URL blocking disabled
VPN(IPsec)Pass-through enabled
VPN(PPTP)Pass-through enabled
VPN(L2TP)Pass-through enabled
PPPoE line connected
CHAP AUTHENTICATION SUCCEEDED
PPPoE:RECEIVE PADS
PPPoE:SENDING PADS
WAN DIALUP TRY TO EASTABLISH PPPoE line
PPPoE:SENDING PADI
Manual Hangup Disconnect PPPoP line
Pre-source ACK Flood ATTACK DETECT Pakect Dropped
whole system ACK Flood Attack from WAN Rule:Default deny
Authentication success cb-ca-ad-dd-dc-2a
Authenticating......& &cb-ca-ad-dd-dc-2a
port scan attack detect packet dropped
per-source ACK Flood Attack detect dropped
whole system ACK Flood Attack from WAN Rule:Default deny
port scan attack detect packet dropped
per-source ACK Flood Attack detect dropped
whole system ACK Flood Attack from WAN Rule:Default deny
port scan attack detect packet dropped
per-source ACK Flood Attack detect dropped
whole system ACK Flood Attack from WAN Rule:Default deny
port scan attack detect packet dropped
per-source ACK Flood Attack detect dropped
whole system ACK Flood Attack from WAN Rule:Default deny
whole system UDP flood attack from WAN
per-source UDP FloodAttack Detect packet Dropped
whole system UDP flood attack form WAN
大致就是这些 反复重复着下面一些日志 我路由器开了防ARP欺骗 绑定了MAC 日志看不太懂 大家看看是不是受到攻击
2.每次安装系统 电脑总显示 CHS DISK ERROR 什么 DISK 81H 错误 但是不影响安装 (我用过正版的 盗版的 网上下载的ISO 乱七八糟10几种 所以不存在安装源有问题的可能性)
3.无数次格式化分区无效&&每次重装好系统 IE都指向www.mircosoft\FWLINK.......如果大家BAIDU等类似网站
都会显示/?02 等等等等后面会多出些字符。
4.右击“我的电脑”里面的 计算机描述是灰色 无法更改 网络ID是灰色 无法更改 “域”会变成灰色 也无法更改记得刚完成系统安装第一次进入系统 这都是可以改的 为什么之后的使用就都变灰色?WHY????这个域到底是什么东西 为什么我不能修改?
5.IPsec无法启动 回复我什么XXXX错误 我也忘了
6.$IPC共享无法关闭&&
7.组策略有时候会显示 您无权操作 我无权操作我自己电脑的组策略?administrator
8.进入账户管理 用administrator删除帐呼组 显示“您无法在内置账户上运行此操作” 什么意思啊 我可是ADMINISTRATOR账号登陆的 怎么变成内置账户了?
9.登陆某些论坛 会显示您胡登陆地点在浙江 改一下网卡MAC 又变成在上海黄浦 一直会变化 如果接下来不修改MAC
基本就显示黄浦为登陆点&&我把电脑从我家搬到另一个区的朋友家上网 竟然登陆点还是 黄浦
10.每次一装好系统 我连网线都没接 WIFI网卡直接物理拔掉 在事件查看器 “安全性”里竟然发现有一个
来源:Security
类型:成功审核
事件ID: 517
用户:AUTHORITY\SYSTEM
机器名:3A1DB41A19F247B 这个不是我的机器名字
描述文本框里写的是:
&审核日志已经清除&
%主要用户名:system
主域:NT AUTHORITY&&
主登录ID: (0x0,0x3E7)
客户端用户名:SYSTEM
客户端域:NT AUTHORITY
客户端登录ID: (0x0,0x3E7)
我网线都没插 WIFI网卡都拔掉了 它怎么入侵我的?本事不小。
11.COMOD防护墙 一直会显示 很多刚装好的正常的软件会连接 比如 AntiARP.EXE尝试访问DNS/RPC客户端服务 DNS/PRC客户端服务允许程序通过使用WINDOWS进程SVCHOST.EXE多次执行网络连接
12.上网过程中 COMMOD一直会显示很多程序会连接一个“53”端口
13.如果我用路由器上网 安好彩影防火墙 总报告一些不可信的路由地址 还时不时显示cmdagant.exe试图关闭彩影 有时候又显示 setup.exe试图关闭&&我后来又安装了瑞星杀毒&&彩影竟然会显示瑞星的文件试图关闭彩影 文件名字我忘了 但确定是瑞星的文件,
14.有时候彩影还会报警 受到一个伪装的过的IP攻击 TCP/SYN ........
15.用路由器上网的情况下 说一下我的网络情况 楼道上一台二层交换机 10M网线从交换机拉到我家 可以直接插入上网 有时候我要用无线 就把网线插入无线路由器上了一会网 我就会看路由日志 显示:
16.用搜狗浏览器 怎么会显示用的是82端口??? HTTP不是80端口么?我用COMDO封杀了很多端口 难道有人端口映射??
17.刚装好系统 网线都没插 WIFI卡拔掉的情况下 用NETSTAT -ANO命令查看显示
port&&local address& &foreign address& &state& && & PID
TCP& &0.0.0.0:445& &&&0.0.0.0& && && &&&LISTENING& &1660
TCP& &0.0.0.0:135& &&&0.0.0.0& && && &&&
UDP& &0.0.0.0:500& &&&*.*
UDP& &0.0.0.0:1900& & *.*
UDP& &0.0.0.0:4500& & *.*
UDP& &127.0.0.1:123& &*.*
UDP& &127.0.0.1:1900&&*.*
17.COMOD安全规则 网络区域里显示:
Loopback区域
ip在【127.0.0.1、255.0.0.0】
18.用了一段时间 COMDOD会莫名其妙变成黄色 写着 COMDOD正在被初始化
19.我是80G硬盘 在磁盘管理器下看只有75G 在MHDD里面看 似乎没有隐藏分区 还有什么高明技术可以隐藏硬盘分区么?
----------------------------------------------------
太多不正常的现象 比如喇叭里听到别人的QQ登录声 倒茶声 桌子椅子等等等等 我靠 我当时可没打开QQ自己房间万籁俱静。
最后我还想问一下大家 我的电脑有无可能在硬件上被做了手脚?因为曾经这个笔记本它有过物理接触。
这个事情我一定会报案 我只是在收集更多的证据。
万分感谢!!!!!!!!!!
