在组策略中关闭自动播放功能
a1 在Windows操作系统中可关闭其自动播放功能,以防止电脑感染U盘病毒。下面将在系统组策略中关闭自动播放功能,其具体操作如下。
a2 选择【开始】/【运行】命令,在打开对话框的“打开”下拉列表框中输入“gpedit.msc”,单击“确定”按钮,打开“本地组策略编辑器”窗口。
a3 在打开窗口的左侧窗格中展开【计算机配置】/【管理模板】/【Windows 组件】项,在右侧窗格中双击“自动播放功能”选项。
a4 在打开的列表中双击“关闭自动播放”选项,打开“关闭自动播放”对话框。
a5 在打开的对话框中选中“已启用”单选按钮,然后单击“确定”按钮,即可应用设置。
制作Autorun.inf病毒
a1 通过制作Autorun.inf病毒文件,能掌握U盘病毒的一般工作方式。下面将制作一个Autorun.inf病毒文件,将其运行结果设置为关闭D、E和F盘,其具体操作如下。
a2 在电脑中创建一个文本文档,在其中输入运行代码,然后将其保存为“Autorun.inf”文件。
a3 再创建一个文本文档,在其中输入运行代码,将其保存为“copy.bat”文件。
a4 将“Autorun.inf”和“copy.bat”文件放在同一个文件夹中,然后运行“copy.bat”文件,即可使病毒生效。
a5 创建一个文本文档,在其中输入运行代码,然后将其保存为“clear.bat”文件,运行该代码。
清理本地电脑系统日志
a1 本次练习将通过控制面板打开“计算机管理”窗口,在左侧窗口的“Windows日志/事件查看器”项中双击“系统”选项,然后清理日志即可。
a2 打开“计算机管理”窗口。
a3 依次展开“系统工具/事件查看器/Windows日志/系统”项。
a4 清理日志。
用DameWare清理入侵痕迹
a1 通过DameWare工具的远程控制功能,黑客也可以轻松完成对入侵痕迹的清除。下面将使用DameWare工具清除远程入侵痕迹,其具体操作如下。
a2 选择【开始】/【所有程序】/【DameWare NT Utilities】/【DameWare NT Utilities】命令,启动DameWare程序。在其操作界面中,单击“Add Favorite Domain or Favorite Machines”按钮。
a3 在打开的“Add Domain or Machine”对话框中选中“Favorite Machines”单选按钮,在“Enter Machine Name or IP”文本框中输入目标电脑的IP地址“192.168.1.17”,单击“OK”按钮,添加目标电脑。
a4 单击“Logon As”按钮,打开“Remote Logon”对话框,在“Connect”和“Password”文本框中输入要登录的账户和密码信息,然后单击“OK”按钮登录。
a5 在左侧的窗格中展开“192.168.1.17”项,双击下方的“Event Log”选项,在右侧的窗格中单击相应的选项卡,即可查看对应的日志。
a6 在要清除的日志条目上单击鼠标右键,在弹出的快捷菜单中选择“Clear All Events”命令,即可清除该类型的所有记录。用相同的方法,清除其他日志。
a7 单击“Disconnect Network connections”按钮,打开 “Disconnect Network connections”对话框,在其中选择要断开的连接,单击“close”按钮断开连接。
连接远程电脑清除并阻止生成系统日志
a1 登录远程电脑后,可在系统中禁用生成日志的服务,使电脑不记录远程电脑的访问记录,达到不留下痕迹的目的。下面将禁用系统中的“Windows Event log”服务,其具体操作如下。
a2 打开命令提示符窗口,在命令提示符后输入“net use \\192.168.1.17\ipc$ “” /user: “lqp””命令,与远程电脑建立IPC连接。
a3 在“计算机”图标上单击鼠标右键,在弹出的快捷菜单中选择“管理”命令,打开“计算机管理”窗口,选择【操作】/【连接到另一台计算机】命令。
a4 在打开的“选择计算机”对话框中选中“另一台计算机”单选按钮,在后面的文本框中输入“192.168.1.17”,单击“确定”按钮。
a5 返回“计算机管理”对话框,在左侧窗格中展开【系统工具】/【事件查看器】/【Windows 日志】项,选择“应用程序”选项,在右侧的“操作”窗格中单击“清除日志”超级链接即可。
a6 展开“服务和应用程序”项,选择“服务”选项,双击右侧窗格中的“Windows Event Log”选项,打开 “Windows Event Log的属性”对话框。
a7 在打开对话框的“启动类型”下拉列表框中选择“禁用”选项,单击“确定”按钮,使目标电脑不再记录任何日志。
在注册表中修改来宾账户的权限
a1 在电脑系统中,如一个账号在系统中的属性是“已被禁用的Guest账户”,这个账号就可以被黑客利用,通过远程监控将一个管理员账号的权限复制给这个账号,使该账号拥有管理员权限,从而控制电脑。其具体操作如下。
a2 选择【开始】/【运行】命令,打开“运行”对话框,在“打开”下拉列表框中输入“regedit”,按【Enter】键,打开注册表编辑器,在其中展开【HKEY_LOCAL_MACHINE】/【SAM】/【SAM】项,在SAM项上单击鼠标右键,在弹出的快捷菜单中选择“权限”命令。
a3 打开“SAM的权限”对话框,在“组或用户名”列表框中选择“Administrators”选项,在下方的“Administrators的权限”列表框中选中“允许”项的“完全控制”和“读取”对应的复选框,单击“确定”按钮。
a4 重新启动注册表编辑器,展开【HKEY_LOCAL_MACHI-NE】/【SAM】/【SAM】/【Domains】/【Account】/【Users】/【Names】项。
a5 选择“Administrator”子项,在右侧的窗格中可查看到该项的“账号配置键”的值为“0x1f4”,然后选择“Users”项的“000001F4”子项,在右侧窗格中双击名为“F”的键值项。
a6 打开“编辑二进制数值”对话框,在“数值数据”文本框中复制其中的所有数据,然后单击“确定”按钮。
a7 在【HKEY_LOCAL_MACHINE】\【SAM】\【SAM】\【Domai-ns】\【Account】\【Users】\【Names】项中选择“Guest”子项,在右侧窗格中可查看到“账号配置键”值为“0x1f5”。选择“User”项的“000001F5”子项,在右侧窗格中双击名为“F”的键值项。
a8 在打开的“编辑二进制数值”对话框中将其中的数据粘贴为“000001F4”注册表项中的数据,单击“确定”按钮。
a9 打开命令提示符窗口,在其中输入“net user guest /active:no”命令,按“Enter”键禁用Guest账号,然后执行“net user guest”命令,查看Guest账号的属性,可见该账号已禁用。
a10 在命令提示符窗口中输入“net localgroup administrators”命令,按“Enter”键,可查看到Guest账号不属于本机管理员组。
a11 将当前账号注销后,使用Guest账号重新登录系统。此时,该账号已被禁用,如能正常登录,则说明后门账号制作成功。