黑客入侵服務(wù)器后手段千變?nèi)f化，究竟該如何辨認(rèn)呢？下面我們來介紹一下：

1、superdoor克隆，但是有bug。榕哥的ca克隆，要依賴ipc，也不是很爽。

2、創(chuàng)建count$這樣的隱藏帳號，netuser看不到，但是在“管理->用戶”里可以看到，而且在“我的電腦->屬性->用戶配置文件”里顯示未知帳號，而且在document and setting里，會(huì)有count$的文件夾，并不是特別好，我在3臺左右機(jī)子上作了結(jié)果都被kill了。

3、寫一個(gè)guest.vbs啟動(dòng)時(shí)創(chuàng)建一個(gè)帳號或者激活guest用戶或者tsinternetuser用戶，在注冊表里的winlogon里導(dǎo)入鍵值(事先做好)，讓他開機(jī)自運(yùn)行g(shù)uest.vbs，這樣就創(chuàng)建了一個(gè)幽靈帳號。

或者導(dǎo)入在[HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor]

"AutoRun"="C:\\Program Files\\guest.vbs"

這樣是關(guān)聯(lián)到cmd，只要運(yùn)行就創(chuàng)建。

4、像冰河那樣關(guān)聯(lián)到txt、exe，運(yùn)行txt就運(yùn)行我們的程序。

5、在組策略里配置自運(yùn)行項(xiàng)。

6、設(shè)置文件關(guān)聯(lián)，重要運(yùn)行記事本或者什么就激活vbs。

7、種植hackdefender、hack'sdoor、winshell、武漢男生之類的后門，但是容易被查殺。如果沒有改造幾乎沒有效果，如果不被殺，那就……嘿嘿!

8、夾雜文件，把經(jīng)常用到的文件替換成rar自解壓文件。既包含原exe文件，又運(yùn)行自己的程序(就是winrar做的不被查殺的捆綁)，運(yùn)行后就重復(fù)3，4，5的步驟，隨便你了。

9、尋尋覓覓之間，發(fā)現(xiàn)hideadmin這個(gè)玩意好不錯(cuò)，要求有administrator權(quán)限，隱藏以$結(jié)尾的用戶，帥呆了!命令行，管理界面，用戶配置文件里都找不到他的身影，一個(gè)字，強(qiáng)!強(qiáng)到我搞了好半天都不知道怎么去除了，只有讓他呆著吧!接著教主也有一個(gè)工具，有異曲同工之妙。

10、替換服務(wù)，將telnet或者termsvc替換成別的服務(wù)或者建一個(gè)新的。

11、手工在注冊表中克隆隱藏賬號，網(wǎng)上流傳的一個(gè)看似很爽的方法，但經(jīng)本人的2000 server測試也許是不在域中的原因，根本不存在domains或者account這個(gè)鍵值，所以也就無從找起了。

但還是詳述一下:

Windows 2000和Windows NT里，默認(rèn)管理員帳號的SID是固定的500(0x1f4)，那么我們可以用機(jī)器里已經(jīng)存在的一個(gè)帳號將SID為500的帳號進(jìn)行克隆，在這里我們選擇的帳號是IUSR_MachineName (為了加強(qiáng)隱蔽性)。

在cmd下：

regedit /e admin.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4

將SID為500的管理員帳號的相關(guān)信息導(dǎo)出，然后編輯admin.reg文件，將admin.reg文件的第三行

[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4]

最后的’1F4’修改為IUSR_MachineName的SID(大部分的機(jī)器該用戶的SID都為0x3E9，如果機(jī)器在最初安裝的時(shí)候沒有安裝IIS，而自己創(chuàng)建了帳號后再安裝IIS就有可能不是這個(gè)值)，將Root.reg文件中的’1F4’修改為’3E9’后執(zhí)行然后另外一個(gè)是你需要修改那個(gè)賬號的值。

regedit /e iusr.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000003E9

將iusr.reg文件中“'V'=hex:0”開始一直到iusr.reg文件結(jié)束部分復(fù)制下來，然后替換掉adam.reg中同樣位置的部分。最后使用 regedit /s adam.reg 導(dǎo)入該Reg文件，然后運(yùn)行 net user IUSR_MachineName password 修改IUSR_MachineName的密碼。ok，大功告成!

現(xiàn)在IUSR_MachineName賬號擁有了管理員的權(quán)限，但是你使用net.exe和管理工具中的用戶管理都將看不到任何痕跡，即使你去察看所屬于的組和用戶，都和修改前沒有任何區(qū)別。

總體來說，上面所介紹的內(nèi)容就是對黑客進(jìn)入服務(wù)器隱藏自己的方法的介紹，希望廣大的網(wǎng)民能夠給予重視，及時(shí)發(fā)現(xiàn)問題，及時(shí)采取有效的措施防止黑客入侵服務(wù)器。

【編輯推薦】

1. 2010年揚(yáng)名的十大WEB黑客技術(shù)
2. 黑客入侵政府網(wǎng)背后存在利益鏈條
3. 央視曝光黑客利益鏈：注冊黑客網(wǎng)站備案作假