blackboy123
以前我也发过这样胡求助贴 当时网络环境和这次不同 当时是电信猫+路由拨号上网
这次搬出去住了 直接是网线上的 没有猫
zhanghong9153
& & 首先说明一下,原先的的那个28页的帖子我大概都看过了。我对于电脑来说只是刚刚懂一些皮毛吧。
& & 给我的感觉是可能你现在很紧张,精神状态可能不太好。这种现象我能理解您,毕竟谁也不希望自己被监听,这种感觉确实很不爽。
& & 对于在计算机上面的建议,由于我很菜,所以我只能说一下我的处理步骤啊,希望能对你有所帮助。
& &1.断网,无论什么网络全都断掉(只是关于电脑,手机您随便吧,我不懂……)
& &2.刷新BIOS
& &3.低格磁盘;重写MBR
& &4.安装正版的系统(尽量从U盘安装,此时如果进入某些PE系统的话你或许会看到X盘的,这个应该是U盘的盘符)
& &5.安装驱动(这个自己提前下好,先不要联网)
& &6.安装各种安全软件,注意打好补丁(别联网……)
& &7.检查现在电脑是否还出现问题,注意前面是只安装安全软件,自己的软件都不要安装。接着在不联网的情况下没安装一个软件就看有没有问题,以排除是不是某个软件的问题
& &8.联网,这个步骤主要是看是不是DNS劫持,如果是,那就不是你自身电脑的问题了
& &最后,如果都没有查出问题,我认为可能是您过于紧张了,适当放松一下,有些时候过于敏感也不好^_^
zhanghong9153
& & 首先说明一下,原先的的那个28页的帖子我大概都看过了。我对于电脑来说只是刚刚懂一些皮毛吧。
& & 给我的感觉是可能你现在很紧张,精神状态可能不太好。这种现象我能理解您,毕竟谁也不希望自己被监听,这种感觉确实很不爽。
& & 对于在计算机上面的建议,由于我很菜,所以我只能说一下我的处理步骤啊,希望能对你有所帮助。
& &1.断网,无论什么网络全都断掉(只是关于电脑,手机您随便吧,我不懂……)
& &2.刷新BIOS
& &3.低格磁盘;重写MBR
& &4.安装正版的系统(尽量从U盘安装,此时如果进入某些PE系统的话你或许会看到X盘的,这个应该是U盘的盘符)
& &5.安装驱动(这个自己提前下好,先不要联网)
& &6.安装各种安全软件,注意打好补丁(别联网……)
& &7.检查现在电脑是否还出现问题,注意前面是只安装安全软件,自己的软件都不要安装。接着在不联网的情况下没安装一个软件就看有没有问题,以排除是不是某个软件的问题
& &8.联网,这个步骤主要是看是不是DNS劫持,如果是,那就不是你自身电脑的问题了
& &最后,如果都没有查出问题,我认为可能是您过于紧张了,适当放松一下,有些时候过于敏感也不好^_^
真是服了,楼主我就不相信,低格(非常伤硬盘)都搞不定?!
zhanghong9153 发表于
首先说明一下,原先的的那个28页的帖子我大概都看过了。我对于电脑来说只是刚刚懂一些皮毛吧。
& & 给 ...
看到第2第3步就笑得不行
里面有些问题根本不是问题,只是你自己太过多疑了,建议恶补一下计算机基础常识再来问吧
又见神贴,貌似以前卡饭出过一个类似的帖子,怀疑自己电脑被远控,手机被监听,银行卡被复制。建议有两个:1、去医院心理科看看,不用这么紧张,疑神疑鬼;2、补补电脑基础知识,不要一味地安装防护软件,却看不懂防护。
本帖最后由 zhuotao 于
16:25 编辑
我也觉得楼主有点草木皆兵了```
楼主可以试试换一台电脑使用一段时间,看看会不会出现这个情况```
看来楼主有钱人啊,而且是被一(群?)超级骇客盯上了……
Copyright & KaFan & All Rights Reserved.
Powered by Discuz! X3.3( 苏ICP备号 ) GMT+8,电脑开机密码忘记了怎么办?5种方法教你轻松找回电脑开机密码
- 绿茶文章中心
&&&&&&&&&电脑开机密码忘记了怎么办?5种方法教你轻松找回电脑开机密码
电脑开机密码忘记了怎么办?5种方法教你轻松找回电脑开机密码
作者:佚名
来源:绿茶软件园
电脑开机密码忘记了怎么办?经常有很多迷糊的网友会把自己的电脑开机密码给忘记了,那么怎么找回电脑开机密码呢?下面绿茶小编为大家介绍5种方法,让你轻松找回电脑开机密码。
不同系统开机密码忘记解决方法:
方法一:利用安全模式找回电脑开机密码
在开机时,按下F8进入&带命令提示符的安全&模式
输入&NET USER+用户名+123456/ADD&可把某用户的密码强行设置为&123456&
方法二:新建账户找回电脑开机密码
我们知道在安装Windows XP过程中,首先是以&administrator&默认登录,然后会要求创建一个新账户,以便进入Windows XP时使用此新建账户登录,而且在Windows XP的登录接口中也只会出现创建的这个用户账号,不会出现&administrator&,但实际上该&administrator&账号还是存在的,并且密码为空。
方法三:使用命令找回电脑开机密码
1、重新启动Windows XP,在启动画面出现后的瞬间,按F8,选择&带命令行的安全模式&运行。
2、运行过程停止时,系统列出了超级用户administrator和本地用户owner的选择菜单,鼠标点击administrator,进入命令行模式。
3、键入命令:&net user owner 123456/add&,强制性将OWNER用户的口令更改为&123456&。若想在此添加某一用户(如:用户名为abcdef,口令为123456)的话,请键入&net user abcdef 123456/add&,添加后可用&net localgroup administrators abcdef/add&命令将用户提升为系统管理组administrators用户,具有超级权限。
4.DOS下删windows\system32\config里面的SAM档就可以了
5.开机后按键盘的Delete键进入BIOS界面。找到User Password选项,其默认为关闭状态。启动并输入用户密码(1~8位,英文或者数字)。计算机提示请再输入一遍以确认密码无误,保存退出后重新启动机器,这时就会在开机时出现密码菜单。
方法四:利用管理员权限找回电脑开机密码
如果是FAT32,进入DOS,删除c:winntsystem32configsam*.*就可以了。登陆只要输入administrator不输密码即可。然后创建一个新的。要是NTFS则无效
另外如果你的系统没有加过微软的输入法补丁的话也可以利用输入法的漏洞去做一个管理员权限账号。
具体方法如下:
开机后,Win2000自启动,出现登录窗口,显示用户名,并要求输入密码(当然这时你不会有密码)。
这时请将输入焦点置于用户名一项,用Ctrl+Shift切换输入法(随便选上一种,只要能出现输入法工具条的就行)。在出现的输入法提示工具条上单击右键,选择帮助,会弹出一个帮助窗口。接下来你需要在这个窗口里找到一个(绿色带下划线)超级链接,并用SHIFT+鼠标左键单击,打开它会弹出一个IE窗口,请在窗口地址栏里输入c:,到这步你应该很清楚怎么做了。只要点击标准按键的&向上&,会发现你可以进入&控制面板&了,进入后你可以直奔&用户和密码&接下发生的事只有你自己知道了。
方法五:利用Administrator权利找回电脑开机密码
1.在计算机启动时按〔F8〕及选〔Safe Mode With Command Prompt〕
2.选〔Administrator〕后便会跳出〔Command Prompt〕的窗口
3.用〔Net〕的命令增加一个用户,例:增加一个用户名为alanhkg888,命令语法如下:
net user alanhkg888/add
4.将新增用户提升至Administrator的权力,例:提升刚才增加用户alanhkg888的权力,命令语法如下
net localgroup administrators alanhkg888/add
5.完成上列步骤后重新启动计算机,在启动画面上便增加了一个用户alanhkg888了,选alanhkg888进入
6.登入后在〔控制台〕&〔使用者账户〕&选忘记密码的用户,然后选〔移除密码〕后〔等出〕
7.在登入画面中选原来的用户便可不需密码情况下等入(因已移除了)
8.删除刚才新增的用户,在〔控制台〕&〔使用者账户〕&选〔alanhkg888〕,然后选〔移除账户〕便可
PS:不适用于忘记安装时所设定〔administrator〕的密码
忘记电脑开机密码的孩子伤不起啊!赶紧用上面的方法找回电脑的开机密码吧!
