2022-01-05 Windows 桌面用户系统入侵防御

木马的多功能捆绑，进行文件捆绑需要一种捆绑机软件，常见的捆绑机软件主要包括EXE 文件捆绑机，万能文件捆绑器，GWBinder 2002等。

这里介绍一个由灰鸽子工作室开发的名为“永不查杀的捆绑机”为例进行介绍，它完全模拟微软的IExpress 程序来捆绑多个不同类型的文件，从黑客基地网站可以下载到“永不查杀的捆绑机”软件压缩包，具体网址为 http://hackbase.com/soft/2005-05-12/9296.html ，解压缩可得两个文件，如图，

双击CABINET.exe 可执行程序，即可打开[永不查杀的捆绑机]主窗口。

单击[添加文件]添加要捆绑的文件，此捆绑程序支持对两个以上的文件进行捆绑，并支持各种类型的文件格式。

[首次安装运行]下拉列表设置为rar 解压缩软件，在[当首次结束再运行]下拉列表中设置为木马程序，在[窗口运行状态]下拉列表中对文件其他的窗口运行情况进行设置，最后为捆绑文件选择一个图标。

绕过Windows 系统文件保护

Windows 有很多动态链接库（.dll ）和可执行文件（.exe ）等系统文件。

文件保护功能Windows files protection 简称WFP ，可以在系统文件遭到意外时，利用备份文件恢复Windows 系统。

初次安装Windows 时部分dll exe fon ocx sys tff 结尾的文件被WFP 标识为重要文件，并在dllcache 文件夹下为这些文件备份，如果目标主机的远程注册表服务没有禁用，默认情况下该服务是自动启动的，黑客可以修改注册表来禁用文件保护。

具体操作步骤:

[注册表编辑器]→[文件]→[连接网络注册表]

→[选择计算机]→[输入要选择的对象名称]

输入计算机IP地址，单击确定，选择刚连接到的远程注册表后，在其中寻找，SFCDisable 键值项，即展开HKEY_LOCAL_MACHINE \SOFTWARE\MICROSOFT\WindowsNT \ CurrentVersion\Winlogon

把SFCDisable 键值修改为ffffff9d ，可禁用Windows 文件保护，其他可用键值如下，

修改后需要重启系统才可以生效，一般来说用户计算机一天重启一次，黑客第二天就可以检验效果。

黑客也可以用Windows 系统自带的shotdown 定时远程关机，重启。

在命令行模式下输入 shutdown -i 后，再弹出的对话框取消选中[警告用户此操作]复选框，并在[你想让计算机做什么]下拉列表选择[重新启动]。

如果目标主机重启成功，会显示“成功: 192.168.0.15 ”。

此时黑客可以禁用文件保护，复制带有黑客性质的文件替换目标主机的文件，用这种方式隐藏性强，黑客可以达到长期占有目标主机的目的。

绕过Windows 系统组策略

很多管理员在公共计算机设置了组策略的“只运行许可的Windows 应用程序” 甚至连gepedit.msc 文件也一并被排除在允许运行的程序之外。

利用计划任务法绕过Windows xp 组策略，具体操作步骤:

[控制面板]→[任务计划]，启用向导新建一个

名为MMC 的任务计划后，右击新建的mmc 任务计划，弹出的菜单中选择[属性]，即可打开mmc 对话框。

在mmc 对话框进行设置，执行C:\ Windows\System32\mmc.exe 程序后，再在任务计划窗口中右击mmc 程序并选择[运行]。

在控制台程序窗口选择[文件]→[打开]，在窗口中定位到C:\ Windows \System32 \gpedit.msc 程序。

在[运行]对话框输入 gpedit.msc 即可打开策略组编辑窗口，在展开[本地计算机策略]→[用户配置]→[系统]→[只运行许可的Windows 应用程序]→[未配置]，单击确定，即可关闭组策略编辑窗口，系统弹出“是否将更改保存到gpedit.msc” 时，单击是，即可实现解锁。

安全模式法:

重启系统后按F8 键进入安全模式选项，选择其中的[到命令提示的安全模式]选项，进入系统的安全模式后打开命令提示符窗口。在其中运行mmc 命令，即可打开管理控制台程序。

选择[文件]→[添加/删除管理单元]命令或按Ctrl+M 组合键，打开[添加/删除管理单元]

对话框。

单击[添加]，此时会有很多可添加的管理单元，选择其中的[组策略对象编辑器]选项。

再单击[添加]按钮，即可打开[欢迎使用组策略向导]，一路单击[下一步]按钮，最后单击[完成]。

关闭可添加的管理单元列表后，在[添加/删除管理单元]对话框单击[确定]按钮，在[控制台根节点]窗口左侧[控制台根节点]项目中将会多一个[本地计算机]图标项。

将其展开后，参照组策略设置操作进行，只需把[只运行许可的Windows 应用程序]选项由启用状态改为未配置状态。

关闭[Microsoft 管理控制台]窗口后，将会弹出一个提示信息对话框，提示是否进行保存，单击确定，如果提示无法保存，则单击否关闭即可。

重命名程序法:

如果允许运行的程序列表包含regetdit.exe ，还可以在注册表编辑器中展开HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\ Windows NT \CurrentVersion\Winlogon 分支，双击右侧窗口的Userinit 子键。在[编辑字符串]对话框

将其值修改为C:\ Windows \ System32\userinit.exe,mmc.exe ,实现mmc.exe 开机启动，在系统登录时会自动运行控制台可以打开组策略编辑器进行解锁。

替换开机系统文件法:

设置组策略只能防止用户从Windows 资源管理器启动程序，其实系统中很多程序都可以独立运行，例如开机就加载的桌面进程，系统服务，系统屏幕保护，等都没有进行阻止，因此只要将mmc.exe 替换为上述文件即可。

下面以替换屏幕保护logon.scr 为例进行说明，具体操作步骤如下，

打开C: Windows \ System32 \文件夹，找到屏保文件logen.scr ，并将其复制到D盘下进行备份。在删除这个文件之后，将会弹出“系统文件已经被更改为无法识别的版本，请插入win xp sp2 光盘修复” 的询问对话框。单击[取消]按钮之后，在其中找到mmc.exe 文件，并将其命名为logon.scr ，

返回系统桌面后在空白处右击，弹出的快捷菜单中选择[属性]命令，在弹出的对话框中切换到[屏幕保护程序]选项卡。

在屏幕保护列表，选择Windows xp ，单击[预览]，系统会提示找不到所选文件，但在后台却启动了控制台程序mmc.exe ，在对其设置解除限制之后，最好将D:\logon.scr 文件复制回原文件夹。

组合键启动法:

多数系统程序被锁死，按Ctrl+Alt +Del 组合键却可以启动任务管理器，通过组合键可以启动taskmgr.exe 程序，则只需使用mmc.exe 替换taskmgr.exe 即可启动组策略进行解锁。先进入C:\ Windows \ System 32\文件夹找到taskmgr.exe 程序，将其重命名为taskmgrl.exe ，

之后再找到mmc.exe 文件并将其重命名为taskmgr.exe ，

这时按下组合键，即可发现启动了控制台程序，在解除了组策略之后，将任务管理器恢复原名称即可。

实现后门自动加载

集成到程序中

隐藏在配置文件中

伪装成普通文件

内置到注册表

在System.ini 中藏身

隐藏于启动组中

隐藏在Winstart.bat

捆绑在启动文件中

设置在超级链接中