追查黑客入侵踪迹——CMD命令记录器
红客路线
投稿信箱 hacker@netfriends.corn.口n
一 天,笔者无意中打开用户帐号管
理器.发现里面居然多出了 -个束知的
用户名、而且还是管理受权限的。不用
说. 定又是黑客人侵了我的电脚,添
加了钢’理员帐号 不廿 用担心.我早
已在自己的电脑上安装了黑客记录器.
黑客的一举一动已被我记录F来了
一 般来说.除了术马攻击外.远程
溢出是黑存攻击的一种雨要手段。对于
木马攻击.杀鼯软件可以有效的进秆堵
截t而对=F远程激出如果没有打系统朴
丁的话,光用防火墙是很难防范远程溢...
红客路线
投稿信箱 hacker@netfriends.corn.口n
一 天,笔者无意中打开用户帐号管
理器.发现里面居然多出了 -个束知的
用户名、而且还是管理受权限的。不用
说. 定又是黑客人侵了我的电脚,添
加了钢’理员帐号 不廿 用担心.我早
已在自己的电脑上安装了黑客
器.
黑客的一举一动已被我记录F来了
一 般来说.除了术马攻击外.远程
溢出是黑存攻击的一种雨要手段。对于
木马攻击.杀鼯软件可以有效的进秆堵
截t而对=F远程激出如果没有打系统朴
丁的话,光用防火墙是很难防范远程溢
出的。远橼溢出成功之后.黑客台获得
⋯ 个近程的CMD She]l命令窗口.在这
个窗口中执行备种命令.添加帐号、上传
文件.运行水马等。远程8ll出离 开设溢
出主机上的CMD jli,令.如果能够记录黑
客在CMD命争窗[]所作的一切操作.郫
么就可队很轻易鲍找到黑客安艘的木马、
添加的帐号,从而恢复系统。
笔者这扶使用的是一个nq 。CMD
命令记录器 的软件.它可以有效的记
录在CMD窗¨中执行的一切指令.井进
行审恢和矗看。
自先.点击 开始 一 “运行 .
输人CMD命令回车,打开cMn命令提
示符窗口。在命令窗口中执行如下命令
《如图 I):
“r e n C:\W I N DOW S\
SYSTEM32\CMD.EXE CM-.EXE
· 3 6 ·
命令执行后,可以将系统中原来CMD命令程序文件 ”CMD.EXE
改名为 CM .ExE 。
在启用了~indows文件保护功能的
系统上.在将CMD命令政名后会弹出
文件保护对衙框,询问是否迁原被替换
的文件。点击 取消”按钮,终止文件坯原.否则后面的操作将会无
教 (jcl1图2】。
然后.下载 。CMD命令记录器 工肄.解压后将压缩包内所有
史件全部复制到 “C:\wINDOWS\SYsTEM32 目录下.评将其中
的 “cmd plUS.exe”文件改名为 cmd.exe ,替换掉顾来真实的cMD
程序文件。这时候黑客就算使用远程溢出成功。执行的命令都是通过
“cmdplus.exe 文件调用的,使用匮名臀道将命令传送到真正的cM一.
EXE巾击执行.在此过程中执行的命令都会被记录。
莹 如果是自己需薯执行cMD命令,那幺在调用cMD命令亩口时.直
。接远仟改名后的 “cM一.EXE”文件.执行的各神操作扰不会枝记
录嚣记 录了
。 -三.揪出熏謇的踪迹.恢复系统
甄然系统遭受了远程溢出攻击.那
幺一定毋钉孵 客在电憾中作了什么手脚.
打歼CMD 令记录器的日志文件.该文件
路径位于 “C t\W l N D O W S\
SYSTEM32\1IISTORY.TXT”。用记事率
打开后,就可以看到所有CMD命令窗口中
执行过的指令了。在日密文件中看到如图
3所示的 要信息。
从这些信息中,可知有人在命令行窗口中为本机添加r一个名为
xiaoyao 的管理疑用户.井且打开了奉机的远程Telnet服务.还通
过FTJ)上传丁一个名为 “svchOst.exe 的文件。不用说.这一定是黑
客通过远税溢出后,在远程令窗口中执行的操作。幸好黑客也没有进行
什么破坏性太大的操作.比如删除文件之类的.恢复系统也比较简单。
直接删除掉黑窖添加的管理员帐号,关1=jlTehnet服务.再删除上传的术
马文件就町以了。
另外.在 “ftp 202.169.154.170 这行记录中.有经验的朋友一
定可以看出,黑客是在本机搭机了一个FTP服务器.通过FTP上传木
马文件的。也就是说,。202.1lj9.1.54.170 这个 地址就是黑客地址.
还等什幺ⅢE?——以黑制熙.攻击 一下爨存让他尝尝被J{lI的滋味吧j
Oe
~ 'Fhttpj/ www fxtx 00m
电脑网培技术.壤乐世界.游贱专区
维普资讯 http://www.cqvip.com
本文档为【追查黑客入侵踪迹——CMD命令记录器】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑,
图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。
本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。
网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。