绿茶小编猜你还喜欢:
22:08:42绿茶网友[陕西省西安市]
为何还是打不开呢
11:34:58绿茶网友[广东省深圳市]
笔记本电脑开机按不了密码怎么办
本类推荐本类排行
热门软件热门标签我们坚信只有今天付出了,才有机会看到明天的太阳!
现在!加入我们,给你一个气氛优秀的技术圈子
查看: 2883|回复: 12
社区更新Forums
随机图赏Gallery
2017年中旬WEB渗透系列课程-02了解DNS2017年中旬WEB渗透系列课程-00前言ms17010 windows批量工具发放福利:百度云不限速版二期公开课第17节 - 数据库备份+突破AWVS11漏洞扫描器3389爆破神器(俄罗斯汉化版)只要你的字典足够强大WannaCry勒索病毒文件攻击流程2017年中旬WEB渗透系列课程-01HTTP协议红帽各个版本镜像
简单反查黑客远程控制/后门的方法
查看: 2883|回复: 12
马上注册,加入HACK80!与我们一起交流。
才可以下载或查看,没有帐号?
前面已提到了远程控制技术,
现在的很多黑客软件、外挂软件都存在后门程序的捆绑,所为后门程序就是在你的计算机中开某一个端口后门与黑客的主控端进行连接,一旦运行了捆绑后门的软件,你的电脑就中了后门程序,只要黑客在线就能随意的控制你的电脑了,不只是软件,当然假如你的计算机存在漏洞已经被黑客提权并且植入了木马你也没发现,黑客总是喜欢植入远程木马,远程木马控制你的计算机,黑客通过远程控制软件即主控端能监控你的桌面活动、监控你在干什么;可以查看你各个磁盘的文件,还可以把你的重要隐私文件、照片下载到黑客的电脑中;可以删除、格式化你的资料,修改你的操作系统设置,无时无刻监控着你。更可怕的是只要你有麦,就可以监听你的语音说话声,只要你有摄像头就可以在后台悄悄打开摄像头看到你本人。这是多么可怕的木马吧,这样把我们的全部隐私都暴露在了黑客的眼中。如果黑客再植入盗号木马那就更麻烦了。
所以现在本来在这里教大家简单的反黑客远程控制的方法,方法很简单,大家一学就会的。学习之前我们先了解下远程木马的几个特性然后针对这些特性如何去判别是否被远程控制,软件是否有后门?
一、远程控制的两个通性
(1)任何一款的远程控制技术都必须与目标(被控端)建立至少一个TCP或者UPD连接。如果黑客未上线,则会每隔30秒向黑客发起连接请求。
(2)任何一款远控木马都会向系统写入至少一个随机启动项、服务启动项,或者劫持某个系统必备的正常启动项。并且会在某个目录中隐、释放木马。以方便随机启动。
二、基于远控通性反远程控制法——两条命令判断是否被控制
1.最简单的方法就是通过两条命令,一条是“netstat “ 。另一条就是“tasklist “命令,这两条命令可真为是绝配的反黑客远控的方法啊。首先我们就在虚拟机中测试,在本机使用灰鸽子主控端生成一个木马放入到虚拟机中运行。
22:19 上传
2.确认虚拟机已经中了我们的远控木马之后我们开始执行第一条命令
首先大家先在联网的情况,把所有联网的程序都关闭,包括杀毒软件、QQ、迅雷、等存在联网的程序关闭,保存最原始的进程。这样很方便我们识别。再次打开开始菜单——运行——输入“cmd”
进入到黑色的DOS窗口下,输入命令“netstat -ano“。这条命令的意思是查看当前网络的连接状态。输入之后我们查看中主要看”state”的状态,如果是“listenning”是端口的监听这个可以放心,如果是“ESTABLISHED”可要注意了,这个状态意思是正在连接!我们肯定会想,我们都没开任何程序在联网,何来正在与远程主机连接呢?下面是中了远程控制木马的虚拟机中网络连接状态。
22:19 上传
3.此时捕捉到正在连接的状态的最后一行PID值为:3920,这就是我们说的远控至少与目标建立一个TCP或UDP连接,而这里建立了一个TCP连接,并且仔细看下,“Foregin Address”意思是外网地址,这个IP地址可以百度进行查询下就可以知道是哪个地区的人在控制我们的电脑,再仔细看下IP地址后面的端口为:8000,现在很多主流的远程软件都是8000或者80端口,这又更值得怀疑了。这样我们就可以查看进程,因为木马要想进行连接就必定会在内存中进行运行,否则就无法进行连接了,我们查看内存中可疑的进程,上面捕获的连接PID为:3920。我们输入命令“tasklist /svc“这条命令是查看当前进程与PID值和启动的服务。
22:19 上传
4.通过上面的命令找到了网络连接对应的PID值进程3920,并且发现该进程名是一个IE的进程,很明显这就有问题,因为我们根本没打开浏览器,何来IE进程呢?果断的就知道它的一个远程控制木马伪装的进程。我们应该马上去进行一个查杀掉该进程,从内存中干掉它。我们输入命令“taskkill /f /pid 3920”&&这条命令是强制结束PID值为3920的进程。当我们强制结束掉了木马之后发现主控端远程控制软件上的肉鸡马上就下线了。这样黑客就无法进行控制了
22:19 上传
5.在这里说明,我们只是暂时现在已经让黑客无法控制我们的电脑,结束了它的远程控制的连接程序。但是我们要知道远程控制的第二个通性,就是远程控制软件为了让对方能够重启系统后继续在黑客的远控软件上面上线,就必须会在被控者的电脑上写入一个随机启动项,这个随机启动项就是当系统启动的时候立马运行木马,运行了木马就可以再次上线。所以我们还需要检测我们的启动项。很多启动项都是写入注册表的,我们这里给大家列出一些木马可能写入的启动键值。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 下的shell键值
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 下的load键值
以上是我们列举出的木马可能会存在自启动的注册表键值,其中第一个可以通过运行“msconfig”看到的。经过我们的仔细查看了所有存在可能的随机启动项发现没有任何异常,此时我们就要注意,是否是以服务的方式启动呢?下面我们就去检查可以的服务,经过多次对服务的分析,我们查看到有一个名字为“Rising RavTask Manage.”的进程可疑,因为过它的启动程序是藏在“C:\WINDOWS\Rising\svchot.exe”的程序,看过我前面的技术文章《Svchost.exe进程的分析》就一下能判断出这就是伪装类似svchost文件,我们找到该目录后就会发现该文件还是个系统隐藏的文件,那就更可疑了,一个程序还设置为系统隐藏!可疑!正常情况下除去系统重要文件会隐藏,如果你对系统有足够的了解,看的出非系统文件居然隐藏!绝对是很可疑的,这时候可以百度下这个文件!!
6.在CMD下切换到该目录下进程一个强制删除吧,切换到目录后输入命令“del&&/ah /f svchot.exe “ 就可以强制删除隐藏的木马了。
22:19 上传
22:19 上传
7.此时我们把隐藏的以服务启动的木马干掉了,你可以去停止服务,或者通过sc delete &servicesname&去删除服务,这里就不多讲了,因为服务启动的木马已经被干掉了,即使服务存在也无法找到启动程序了。我们这里将虚拟机重启下,再查看下网络连接是否还会与黑客建立TCP远程控制连接呢?
