为了正常的体验网站,请在浏览器设置里面开启Javascript功能!

追查黑客入侵踪迹——CMD命令记录器

2014-04-03 1页 pdf 217KB 23阅读

用户头像

is_768820

暂无简介

举报
追查黑客入侵踪迹——CMD命令记录器 红客路线 投稿信箱 hacker@netfriends.corn.口n 一 天,笔者无意中打开用户帐号管 理器.发现里面居然多出了 -个束知的 用户名、而且还是管理受权限的。不用 说. 定又是黑客人侵了我的电脚,添 加了钢’理员帐号 不廿 用担心.我早 已在自己的电脑上安装了黑客记录器. 黑客的一举一动已被我记录F来了 一 般来说.除了术马攻击外.远程 溢出是黑存攻击的一种雨要手段。对于 木马攻击.杀鼯软件可以有效的进秆堵 截t而对=F远程激出如果没有打系统朴 丁的话,光用防火墙是很难防范远程溢...
追查黑客入侵踪迹——CMD命令记录器
红客路线 投稿信箱 hacker@netfriends.corn.口n 一 天,笔者无意中打开用户帐号管 理器.发现里面居然多出了 -个束知的 用户名、而且还是管理受权限的。不用 说. 定又是黑客人侵了我的电脚,添 加了钢’理员帐号 不廿 用担心.我早 已在自己的电脑上安装了黑客器. 黑客的一举一动已被我记录F来了 一 般来说.除了术马攻击外.远程 溢出是黑存攻击的一种雨要手段。对于 木马攻击.杀鼯软件可以有效的进秆堵 截t而对=F远程激出如果没有打系统朴 丁的话,光用防火墙是很难防范远程溢 出的。远橼溢出成功之后.黑客台获得 ⋯ 个近程的CMD She]l命令窗口.在这 个窗口中执行备种命令.添加帐号、上传 文件.运行水马等。远程8ll出离 开设溢 出主机上的CMD jli,令.如果能够记录黑 客在CMD命争窗[]所作的一切操作.郫 么就可队很轻易鲍找到黑客安艘的木马、 添加的帐号,从而恢复系统。 笔者这扶使用的是一个nq 。CMD 命令记录器 的软件.它可以有效的记 录在CMD窗¨中执行的一切指令.井进 行审恢和矗看。 自先.点击 开始 一 “运行 . 输人CMD命令回车,打开cMn命令提 示符窗口。在命令窗口中执行如下命令 《如图 I): “r e n C:\W I N DOW S\ SYSTEM32\CMD.EXE CM-.EXE · 3 6 · 命令执行后,可以将系统中原来CMD命令程序文件 ”CMD.EXE 改名为 CM .ExE 。 在启用了~indows文件保护功能的 系统上.在将CMD命令政名后会弹出 文件保护对衙框,询问是否迁原被替换 的文件。点击 取消”按钮,终止文件坯原.否则后面的操作将会无 教 (jcl1图2】。 然后.下载 。CMD命令记录器 工肄.解压后将压缩包内所有 史件全部复制到 “C:\wINDOWS\SYsTEM32 目录下.评将其中 的 “cmd plUS.exe”文件改名为 cmd.exe ,替换掉顾来真实的cMD 程序文件。这时候黑客就算使用远程溢出成功。执行的命令都是通过 “cmdplus.exe 文件调用的,使用匮名臀道将命令传送到真正的cM一. EXE巾击执行.在此过程中执行的命令都会被记录。 莹 如果是自己需薯执行cMD命令,那幺在调用cMD命令亩口时.直 。接远仟改名后的 “cM一.EXE”文件.执行的各神操作扰不会枝记 录嚣记 录了 。 -三.揪出熏謇的踪迹.恢复系统 甄然系统遭受了远程溢出攻击.那 幺一定毋钉孵 客在电憾中作了什么手脚. 打歼CMD 令记录器的日志文件.该文件 路径位于 “C t\W l N D O W S\ SYSTEM32\1IISTORY.TXT”。用记事率 打开后,就可以看到所有CMD命令窗口中 执行过的指令了。在日密文件中看到如图 3所示的 要信息。 从这些信息中,可知有人在命令行窗口中为本机添加r一个名为 xiaoyao 的管理疑用户.井且打开了奉机的远程Telnet服务.还通 过FTJ)上传丁一个名为 “svchOst.exe 的文件。不用说.这一定是黑 客通过远税溢出后,在远程令窗口中执行的操作。幸好黑客也没有进行 什么破坏性太大的操作.比如删除文件之类的.恢复系统也比较简单。 直接删除掉黑窖添加的管理员帐号,关1=jlTehnet服务.再删除上传的术 马文件就町以了。 另外.在 “ftp 202.169.154.170 这行记录中.有经验的朋友一 定可以看出,黑客是在本机搭机了一个FTP服务器.通过FTP上传木 马文件的。也就是说,。202.1lj9.1.54.170 这个 地址就是黑客地址. 还等什幺ⅢE?——以黑制熙.攻击 一下爨存让他尝尝被J{lI的滋味吧j Oe ~ 'Fhttpj/ www fxtx 00m 电脑网培技术.壤乐世界.游贱专区 维普资讯 http://www.cqvip.com
/
本文档为【追查黑客入侵踪迹——CMD命令记录器】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑, 图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。 本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。 网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。

历史搜索

    清空历史搜索