首先来看看环境吧!我用的是改造了的海洋木马!
注意红色的部分,对应的你的木马里进程的 部分。
KVSrvXp_1
C:/KV2004/KVSrvXp_1.exe -Service
MSSEARCH Microsoft Search
"C:/Program Files/Common Files/System/MSSearch/Bin/mssearch.exe"
MSSQLSERVER MSSQLSERVER
d:/MICROS~1/MSSQL/binn/sqlservr.exe
MSSQLServerADHelper MSSQLServerADHelper
C:/Program Files/Microsoft SQL Server/80/Tools/Binn/sqladhlp.exe
RMServer RMServer
C:/Program Files/Real/RealServer/Bin/rmserver.exe
rpcapd Remote Packet Capture Protocol v.0 (experimental)
"C:/Program Files/WinPcap/rpcapd.exe" -d -f "C:/Program Files/WinPcap/rpcapd.ini"
RsCCenter Rising Process Communication Center
D:/PROGRAM FILES/RISING/RAV/CCENTER.EXE
RsRavMon RsRavMon Service
D:/PROGRAM FILES/RISING/RAV/Ravmond.exe
r_server Remote Administrator Service
"C:/winnt/system32/r_server.exe" /service
SQLSERVERAGENT SQLSERVERAGENT
d:/MICROS~1/MSSQL/binn/sqlagent.exe
看看,这个管理员好多东西不在系统目录,我们默认有写权限的哦~~~~~~
再看看可不可以执行命令,不能的话就没办法改名了~~~
嘿嘿,成功了一半了~~!!
可以执行命令。好的,看看我们怎么替换吧!
我比较不喜欢木马(人笨,不会用,这里还是批处理吧!,哈哈!)看到了吧,加个用户,加为管理员,你还可以自己加后门,我就不说了!
转换成exe了,直接运行的哦~~
再看看服务器方面的!
D:/PROGRAM FILES/RISING/RAV/Ravmond.exe该死的 瑞星哦,不在系统目录,让他死吧!
晕,这个有问题么???上次被我弄过了,汗,原来上次弄过的程序还在,名字不能重复嘛,不好意思,耽误大家时间了!
再看
OK了,把我们的exe文件搞上去,激动啊!就等他重起然后上3389了,哈哈!!!!
Just For FuN
By 剑心