22:19 上传
三、基于远控的通性反黑客远程控制法——两个软件判断是否存在后门
1.这两个工具分别是icesword(中文:冰刃)和SSM软件。第一个软件主要是应对一些DLL进程注入或者是存在Rootkit的木马,所谓的Rootkit就是隐藏的意思,这样的木马有隐藏网络连接状态、隐藏进程的功能。但是使用iceword查看就能查看到这种内核级隐藏的木马。例如下面就是GHOST木马的DLL注入,它是通过DLL注入到svchost.exe进程的,从icesword就可以找到可疑的dll模块。
22:19 上传
icesword里面的进程都是黑色显示的,如果出现有红色的进程,一般都是运用了内核级的rootkit技术的木马。这样的木马通过任务管理器或者tasklist /svc 一般都是查看不到进程的,但是用冰刃却可以很快的查看到,如下图所示:
22:19 上传
2。icesword的软件很强大这里就不多说了,上面已经举例说了。下面说下SSM工具的使用,首先我先在虚拟机里面安装下这个软件吧。并且开启这个软件,开启这个软件后只要我们运行任何一个程序都会报警说明软件执行了什么动作!这里我们将一个灰鸽子远控木马拷贝进到我们的虚拟机,当我们点击远控木马的时候SSM马上就报警了,提示程序启动,这个动作是正常的,因为该程序需要explorer图形化程序进程启动的。
22:19 上传
3.当我们运行之后会发现,这时候程序突然来了一个注册表修改的动作,懂注册表的都知道这个就是向HKLC\System\CurretcontrolSet\services里面写入服务。这个就不太正常了,不是安装什么程序,一个简单的程序居然写入服务,增加服务,可疑!
22:19 上传
4.当我们允许此次操作的时候,你会发现不停的会向注册表写入服务键值,这个肯定就是个可疑的动作,最后发现木马又释放了程序到系统目录。照理说一个执行程序不会随意释放程序到系统目录,可疑!
22:19 上传
5.此允许发现最后一步又有一个进程尝试注入到IE里面进行以IE后台启动木马,很明显就能分析出就是个可疑的木马程序,很可能就是后门木马,它有写入服务的这一通性!通过SSM的拦截程序动作就可以分析一个程序是不是绑有后门木马
22:19 上传
(24.57 KB, 下载次数: 2)
22:16 上传
(24.45 KB, 下载次数: 1)
22:16 上传
(21.96 KB, 下载次数: 1)
22:16 上传
(27.6 KB, 下载次数: 1)
22:16 上传
(10.47 KB, 下载次数: 1)
22:16 上传
(32.16 KB, 下载次数: 1)
22:16 上传
(31.42 KB, 下载次数: 2)
22:16 上传
(28.02 KB, 下载次数: 2)
22:16 上传
(29.32 KB, 下载次数: 2)
22:16 上传
width:100%">
看看看看看看
width:100%">
学习了,谢谢分享、、、
width:100%">
width:100%">
沙发!沙发!
width:100%">
大神,学习了
width:100%">
谢谢分享,楼主辛苦了
width:100%">
帅气~学习了!
width:100%">
楼上的说的很好!
width:100%">
宇宙第一贴诞生了!
width:100%">
Powered by Discuz! X3.2&&
充值199元即可成为正式会员!
现在成为正式会员即可享受:1、原创课程及工具资源下载 2、内部交流及讲师答疑服务 3、参与团队外包渗透测试项目 }
查看: 21459|回复: 74
电脑总是被人远控 到底怎么回事 求大神......
blackboy123
笔记本被人装了VPN远控或者类似的东西 具体我不知道 求解除办法 或者反监控它 谁帮我搞定这事情 能救很多人 这是一个专业诈骗团伙 专在电脑 智能手机里 盗窃个人隐私 然后用网银转账盗窃 网下用复制的银行卡盗窃 他们有这种技术 只要知道你的卡号 就可以复制普通的银行磁条卡 什么借记卡 信用卡 等等等等 只要没有IC芯片的磁条卡 都可以复制 这一步下来 就差密码了 所以大家一定要保管好自己的取款密码 关闭手机银行 电话银行 网银转账等服务 我所说的都是真实的事情 中国各个银行的磁条卡太操蛋了 如果是新出来的芯片卡就难以复制 你去银行问他们一定不承认 为什么自己想吧 谁会公开说自己家的东西有问题呢 反正一定是类似远程监控的东西
----------------------------------------------------
还有提醒大家 特别是用智能手机的朋友 现在的犯罪分子有很多方法在你电话里安装间谍软件 窃取隐私 JAVA这东西太危险了 包括iphone里的javaScript最好关掉 不安全。
如果是非智能手机 比如只能打电话和发文本形式短消息的电话 当心自己的GSM网络 并不如你所想的
那么安全 现在的诈骗分子有一种设备 GSM信号阻截器 具体原理我不清楚 我猜大概是通过抓包的方式分析上下行信号的数据 以求在里面找到隐私数据 还有一种 类似DOS断网攻击 把你的GSM信号通过一个私自建立的小型中转基站发射
也就是说 比如A给C打电话 本来是通过国家电信部门基站B进行信号传送 现在突然冒出来一个X 也就是A&X&B&C 如果反向监听C 那么就是C&X&B&A 所有的数据都通过类似重定向技术在这个不合法的X这个转了一圈 那么你的这些通信数据几乎就全部被X截获了 虽然GSM是加密信号 但是到底有么有被解密 多数人是不知道的 我也不清楚 我是外行 但是我觉得他们既然这么操作了 就一定有原因 如果大家以后碰到手机莫名其妙发出电磁噪音 类似兹兹的声音 不是手机放在音响边发出的那种信号噪声&&区别很大 一听就能分辨 这种情况 大家一定要当心注意。
----------------------------------------------------
第三种,复制你的SIM卡 这件事情直接在我身上发生 虽然我不清白是怎么做到的 但是我可以告诉大家这个操作的过程
人物3个分别是 X:诈骗者 B:本人 C:本人的朋友 (事后才知道C是X的同谋)X B C 三个人都是认识的。
诈骗者X 打电话给B&&说有急事找C 谎称C不接它的电话,于是要我帮忙找C 于是我打电话给C (电话绝对是没人接或者关机)就是在我拨打C电话的时候 我的电话听筒就发出这个奇怪的电子噪音 兹兹兹叽矶 语言无法描述 反正和正常情况下手机放电器边的那总噪音完全不一样 一听就能区分 从没听到过电话有这种声音,我补了5次卡 每次都是这个过程 大家想想吧,那个号码我都扔了 建议大家自备一个非智能电话 最好是CDMA网络的 这个电话和卡号 连家人也不要联系 至于为什么自己想 就是用来操作比较重要的二次认证使用的
过程就是这样 之后电话异常 之后去营业厅补卡 恢复正常 我一补卡 这个诈骗者X就知道了 它是怎么知道的?没错 短消息通知 现在很多支付宝 网银的操作都是通过短消息二次认证的 如果.....后果......自己想。
----------------------------------------------------
以上所言 不是我从网上论坛上抄来的 自己亲身经历 绝没多想 句句大实话 希望大家在以后的信息化时代 要多留一份心眼&&
GSM网络真的不安全
CDMA网络的相对安全一些
大家自己可以网上查询相关资料
说了一大堆 好了 求大侠帮忙看看目前我要解决的问题吧......
一下是一些情况 有一些可能是我计算机知识匮乏而错误提出 但是部分绝对有问题.
----------------------------------------------------
1.说一下我的网络情况 用路由器上网的情况下 楼道上一台二层交换机 10M网线从交换机拉到家里 上网方式是PPPoE拨号上网 可以直接插入电脑拨号上网,有时候我要用无线 就把网线插入自己的无线路由器 无线上了一会网 我就会看路由日志 显示:
remote management is disabled
anti-spoofing enabled
block WANG PING enabled
URL blocking disabled
VPN(IPsec)Pass-through enabled
VPN(PPTP)Pass-through enabled
VPN(L2TP)Pass-through enabled
PPPoE line connected
CHAP AUTHENTICATION SUCCEEDED
PPPoE:RECEIVE PADS
PPPoE:SENDING PADS
WAN DIALUP TRY TO EASTABLISH PPPoE line
PPPoE:SENDING PADI
Manual Hangup Disconnect PPPoP line
Pre-source ACK Flood ATTACK DETECT Pakect Dropped
whole system ACK Flood Attack from WAN Rule:Default deny
Authentication success cb-ca-ad-dd-dc-2a
Authenticating......& &cb-ca-ad-dd-dc-2a
port scan attack detect packet dropped
per-source ACK Flood Attack detect dropped
whole system ACK Flood Attack from WAN Rule:Default deny
port scan attack detect packet dropped
per-source ACK Flood Attack detect dropped
whole system ACK Flood Attack from WAN Rule:Default deny
port scan attack detect packet dropped
per-source ACK Flood Attack detect dropped
whole system ACK Flood Attack from WAN Rule:Default deny
port scan attack detect packet dropped
per-source ACK Flood Attack detect dropped
whole system ACK Flood Attack from WAN Rule:Default deny
whole system UDP flood attack from WAN
per-source UDP FloodAttack Detect packet Dropped
whole system UDP flood attack form WAN
大致就是这些 反复重复着下面一些日志 我路由器开了防ARP欺骗 绑定了MAC 日志看不太懂 大家看看是不是受到攻击
2.每次安装系统 电脑总显示 CHS DISK ERROR 什么 DISK 81H 错误 但是不影响安装 (我用过正版的 盗版的 网上下载的ISO 乱七八糟10几种 所以不存在安装源有问题的可能性)
3.无数次格式化分区无效&&每次重装好系统 IE都指向www.mircosoft\FWLINK.......如果大家BAIDU等类似网站
都会显示/?02 等等等等后面会多出些字符。
4.右击“我的电脑”里面的 计算机描述是灰色 无法更改 网络ID是灰色 无法更改 “域”会变成灰色 也无法更改记得刚完成系统安装第一次进入系统 这都是可以改的 为什么之后的使用就都变灰色?WHY????这个域到底是什么东西 为什么我不能修改?
5.IPsec无法启动 回复我什么XXXX错误 我也忘了
6.$IPC共享无法关闭&&
7.组策略有时候会显示 您无权操作 我无权操作我自己电脑的组策略?administrator
8.进入账户管理 用administrator删除帐呼组 显示“您无法在内置账户上运行此操作” 什么意思啊 我可是ADMINISTRATOR账号登陆的 怎么变成内置账户了?
9.登陆某些论坛 会显示您胡登陆地点在浙江 改一下网卡MAC 又变成在上海黄浦 一直会变化 如果接下来不修改MAC
基本就显示黄浦为登陆点&&我把电脑从我家搬到另一个区的朋友家上网 竟然登陆点还是 黄浦
10.每次一装好系统 我连网线都没接 WIFI网卡直接物理拔掉 在事件查看器 “安全性”里竟然发现有一个
来源:Security
类型:成功审核
事件ID: 517
用户:AUTHORITY\SYSTEM
机器名:3A1DB41A19F247B 这个不是我的机器名字
描述文本框里写的是:
&审核日志已经清除&
%主要用户名:system
主域:NT AUTHORITY&&
主登录ID: (0x0,0x3E7)
客户端用户名:SYSTEM
客户端域:NT AUTHORITY
客户端登录ID: (0x0,0x3E7)
我网线都没插 WIFI网卡都拔掉了 它怎么入侵我的?本事不小。
11.COMOD防护墙 一直会显示 很多刚装好的正常的软件会连接 比如 AntiARP.EXE尝试访问DNS/RPC客户端服务 DNS/PRC客户端服务允许程序通过使用WINDOWS进程SVCHOST.EXE多次执行网络连接
12.上网过程中 COMMOD一直会显示很多程序会连接一个“53”端口
13.如果我用路由器上网 安好彩影防火墙 总报告一些不可信的路由地址 还时不时显示cmdagant.exe试图关闭彩影 有时候又显示 setup.exe试图关闭&&我后来又安装了瑞星杀毒&&彩影竟然会显示瑞星的文件试图关闭彩影 文件名字我忘了 但确定是瑞星的文件,
14.有时候彩影还会报警 受到一个伪装的过的IP攻击 TCP/SYN ........
15.用路由器上网的情况下 说一下我的网络情况 楼道上一台二层交换机 10M网线从交换机拉到我家 可以直接插入上网 有时候我要用无线 就把网线插入无线路由器上了一会网 我就会看路由日志 显示:
16.用搜狗浏览器 怎么会显示用的是82端口??? HTTP不是80端口么?我用COMDO封杀了很多端口 难道有人端口映射??
17.刚装好系统 网线都没插 WIFI卡拔掉的情况下 用NETSTAT -ANO命令查看显示
port&&local address& &foreign address& &state& && & PID
TCP& &0.0.0.0:445& &&&0.0.0.0& && && &&&LISTENING& &1660
TCP& &0.0.0.0:135& &&&0.0.0.0& && && &&&
UDP& &0.0.0.0:500& &&&*.*
UDP& &0.0.0.0:1900& & *.*
UDP& &0.0.0.0:4500& & *.*
UDP& &127.0.0.1:123& &*.*
UDP& &127.0.0.1:1900&&*.*
17.COMOD安全规则 网络区域里显示:
Loopback区域
ip在【127.0.0.1、255.0.0.0】
18.用了一段时间 COMDOD会莫名其妙变成黄色 写着 COMDOD正在被初始化
19.我是80G硬盘 在磁盘管理器下看只有75G 在MHDD里面看 似乎没有隐藏分区 还有什么高明技术可以隐藏硬盘分区么?
----------------------------------------------------
太多不正常的现象 比如喇叭里听到别人的QQ登录声 倒茶声 桌子椅子等等等等 我靠 我当时可没打开QQ自己房间万籁俱静。
最后我还想问一下大家 我的电脑有无可能在硬件上被做了手脚?因为曾经这个笔记本它有过物理接触。
这个事情我一定会报案 我只是在收集更多的证据。
万分感谢!!!!!!!!!!
blackboy123
以前我也发过这样胡求助贴 当时网络环境和这次不同 当时是电信猫+路由拨号上网
这次搬出去住了 直接是网线上的 没有猫
zhanghong9153
& & 首先说明一下,原先的的那个28页的帖子我大概都看过了。我对于电脑来说只是刚刚懂一些皮毛吧。
& & 给我的感觉是可能你现在很紧张,精神状态可能不太好。这种现象我能理解您,毕竟谁也不希望自己被监听,这种感觉确实很不爽。
& & 对于在计算机上面的建议,由于我很菜,所以我只能说一下我的处理步骤啊,希望能对你有所帮助。
& &1.断网,无论什么网络全都断掉(只是关于电脑,手机您随便吧,我不懂……)
& &2.刷新BIOS
& &3.低格磁盘;重写MBR
& &4.安装正版的系统(尽量从U盘安装,此时如果进入某些PE系统的话你或许会看到X盘的,这个应该是U盘的盘符)
& &5.安装驱动(这个自己提前下好,先不要联网)
& &6.安装各种安全软件,注意打好补丁(别联网……)
& &7.检查现在电脑是否还出现问题,注意前面是只安装安全软件,自己的软件都不要安装。接着在不联网的情况下没安装一个软件就看有没有问题,以排除是不是某个软件的问题
& &8.联网,这个步骤主要是看是不是DNS劫持,如果是,那就不是你自身电脑的问题了
& &最后,如果都没有查出问题,我认为可能是您过于紧张了,适当放松一下,有些时候过于敏感也不好^_^
zhanghong9153
& & 首先说明一下,原先的的那个28页的帖子我大概都看过了。我对于电脑来说只是刚刚懂一些皮毛吧。
& & 给我的感觉是可能你现在很紧张,精神状态可能不太好。这种现象我能理解您,毕竟谁也不希望自己被监听,这种感觉确实很不爽。
& & 对于在计算机上面的建议,由于我很菜,所以我只能说一下我的处理步骤啊,希望能对你有所帮助。
& &1.断网,无论什么网络全都断掉(只是关于电脑,手机您随便吧,我不懂……)
& &2.刷新BIOS
& &3.低格磁盘;重写MBR
& &4.安装正版的系统(尽量从U盘安装,此时如果进入某些PE系统的话你或许会看到X盘的,这个应该是U盘的盘符)
& &5.安装驱动(这个自己提前下好,先不要联网)
& &6.安装各种安全软件,注意打好补丁(别联网……)
& &7.检查现在电脑是否还出现问题,注意前面是只安装安全软件,自己的软件都不要安装。接着在不联网的情况下没安装一个软件就看有没有问题,以排除是不是某个软件的问题
& &8.联网,这个步骤主要是看是不是DNS劫持,如果是,那就不是你自身电脑的问题了
& &最后,如果都没有查出问题,我认为可能是您过于紧张了,适当放松一下,有些时候过于敏感也不好^_^
真是服了,楼主我就不相信,低格(非常伤硬盘)都搞不定?!
zhanghong9153 发表于
首先说明一下,原先的的那个28页的帖子我大概都看过了。我对于电脑来说只是刚刚懂一些皮毛吧。
& & 给 ...
看到第2第3步就笑得不行
里面有些问题根本不是问题,只是你自己太过多疑了,建议恶补一下计算机基础常识再来问吧
又见神贴,貌似以前卡饭出过一个类似的帖子,怀疑自己电脑被远控,手机被监听,银行卡被复制。建议有两个:1、去医院心理科看看,不用这么紧张,疑神疑鬼;2、补补电脑基础知识,不要一味地安装防护软件,却看不懂防护。
本帖最后由 zhuotao 于
16:25 编辑
我也觉得楼主有点草木皆兵了```
楼主可以试试换一台电脑使用一段时间,看看会不会出现这个情况```
看来楼主有钱人啊,而且是被一(群?)超级骇客盯上了……
Copyright & KaFan & All Rights Reserved.
Powered by Discuz! X3.3( 苏ICP备号 ) GMT+8,电脑开机密码忘记了怎么办?5种方法教你轻松找回电脑开机密码
- 绿茶文章中心
&&&&&&&&&电脑开机密码忘记了怎么办?5种方法教你轻松找回电脑开机密码
电脑开机密码忘记了怎么办?5种方法教你轻松找回电脑开机密码
作者:佚名
来源:绿茶软件园
电脑开机密码忘记了怎么办?经常有很多迷糊的网友会把自己的电脑开机密码给忘记了,那么怎么找回电脑开机密码呢?下面绿茶小编为大家介绍5种方法,让你轻松找回电脑开机密码。
不同系统开机密码忘记解决方法:
方法一:利用安全模式找回电脑开机密码
在开机时,按下F8进入&带命令提示符的安全&模式
输入&NET USER+用户名+123456/ADD&可把某用户的密码强行设置为&123456&
方法二:新建账户找回电脑开机密码
我们知道在安装Windows XP过程中,首先是以&administrator&默认登录,然后会要求创建一个新账户,以便进入Windows XP时使用此新建账户登录,而且在Windows XP的登录接口中也只会出现创建的这个用户账号,不会出现&administrator&,但实际上该&administrator&账号还是存在的,并且密码为空。
方法三:使用命令找回电脑开机密码
1、重新启动Windows XP,在启动画面出现后的瞬间,按F8,选择&带命令行的安全模式&运行。
2、运行过程停止时,系统列出了超级用户administrator和本地用户owner的选择菜单,鼠标点击administrator,进入命令行模式。
3、键入命令:&net user owner 123456/add&,强制性将OWNER用户的口令更改为&123456&。若想在此添加某一用户(如:用户名为abcdef,口令为123456)的话,请键入&net user abcdef 123456/add&,添加后可用&net localgroup administrators abcdef/add&命令将用户提升为系统管理组administrators用户,具有超级权限。
4.DOS下删windows\system32\config里面的SAM档就可以了
5.开机后按键盘的Delete键进入BIOS界面。找到User Password选项,其默认为关闭状态。启动并输入用户密码(1~8位,英文或者数字)。计算机提示请再输入一遍以确认密码无误,保存退出后重新启动机器,这时就会在开机时出现密码菜单。
方法四:利用管理员权限找回电脑开机密码
如果是FAT32,进入DOS,删除c:winntsystem32configsam*.*就可以了。登陆只要输入administrator不输密码即可。然后创建一个新的。要是NTFS则无效
另外如果你的系统没有加过微软的输入法补丁的话也可以利用输入法的漏洞去做一个管理员权限账号。
具体方法如下:
开机后,Win2000自启动,出现登录窗口,显示用户名,并要求输入密码(当然这时你不会有密码)。
这时请将输入焦点置于用户名一项,用Ctrl+Shift切换输入法(随便选上一种,只要能出现输入法工具条的就行)。在出现的输入法提示工具条上单击右键,选择帮助,会弹出一个帮助窗口。接下来你需要在这个窗口里找到一个(绿色带下划线)超级链接,并用SHIFT+鼠标左键单击,打开它会弹出一个IE窗口,请在窗口地址栏里输入c:,到这步你应该很清楚怎么做了。只要点击标准按键的&向上&,会发现你可以进入&控制面板&了,进入后你可以直奔&用户和密码&接下发生的事只有你自己知道了。
方法五:利用Administrator权利找回电脑开机密码
1.在计算机启动时按〔F8〕及选〔Safe Mode With Command Prompt〕
2.选〔Administrator〕后便会跳出〔Command Prompt〕的窗口
3.用〔Net〕的命令增加一个用户,例:增加一个用户名为alanhkg888,命令语法如下:
net user alanhkg888/add
4.将新增用户提升至Administrator的权力,例:提升刚才增加用户alanhkg888的权力,命令语法如下
net localgroup administrators alanhkg888/add
5.完成上列步骤后重新启动计算机,在启动画面上便增加了一个用户alanhkg888了,选alanhkg888进入
6.登入后在〔控制台〕&〔使用者账户〕&选忘记密码的用户,然后选〔移除密码〕后〔等出〕
7.在登入画面中选原来的用户便可不需密码情况下等入(因已移除了)
8.删除刚才新增的用户,在〔控制台〕&〔使用者账户〕&选〔alanhkg888〕,然后选〔移除账户〕便可
PS:不适用于忘记安装时所设定〔administrator〕的密码
忘记电脑开机密码的孩子伤不起啊!赶紧用上面的方法找回电脑的开机密码吧!
绿茶小编猜你还喜欢:
22:08:42绿茶网友[陕西省西安市]
为何还是打不开呢
11:34:58绿茶网友[广东省深圳市]
笔记本电脑开机按不了密码怎么办
本类推荐本类排行
热门软件热门标签我们坚信只有今天付出了,才有机会看到明天的太阳!
现在!加入我们,给你一个气氛优秀的技术圈子
查看: 2883|回复: 12
社区更新Forums
随机图赏Gallery
2017年中旬WEB渗透系列课程-02了解DNS2017年中旬WEB渗透系列课程-00前言ms17010 windows批量工具发放福利:百度云不限速版二期公开课第17节 - 数据库备份+突破AWVS11漏洞扫描器3389爆破神器(俄罗斯汉化版)只要你的字典足够强大WannaCry勒索病毒文件攻击流程2017年中旬WEB渗透系列课程-01HTTP协议红帽各个版本镜像
简单反查黑客远程控制/后门的方法
查看: 2883|回复: 12
马上注册,加入HACK80!与我们一起交流。
才可以下载或查看,没有帐号?
前面已提到了远程控制技术,
现在的很多黑客软件、外挂软件都存在后门程序的捆绑,所为后门程序就是在你的计算机中开某一个端口后门与黑客的主控端进行连接,一旦运行了捆绑后门的软件,你的电脑就中了后门程序,只要黑客在线就能随意的控制你的电脑了,不只是软件,当然假如你的计算机存在漏洞已经被黑客提权并且植入了木马你也没发现,黑客总是喜欢植入远程木马,远程木马控制你的计算机,黑客通过远程控制软件即主控端能监控你的桌面活动、监控你在干什么;可以查看你各个磁盘的文件,还可以把你的重要隐私文件、照片下载到黑客的电脑中;可以删除、格式化你的资料,修改你的操作系统设置,无时无刻监控着你。更可怕的是只要你有麦,就可以监听你的语音说话声,只要你有摄像头就可以在后台悄悄打开摄像头看到你本人。这是多么可怕的木马吧,这样把我们的全部隐私都暴露在了黑客的眼中。如果黑客再植入盗号木马那就更麻烦了。
所以现在本来在这里教大家简单的反黑客远程控制的方法,方法很简单,大家一学就会的。学习之前我们先了解下远程木马的几个特性然后针对这些特性如何去判别是否被远程控制,软件是否有后门?
一、远程控制的两个通性
(1)任何一款的远程控制技术都必须与目标(被控端)建立至少一个TCP或者UPD连接。如果黑客未上线,则会每隔30秒向黑客发起连接请求。
(2)任何一款远控木马都会向系统写入至少一个随机启动项、服务启动项,或者劫持某个系统必备的正常启动项。并且会在某个目录中隐、释放木马。以方便随机启动。
二、基于远控通性反远程控制法——两条命令判断是否被控制
1.最简单的方法就是通过两条命令,一条是“netstat “ 。另一条就是“tasklist “命令,这两条命令可真为是绝配的反黑客远控的方法啊。首先我们就在虚拟机中测试,在本机使用灰鸽子主控端生成一个木马放入到虚拟机中运行。
22:19 上传
2.确认虚拟机已经中了我们的远控木马之后我们开始执行第一条命令
首先大家先在联网的情况,把所有联网的程序都关闭,包括杀毒软件、QQ、迅雷、等存在联网的程序关闭,保存最原始的进程。这样很方便我们识别。再次打开开始菜单——运行——输入“cmd”
进入到黑色的DOS窗口下,输入命令“netstat -ano“。这条命令的意思是查看当前网络的连接状态。输入之后我们查看中主要看”state”的状态,如果是“listenning”是端口的监听这个可以放心,如果是“ESTABLISHED”可要注意了,这个状态意思是正在连接!我们肯定会想,我们都没开任何程序在联网,何来正在与远程主机连接呢?下面是中了远程控制木马的虚拟机中网络连接状态。
22:19 上传
3.此时捕捉到正在连接的状态的最后一行PID值为:3920,这就是我们说的远控至少与目标建立一个TCP或UDP连接,而这里建立了一个TCP连接,并且仔细看下,“Foregin Address”意思是外网地址,这个IP地址可以百度进行查询下就可以知道是哪个地区的人在控制我们的电脑,再仔细看下IP地址后面的端口为:8000,现在很多主流的远程软件都是8000或者80端口,这又更值得怀疑了。这样我们就可以查看进程,因为木马要想进行连接就必定会在内存中进行运行,否则就无法进行连接了,我们查看内存中可疑的进程,上面捕获的连接PID为:3920。我们输入命令“tasklist /svc“这条命令是查看当前进程与PID值和启动的服务。
22:19 上传
4.通过上面的命令找到了网络连接对应的PID值进程3920,并且发现该进程名是一个IE的进程,很明显这就有问题,因为我们根本没打开浏览器,何来IE进程呢?果断的就知道它的一个远程控制木马伪装的进程。我们应该马上去进行一个查杀掉该进程,从内存中干掉它。我们输入命令“taskkill /f /pid 3920”&&这条命令是强制结束PID值为3920的进程。当我们强制结束掉了木马之后发现主控端远程控制软件上的肉鸡马上就下线了。这样黑客就无法进行控制了
22:19 上传
5.在这里说明,我们只是暂时现在已经让黑客无法控制我们的电脑,结束了它的远程控制的连接程序。但是我们要知道远程控制的第二个通性,就是远程控制软件为了让对方能够重启系统后继续在黑客的远控软件上面上线,就必须会在被控者的电脑上写入一个随机启动项,这个随机启动项就是当系统启动的时候立马运行木马,运行了木马就可以再次上线。所以我们还需要检测我们的启动项。很多启动项都是写入注册表的,我们这里给大家列出一些木马可能写入的启动键值。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 下的shell键值
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 下的load键值
以上是我们列举出的木马可能会存在自启动的注册表键值,其中第一个可以通过运行“msconfig”看到的。经过我们的仔细查看了所有存在可能的随机启动项发现没有任何异常,此时我们就要注意,是否是以服务的方式启动呢?下面我们就去检查可以的服务,经过多次对服务的分析,我们查看到有一个名字为“Rising RavTask Manage.”的进程可疑,因为过它的启动程序是藏在“C:\WINDOWS\Rising\svchot.exe”的程序,看过我前面的技术文章《Svchost.exe进程的分析》就一下能判断出这就是伪装类似svchost文件,我们找到该目录后就会发现该文件还是个系统隐藏的文件,那就更可疑了,一个程序还设置为系统隐藏!可疑!正常情况下除去系统重要文件会隐藏,如果你对系统有足够的了解,看的出非系统文件居然隐藏!绝对是很可疑的,这时候可以百度下这个文件!!
6.在CMD下切换到该目录下进程一个强制删除吧,切换到目录后输入命令“del&&/ah /f svchot.exe “ 就可以强制删除隐藏的木马了。
22:19 上传
22:19 上传
7.此时我们把隐藏的以服务启动的木马干掉了,你可以去停止服务,或者通过sc delete &servicesname&去删除服务,这里就不多讲了,因为服务启动的木马已经被干掉了,即使服务存在也无法找到启动程序了。我们这里将虚拟机重启下,再查看下网络连接是否还会与黑客建立TCP远程控制连接呢?
22:19 上传
三、基于远控的通性反黑客远程控制法——两个软件判断是否存在后门
1.这两个工具分别是icesword(中文:冰刃)和SSM软件。第一个软件主要是应对一些DLL进程注入或者是存在Rootkit的木马,所谓的Rootkit就是隐藏的意思,这样的木马有隐藏网络连接状态、隐藏进程的功能。但是使用iceword查看就能查看到这种内核级隐藏的木马。例如下面就是GHOST木马的DLL注入,它是通过DLL注入到svchost.exe进程的,从icesword就可以找到可疑的dll模块。
22:19 上传
icesword里面的进程都是黑色显示的,如果出现有红色的进程,一般都是运用了内核级的rootkit技术的木马。这样的木马通过任务管理器或者tasklist /svc 一般都是查看不到进程的,但是用冰刃却可以很快的查看到,如下图所示:
22:19 上传
2。icesword的软件很强大这里就不多说了,上面已经举例说了。下面说下SSM工具的使用,首先我先在虚拟机里面安装下这个软件吧。并且开启这个软件,开启这个软件后只要我们运行任何一个程序都会报警说明软件执行了什么动作!这里我们将一个灰鸽子远控木马拷贝进到我们的虚拟机,当我们点击远控木马的时候SSM马上就报警了,提示程序启动,这个动作是正常的,因为该程序需要explorer图形化程序进程启动的。
22:19 上传
3.当我们运行之后会发现,这时候程序突然来了一个注册表修改的动作,懂注册表的都知道这个就是向HKLC\System\CurretcontrolSet\services里面写入服务。这个就不太正常了,不是安装什么程序,一个简单的程序居然写入服务,增加服务,可疑!
22:19 上传
4.当我们允许此次操作的时候,你会发现不停的会向注册表写入服务键值,这个肯定就是个可疑的动作,最后发现木马又释放了程序到系统目录。照理说一个执行程序不会随意释放程序到系统目录,可疑!
22:19 上传
5.此允许发现最后一步又有一个进程尝试注入到IE里面进行以IE后台启动木马,很明显就能分析出就是个可疑的木马程序,很可能就是后门木马,它有写入服务的这一通性!通过SSM的拦截程序动作就可以分析一个程序是不是绑有后门木马
22:19 上传
(24.57 KB, 下载次数: 2)
22:16 上传
(24.45 KB, 下载次数: 1)
22:16 上传
(21.96 KB, 下载次数: 1)
22:16 上传
(27.6 KB, 下载次数: 1)
22:16 上传
(10.47 KB, 下载次数: 1)
22:16 上传
(32.16 KB, 下载次数: 1)
22:16 上传
(31.42 KB, 下载次数: 2)
22:16 上传
(28.02 KB, 下载次数: 2)
22:16 上传
(29.32 KB, 下载次数: 2)
22:16 上传
width:100%">
看看看看看看
width:100%">
学习了,谢谢分享、、、
width:100%">
width:100%">
沙发!沙发!
width:100%">
大神,学习了
width:100%">
谢谢分享,楼主辛苦了
width:100%">
帅气~学习了!
width:100%">
楼上的说的很好!
width:100%">
宇宙第一贴诞生了!
width:100%">
Powered by Discuz! X3.2&&
充值199元即可成为正式会员!
现在成为正式会员即可享受:1、原创课程及工具资源下载 2、内部交流及讲师答疑服务 3、参与团队外包渗透测试项目 }
我要回帖
更多推荐
- ·淘宝上什么东西提高店铺转化率有哪些技巧最高?
- ·网店提高店铺转化率有哪些技巧最高的商品是什么?
- ·晋城博润微创外晋城肛门专科医院哪家最好上厕所便秘会流血肛门裂开般痛苦难忍,怎么办?
- ·求一个可以支持平板电脑交易软件的外汇平台app。
- ·外汇账户可以交易加密怎样注册数字货币交易账户吗?有做过的朋友推荐一个平台
- ·下肢残疾女孩王倩照片在网上学什么东西好
- ·2.0 TYPE-CCAD实训中的插座是什么啊什么好
- ·悟空应用商店下载怎么没有ipad的软件
- ·本人在浙江办的移动电信宽带到期后没报停现在在安徽怎么报停
- ·华为荣耀畅玩4c手机重庆最近一周的天气接通来电后前3至5秒钟听不见声音
- ·华硕电脑win7开机出现一串英文连英文右上角还有一把锁
- ·表格公式加减乘除求公式,如下图,不明白请私信!
- ·欧姆龙变频故障说明3g3rv-a4150~e说明书
- ·我和一个大龄女孩在一个群里相识,聊天聊得很开心。虽然在同一城市,
- ·对于网贷是拒绝网贷ppt还是抵制
- ·惠普TPN-105怎麼拆
- ·p729屏幕跟液晶屏分离机是不是分离的?
- ·谁有类似这种表情包
- ·求余罪百度云资源第二季百度云
- ·1997日立vam系列与ex系列的区别ex一5值多少钱
- ·远控只要知道对方苹果id和密码的电脑名就可以了吗?要密码吗?又有什么方法能知道
- ·宏碁acer f5 572g吧f5-572g的独立显卡是关着的吗?
- ·xspwww.fxdhgc.cnn是什么
- ·充电底座多少钱一个
- ·我的微信在后台运行时微信退出后收不到消息息,怎么回事。
- ·一星期跑步几次减肥4709米,一年能跑多少米
- ·意甲球员托内利能否国足归化球员中国
- ·橄榄球能在北京冬天去哪儿玩儿玩儿吗?
- ·下载睡前五分钟正确的有氧运动视频
- ·诸暨市车管所上班时间三独比赛具体时间
- ·怎么打麻将才不会输,有技巧学吗?
- ·篮球赛,小组一共六只球队 ABCDEF ABC赢了其余三6支球队篮球赛制,但ABC又互有输赢 分别
- ·一天赚10000怎么才能球球大作战10000
- ·屯溪晋中青少年活动 武术宫武术班多少钱一学期
- ·2016江西工业职业技术学院2016奥运会在哪里举行行,什么时候开始?
- ·残局七星聚会破解步骤象棋残局图
